Les RSSI doivent repenser leurs stratégies de recrutement, de fidélisation et de développement du personnel afin de mieux établir une cyber-organisation alignée sur l’entreprise, qui soit plus grande que la somme de ses parties.
George Gerchow, chef de la sécurité de longue date, avait recherché des ingénieurs et des développeurs de sécurité de premier ordre pour constituer son équipe.
Gerchow considérait ces travailleurs comme des « superstars » – et ils lui ont donné raison à bien des égards. C’étaient des fonceurs ambitieux « qui sont arrivés et ont absolument tout tué. Ils feraient un excellent travail, mais ensuite ils passeraient à autre chose ».
Gerchow a découvert qu’un groupe de telles superstars ne créait pas une équipe très performante, qu’il définit comme une équipe qui travaille bien ensemble pour protéger l’entreprise, s’appuie et instaure la confiance entre elles et entre les unités commerciales. Il s’est rendu compte que pour constituer une excellente équipe, il avait besoin d’une meilleure combinaison de types de travailleurs.
De telles équipes ne se réunissent pas sans effort. « Tout le monde doit travailler à la création de meilleures équipes », déclare Gerchow.
Ici, lui et d’autres leaders chevronnés de la sécurité partagent six stratégies pour y parvenir.
1. Construisez une équipe diversifiée
Ayant appris en tant que RSSI dans une ancienne entreprise qu’avoir un seul type de travailleur ne lui permet pas d’avoir la meilleure équipe globale, Gerchow a changé ses pratiques de recrutement et d’embauche. Il a cherché à équilibrer les ingénieurs très ambitieux qu’il avait embauchés pour l’innovation et les grandes initiatives – et dont les mandats pourraient être de courte durée, alors qu’ils poursuivaient d’autres projets – avec ceux qu’il appelle des « rock stars » – des travailleurs diligents et concentrés qui géraient avec habileté et fiabilité les tâches quotidiennes de routine qui constituent l’essentiel des responsabilités du service de sécurité.
Gerchow plaide également pour l’embauche de travailleurs issus d’horizons divers, affirmant que « le fait d’avoir ces différents horizons apporte des perspectives différentes, et les impliquer dans la stratégie de sécurité est formidable ; cela crée différentes synergies ».
2. Soyez clair sur la mission
Sharon Chand, responsable américaine de la cyberdéfense et de la résilience au sein de la société de services professionnels Deloitte, affirme qu’une des caractéristiques d’une équipe performante est l’alignement sur la mission de l’équipe.
Pour ce faire, cependant, les membres de l’équipe doivent connaître la mission et y adhérer.
« Il faut que les dirigeants aient formulé une mission très claire », dit-elle, expliquant que la mission donne des orientations sur ce que chacun devrait faire.
Les RSSI peuvent penser que la mission du service de sécurité est claire – ou que la mission est simplement énoncée comme « protéger l’organisation contre les menaces » – mais Chand affirme qu’une mission qui fournit de la clarté et des détails sur les risques, les menaces et les priorités de sécurité qui sont propres à l’organisation en fonction de son secteur d’activité et de son activité donne aux équipes un objectif sur lequel se rassembler et une orientation sur la façon d’agir « sans avoir à vérifier et à diriger les choses tout au long de la chaîne ».
De cette façon, Chand affirme qu’une mission claire permet d’agir rapidement – un attribut nécessaire pour les équipes de sécurité à une époque où le rythme des attaques s’accélère.
« Une équipe très performante est caractérisée par le fait qu’elle comprend son rôle dans la réussite de l’entreprise, car elle comprend qu’il ne s’agit pas seulement de réduire les alertes critiques ou de répondre aux événements dans le cadre de certains SLA ; il s’agit également de s’assurer que l’entreprise peut continuer à fonctionner. Cela contribue à l’objectif et à la motivation », ajoute Chand.
