Les RSSI ajoutent de plus en plus la responsabilité des risques commerciaux à leurs missions. Les responsables de la sécurité offrent des conseils à leurs pairs sur ce qu’il faut faire pour passer du statut de cyber-chef traditionnel à celui de responsable des risques d’entreprise.
Doug Kersten, responsable de longue date de la sécurité, a élargi sa liste de responsabilités.
En tant que RSSI de l’éditeur de logiciels Appfire, il est désormais responsable des risques commerciaux, tels que l’impact des outils et processus de sécurité au sein des produits et services des clients sur leurs coûts et, par conséquent, sur leur rentabilité.
C’est un exemple clair, dit-il, de la situation et de la raison pour laquelle les RSSI doivent prendre en compte non seulement les risques de sécurité, mais également les risques commerciaux.
« Les RSSI doivent apporter leur contribution et apporter des solutions à l’impact des coûts de sécurité, car ces coûts souvent cachés ont un impact négatif sur la rentabilité », explique-t-il. « Ce point est généralement négligé par les équipes financières lorsqu’elles analysent le coût réel des marchandises vendues, et si les RSSI ne sont pas impliqués dans l’évaluation des risques commerciaux, ce problème peut facilement être ignoré. »
L’extension des compétences de Kersten aux risques commerciaux n’est pas unique. On attend de plus en plus des RSSI de tous les secteurs qu’ils identifient et traitent les risques commerciaux qui, dans le passé, dépassaient les limites de leurs fonctions.
« Alors que les RSSI se concentraient traditionnellement sur la protection des systèmes, des réseaux et des données, l’environnement commercial actuel exige que les responsables de la sécurité comprennent l’impact des cybermenaces sur les revenus, les opérations, la confiance des clients, les obligations réglementaires, les chaînes d’approvisionnement et les objectifs stratégiques », déclare Dale Hoak, RSSI de la société de logiciels RegScale. « La distinction entre risque commercial et risque de sécurité devient de plus en plus floue. »
En tant que tels, les RSSI doivent aujourd’hui être des leaders en matière de risques d’entreprise, dit-il, capables de conseiller les dirigeants sur la manière dont les décisions de sécurité affectent la capacité de l’organisation à atteindre ses objectifs commerciaux, et pas seulement sur leur impact sur la pile informatique ou les performances technologiques.
Comprendre les risques commerciaux est une tâche importante, conviennent les experts, mais ils soulignent que les responsables de la sécurité sont capables de maîtriser cette compétence. Ici, Kersten, Hoak et d’autres responsables de la sécurité proposent des stratégies sur la manière d’y parvenir.
1. Collaborer avec les propriétaires des risques commerciaux
De son propre aveu, Roland Palmer, RSSI et vice-président de la société technologique JumpCloud, n’a pas encore maîtrisé les risques commerciaux. Il s’associe donc aux membres de son organisation qui en sont propriétaires, ce qui lui donne l’occasion d’apprendre et de contribuer.
« Nous formons une excellente équipe pour comprendre le risque et l’appétit pour le risque de l’organisation », dit-il.
Les membres de l’équipe comprennent des dirigeants des domaines juridique, financier et marketing, ainsi que le COO.
Kersten s’appuie également sur les dirigeants d’entreprise pour affiner sa compréhension des risques commerciaux. L’année dernière, Kersten, en collaboration avec ses collègues dirigeants, a conçu un programme assignant les chefs d’entreprise aux risques de sécurité.
« La sécurité les aide à comprendre les risques de sécurité, mais ils nous apportent également les risques commerciaux (associés) et ce qui peut être fait pour les atténuer », explique-t-il, notant que cette approche a également fait ressortir des risques qui ont depuis été traités, comblant ainsi des lacunes jusque-là inconnues.
2. Aligner explicitement la cybersécurité sur les objectifs de l’entreprise
Kerstan estime que les équipes de sécurité doivent comprendre les objectifs de l’entreprise, afin de pouvoir comprendre quels risques pourraient faire dérailler quels objectifs. Pour garantir que son programme de sécurité possède ces connaissances, il intègre les objectifs de l’entreprise et les résultats clés dans sa stratégie de sécurité.