Gerchow voit également comment une mission claire aide à bâtir une équipe solide : « Dire aux développeurs qu’ils doivent faire quelque chose pour se conformer ne les passionne pas », dit-il, « mais cela l’est si vous parlez de risque et de la façon de faire progresser l’entreprise, si vous l’exprimez en termes d’intérêt pour l’entreprise. »
3. Bien équiper l’équipe pour remplir la mission
Une équipe performante a besoin de la formation, des outils et des techniques appropriés pour remplir sa mission, et ce n’est pas différent dans le domaine de la cybersécurité, explique Chand.
Bien entendu, aucun RSSI ne dispose d’un budget illimité pour financer tous les besoins que les employés pourraient identifier. Il est donc important d’être stratégique en connaissant les points forts des membres de l’équipe et en identifiant les domaines dans lesquels ils ont besoin de plus de formation, les outils qu’ils sont les mieux équipés pour optimiser et les domaines sur lesquels ils doivent se concentrer sur l’amélioration.
« Les RSSI doivent leur fournir la formation et la technologie appropriées pour faire évoluer leurs compétences afin de remplir leur mission », ajoute Chand.
Cela implique désormais de garantir que l’équipe de sécurité puisse utiliser l’intelligence artificielle pour transformer ses rôles, dit-elle. « Cela leur apprend à utiliser les données et les analyses et à utiliser l’IA d’une manière différente. »
L’utilisation de l’IA renforce également la capacité d’améliorer les performances de l’équipe, note Chand, car l’utilisation à grande échelle de l’IA dans le service de sécurité « crée une bande passante » qui permet aux RSSI et à leurs collaborateurs de sortir du mode réactif et de gagner du temps et des ressources pour se perfectionner.
4. Soyez doué pour établir des priorités
Les RSSI peuvent constituer une équipe très performante en améliorant leur capacité à définir et à communiquer les priorités afin que les membres de l’équipe sachent où concentrer leur temps et leurs efforts, explique Nathan Wenzler, RSSI terrain pour le conseil client chez la société de cybersécurité Optiv.
« Nous savons depuis longtemps dans l’industrie que nous ne pouvons pas faire bouillir l’océan, que nous ne pouvons pas corriger toutes les vulnérabilités, que nous ne pouvons pas réparer chaque ligne de code. Il y a tout simplement trop de choses à faire et nous n’avons pas les ressources pour tout faire. La priorisation est donc la bonne voie », dit-il. « C’est une fonction que beaucoup de gens disent remplir, mais beaucoup ne l’exécutent pas correctement. »
Les RSSI qui consolident les données de leurs outils de sécurité pour créer une vue globale des menaces et des vulnérabilités et aligner la stratégie de sécurité sur l’entreprise sont en mesure de clarifier les priorités et de mieux diriger leurs équipes, explique Wenzler.
« Ce n’est pas un problème facile à résoudre », ajoute-t-il, « mais lorsqu’il est résolu, il devient beaucoup plus facile de faire une comparaison pomme par pomme avec les endroits où vous courez le plus de risques, puis de prioriser les travaux à accomplir. »
5. Développer les compétences générales des travailleurs pour stimuler l’engagement avec leurs pairs du monde des affaires
Les professionnels de la sécurité ne possèdent pas toujours de solides compétences en affaires, en communication et en leadership. « Nous avons passé les 20 dernières années à devenir vraiment bons sur le plan technique ; maintenant, nous devons absolument commencer à développer les compétences générales de nos équipes », déclare Wenzler.
Il souligne spécifiquement la nécessité de compétences en communication, affirmant qu’elles sont essentielles pour que les équipes de sécurité puissent articuler efficacement les informations sur les politiques et les procédures que l’entreprise doit suivre pour contrer les cybermenaces.
« Les équipes qui obtiennent les meilleurs résultats aujourd’hui sont celles qui réussissent à convaincre tout le monde d’adhérer à ce qu’elles font », déclare Wenzler. « Ils (y parviennent) lorsqu’ils sont considérés comme des facilitateurs commerciaux et pas seulement comme une division informatique, et ils le font lorsqu’ils communiquent dans le langage que l’entreprise comprend. »
La capacité des professionnels de la sécurité à interagir efficacement avec leurs pairs grâce à une meilleure communication, un sens des affaires, une empathie, etc. les aide également à devenir de meilleurs travailleurs, explique Wenzler. En effet, ils acquièrent une meilleure compréhension et plus de clarté sur les risques les plus importants pour l’entreprise, informations qu’ils peuvent ensuite appliquer à la manière dont ils effectuent leur travail de sécurité.
D’autres notent que les équipes de sécurité qui entretiennent de solides relations et collaborations avec leurs homologues commerciaux ont également une plus grande influence interfonctionnelle et des niveaux de confiance plus élevés, ce qui les aide à adhérer aux règles et exigences de sécurité.
« Cela signifie que la sécurité est assurée et que de réelles améliorations se produisent », ajoute Wenzler.
6. Nommer – et responsabiliser – les députés
Les équipes hautement performantes ont des RSSI qui savent qu’ils ne peuvent pas tout faire seuls et qui comptent plutôt sur des adjoints pour les aider à assumer la charge, explique Steve Martano, professeur à IANS Research et partenaire du département de cybersécurité d’Artico Search.
« Un RSSI devrait identifier ses principaux adjoints ou, s’il les a déjà, il devrait leur confier davantage de tâches opérationnelles et de besoins stratégiques liés à sa discipline, ce qui permet au RSSI d’être davantage un responsable des risques de l’entreprise et de véritablement servir de pair avec le directeur financier, le chef de produit et les responsables des P&L de l’entreprise », explique Martano.
Cela peut sembler plus une victoire pour le RSSI que pour l’équipe dans son ensemble, mais ce n’est pas le cas, dit Martano. Au contraire, cela crée des dirigeants plus forts au sein du service de sécurité, capables de répondre rapidement aux besoins des membres de l’équipe, plutôt que de devoir toujours transmettre les questions, les problèmes et les plans au RSSI et attendre des réponses.
« Des adjoints forts signifient qu’en tant que RSSI, vous pouvez économiser des cycles, car vous n’avez pas besoin d’être aussi attentif au travail opérationnel quotidien qu’ils dirigent », explique Martano.
Donner du pouvoir aux députés peut être difficile pour les RSSI, explique Martano, soulignant que « de nombreux RSSI opèrent avec beaucoup de prudence et gèrent donc microgéré leurs équipes ».
Il conseille aux RSSI qui souhaitent constituer une équipe de direction plus forte d’évaluer d’abord qui ils ont, quelles compétences ils possèdent et quelles compétences ils doivent développer. Les RSSI doivent ensuite planifier la manière dont ils formeront ces dirigeants pour qu’ils assument davantage de tâches et de supervision au niveau de la direction.
« Donnez-leur la latitude de prendre des décisions, de commettre des erreurs et utilisez-vous comme caisse de résonance », explique Martano. « Demandez à des personnes de vous représenter lors des réunions et essayez de tirer le meilleur parti des gens en les faisant réfléchir de manière plus commerciale et plus stratégique. »
Martano affirme que la création d’une équipe de direction solide présente des avantages qui se répercutent dans tous les rangs, car ces adjoints ont tendance à adopter la même approche envers ceux qu’ils supervisent, en responsabilisant leurs propres subordonnés directs et en s’attendant à ce qu’ils fassent de même avec ceux qui relèvent d’eux. En conséquence, les travailleurs à tous les niveaux perfectionnent leurs compétences, assument davantage de responsabilités et acceptent davantage de responsabilités.
« Ces RSSI », déclare Martano, « créent un environnement qui favorise les leaders tout au long de la chaîne. »