« J’élabore des plans pour atteindre ces objectifs commerciaux et ces résultats clés. Je suis toujours confronté à ce niveau parallèle de risque de sécurité, qui est géré par l’équipe de sécurité ; cela ne disparaît pas. Mais à cela s’ajoutent les OKR commerciaux que je dois exécuter », explique-t-il. «Cela a changé notre façon de considérer les risques et ce que nous devons faire.»
Par exemple, il réfléchit désormais à l’impact des actions du service de sécurité sur la satisfaction des employés et à son lien avec la rétention de l’emploi, un risque commercial identifié par les RH, « nous travaillons donc pour nous assurer que ce que nous faisons correspond aux besoins du service RH ».
Richard Watson, leader mondial de la cybersécurité au sein de la société de services professionnels EY, reconnaît la nécessité « d’aligner explicitement la cybersécurité sur les objectifs de l’entreprise ».
« Mappez les cybercontrôles sur les actifs et les processus commerciaux critiques, et reliez-les à l’impact financier potentiel », conseille-t-il. « Cela permet aux RSSI de traduire l’exposition technique en termes commerciaux et de prioriser les investissements en conséquence. »
3. Misez sur le réseautage et les relations
Autre moyen efficace de bien appréhender les risques de l’entreprise : discuter avec des collègues d’affaires. Les conversations régulières donnent souvent un aperçu de ce qui les inquiète réellement, explique Gary Hayslip, responsable de la cybersécurité et co-auteur du .
« Une autre chose que j’ai faite pour comprendre les risques commerciaux, et que je l’ai recommandée à mes pairs, c’est de faire une visite ou ce que certains appellent une tournée d’écoute », dit-il. « Je fais cela dans chaque rôle que j’occupe parce que je pense qu’il est important de comprendre leurs objectifs, les technologies qu’ils utilisent, les projets qu’ils ont en cours, les problèmes qu’ils peuvent avoir avec le programme de sécurité et, enfin, ce qui les empêche réellement de dormir la nuit.
D’autres déclarent adopter une approche similaire, soulignant la valeur du réseautage et de l’établissement de relations dans lesquelles les collègues se sentent à l’aise pour exprimer leurs préoccupations et collaborer sur des solutions.
« Le risque commercial ne peut pas être géré de manière isolée. Les RSSI doivent dialoguer régulièrement avec le directeur financier, le directeur opérationnel, le directeur juridique, le directeur des risques, les chefs de produit et les dirigeants des unités commerciales », explique Hoak. « Ces conversations donnent un aperçu des préoccupations commerciales émergentes et aident la sécurité à faire partie de la planification stratégique plutôt qu’un exercice de conformité en aval. »
4. Organisez des exercices théoriques axés sur les risques commerciaux
Il s’agit d’une opportunité plus structurée, mais tout aussi efficace, d’acquérir une meilleure compréhension des risques commerciaux – à condition que les exercices mettent l’entreprise au premier plan, explique Hayslip.
« La plupart des exercices de simulation menés par le RSSI et les équipes de sécurité restent techniques et s’arrêtent au confinement. J’ai trouvé qu’il est préférable d’exécuter des scénarios qui obligent les dirigeants à prendre les décisions qu’ils prendraient réellement en cas de crise, comme par exemple s’il faut payer une rançon, quand et quoi divulguer en cas de violation de données, comment gérer les clients, quand et qui doit invoquer le privilège légal, existe-t-il une solution de secours opérationnelle disponible et si oui, qui prend la décision de l’activer », explique Hayslip.
« L’exécution de ce type de scénarios permet de tester la réponse de l’entreprise et d’enseigner au RSSI et à l’équipe de sécurité comment leurs pairs prennent des décisions sous pression », ajoute-t-il.
5. Étudiez les risques commerciaux
Sean Murphy, vice-président senior et RSSI de BECU, la cinquième plus grande coopérative de crédit aux États-Unis, n’a pas laissé l’apprentissage des risques commerciaux au hasard. Il a recherché des opportunités d’apprentissage formel, comme l’obtention du certificat de direction de l’Association nationale des administrateurs de sociétés. La certification vérifie l’expertise du titulaire en matière de gouvernance, de devoirs fiduciaires, de stratégie et de surveillance des risques.
Murphy a demandé la certification pour renforcer ses qualifications pour un poste au conseil d’administration et pour mieux comprendre les perspectives du conseil d’administration de son entreprise, y compris la manière dont il perçoit les risques. « La certification m’aide à approfondir ce qui intéresse le conseil d’administration et son monde, puis à retourner cela à mon équipe et à ce que nous faisons », ajoute-t-il. « Cela me donne une vision commerciale et exécutive par rapport à une vision purement technique et sécuritaire. »
D’autres proposent des stratégies d’apprentissage similaires.
« Le RSSI doit voir l’entreprise de la même manière que le PDG, le directeur financier et le conseil d’administration », explique Hayslip. « Pour commencer, je recommanderais de s’asseoir avec le 10-K ou le rapport annuel, la présentation des investisseurs et les transcriptions des appels de résultats. Cela aidera le RSSI à comprendre comment l’entreprise gagne de l’argent et quels produits ou unités commerciales génèrent des revenus. Cela aidera également le RSSI à comprendre ce que l’équipe de direction dit publiquement à Street sur les principaux risques et d’où ils pensent que la croissance des revenus viendra au cours du prochain cycle de reporting. «
Ce travail, qui n’était peut-être pas essentiel auparavant pour les responsables traditionnels de la sécurité, devient aujourd’hui impératif.
« Ce n’est pas amusant ; en fait, cela peut être ennuyeux », dit Murphy. « Mais le RSSI ne peut pas donner la priorité à la protection de l’entreprise s’il ne sait pas quelles parties de l’entreprise sont considérées comme critiques. Le rapport annuel fournit ce point de vue selon les termes de la direction. »
Les leaders chevronnés de la sécurité citent également l’intérêt d’obtenir des certifications de l’ISACA, une association professionnelle pour les professionnels de la gouvernance et du risque, ainsi que le titre d’auditeur interne certifié de l’Institut des auditeurs internes.
6. Intégrer la sécurité dans la gestion des risques d’entreprise
Pour véritablement maîtriser les risques commerciaux, les RSSI ne doivent pas les traiter séparément des risques de sécurité.
« Le cybercriminel constitue désormais un risque existentiel pour l’entreprise, et non seulement un risque informatique », déclare Scott Melchior, membre du groupe de travail sur les tendances émergentes de l’ISACA, avec 20 ans d’expérience dans un cabinet de conseil international axé sur la gouvernance, les risques et la conformité. « L’infrastructure numérique est une infrastructure d’entreprise. Elles sont trop liées pour être séparées. »
Hoak est d’accord, soulignant la nécessité pour les RSSI d’intégrer la sécurité dans la gestion des risques d’entreprise.
« Le cyber-risque devrait être intégré dans des processus plus larges de gestion des risques d’entreprise, aux côtés des risques financiers, opérationnels, juridiques et stratégiques. Cela crée un cadre commun pour évaluer les risques et aide les dirigeants à considérer la cybersécurité dans le contexte des objectifs commerciaux globaux », dit-il.
Hayslip a mis cela en pratique. Dans ses fonctions de RSSI, il a intégré le registre des risques de sécurité à la plateforme ERM de l’organisation. Il affirme que cela lui a permis de présenter les risques liés à la cybersécurité sur la même plateforme que celle que le conseil d’administration examine déjà, aux côtés des risques financiers, opérationnels et stratégiques.
« L’objectif est que les cyber-risques apparaissent sur la carte thermique de l’entreprise comme tous les autres risques matériels, afin qu’ils se disputent les ressources et l’attention sur un pied d’égalité plutôt que de constituer un élément secondaire », explique Hayslip. « Il y a maintenant du travail à faire pour que le RSSI fasse cela correctement, mais il est d’une importance cruciale de quantifier le cyber-risque en dollars et en probabilité, et non en couleurs. Passer des cartes thermiques qualitatives aux chiffres d’impact financier, j’ai découvert, est l’une des plus grandes améliorations pour amener l’entreprise à entendre le RSSI. »
