Qu’il s’agisse de diffuser des connaissances en matière de cybersécurité, de façonner les outils du futur ou d’élargir votre répertoire professionnel, les postes au conseil d’administration peuvent être des expériences inestimables. Voici comment certains responsables de la sécurité ont abordé leur recherche.
Les responsables de la cybersécurité entretiennent souvent des relations complexes avec leurs conseils d’administration. De nombreux conseils d’administration manquent d’expertise en matière de cybersécurité, et les RSSI peuvent donc se heurter à des obstacles lorsqu’il s’agit d’obtenir l’approbation du conseil d’administration. D’autres responsables de la sécurité peuvent ne pas avoir de lien direct avec leur conseil d’administration ou être considérés comme trop techniques pour obtenir le soutien nécessaire.
Certains RSSI s’efforcent d’améliorer cette relation en devenant eux-mêmes membres du conseil d’administration afin de mieux comprendre ce qui est important et comment communiquer avec les membres du conseil d’administration. D’autres peuvent chercher à siéger au conseil d’administration pour rehausser leur visibilité, contribuer à façonner les outils de l’avenir ou contribuer à l’élargissement des connaissances de la communauté.
Pour Mitra Minai, leader mondial de la cybersanté chez Accenture, il s’agissait de faire partie de la solution plutôt que de s’engager dans un conseil d’administration uniquement dans les moments de haute pression.
« J’ai pu constater par moi-même comment la compréhension du conseil d’administration des risques cybernétiques et numériques influence directement les résultats organisationnels, en particulier dans le secteur des soins de santé où les cyberincidents peuvent affecter la sécurité des patients et la continuité des soins », explique Minai, membre du conseil d’administration de l’Association autrichienne de sécurité de l’information (AISA), membre consultatif de l’industrie auprès de l’Australian Cyber Security Centre et membre du comité de gouvernance numérique d’Uniting AgeWell.
« M’impliquer au niveau de la gouvernance me permet de contribuer plus tôt et de manière plus stratégique, en aidant les conseils d’administration à façonner l’appétit pour le risque, les priorités d’investissement et la résilience avant que les crises ne surviennent », ajoute-t-elle. «Cela offre également l’occasion d’aider les conseils d’administration à naviguer dans l’intersection croissante entre la technologie, la confiance, la réglementation et l’objectif organisationnel.»
Comme dans le domaine de la santé, les cyberincidents peuvent avoir un impact catastrophique sur d’autres services d’infrastructures critiques. Pour les RSSI qui cherchent à faire la différence, les comités consultatifs des fournisseurs constituent une autre option.
Nathan Morelli, responsable de la cybersécurité et de la résilience informatique chez SA Power Networks, affirme que sa motivation à rejoindre les comités consultatifs des fournisseurs était une décision consciente visant à influencer les feuilles de route mondiales des produits qui protègent les services essentiels.
« Dans les infrastructures critiques, l’impact (des cyberincidents) est important, et je voulais m’assurer que les outils que nous utilisons sont réellement adaptés à leur objectif. En rejoignant ces conseils d’administration, je gagne une place à la table où je peux façonner la technologie de demain, plutôt que de simplement y réagir. Il s’agit de dépasser le périmètre d’une organisation pour influencer la résilience de l’ensemble du secteur », explique Morelli, membre des conseils consultatifs de Cyera, CrowdStrike, Proofpoint et SailPoint.
Obtenir un rôle au conseil d’administration n’est pas un chemin simple
Les RSSI doivent toutefois être conscients qu’il peut être difficile d’accéder à des postes au sein d’un conseil d’administration. Bien qu’il ait été impliqué dans le chapitre de Canberra de l’ISACA pendant de nombreuses années, Norton a connu plusieurs tentatives avant d’accéder à son poste au conseil d’administration. Il a postulé une fois et n’a pas été retenu ; l’année suivante, il réessaya en vain. Il peut être difficile de ne pas prendre de tels refus personnellement, dit-il, ajoutant qu’il a reçu d’excellents retours et qu’il a été encouragé à postuler à nouveau.
« Il y a eu beaucoup de réflexion sur le processus, et la question de savoir si le résultat était des défis liés à l’expertise, à l’expérience ou simplement aux compétences dont le conseil d’administration avait besoin était déterminante pour le résultat », dit-il. » Peu de temps après, les compétences requises correspondaient à mon expertise et j’ai réussi. Depuis, ce fut un grand voyage. «
Il s’agit également d’un engagement important, ajoute Norton, « avec de nombreuses heures par semaine consacrées au travail et aux réunions liées au conseil d’administration, dont beaucoup se déroulent tôt le matin entre minuit et 2 heures du matin, heure australienne ».
Les postes de conseillers et de comités ne nécessitent aucune certification spécifique, mais la capacité de gouvernance et la crédibilité sont essentielles pour être efficace au niveau du conseil d’administration, explique Minai, qui prévoit de suivre une formation formelle en gouvernance de l’Institut australien des administrateurs de sociétés (AICD) au cours des 12 à 18 prochains mois dans le cadre d’une progression intentionnelle vers des rôles d’administrateur non exécutif plus larges.
Conseils aux RSSI souhaitant accéder à un rôle au sein d’un conseil d’administration
Pour les RSSI souhaitant contribuer aux conseils d’administration mondiaux des fournisseurs, Morelli conseille de se concentrer sur le fait de devenir un partenaire, pas seulement un client. Cela nécessite la capacité d’articuler comment l’évolution d’un produit impacte le profil de risque de l’ensemble d’un secteur.
Pour les conseils d’administration non industriels ou publics, les RSSI doivent être à l’aise pour contribuer aux discussions sur les déclarations P&L, les rapports ESG ou les déclarations sur l’esclavage moderne. Vous êtes là pour superviser la stratégie et la durabilité de l’ensemble de l’organisation.
Voici d’autres bons conseils de Minai, Morelli et Norton :
- Commencez par la gouvernance, pas par les titres. Les comités, les conseils d’administration à but non lucratif et les associations industrielles offrent une véritable expérience de gouvernance.
- Séparez la gouvernance de l’exécution/gestion. L’efficacité du conseil d’administration nécessite une surveillance et un jugement, et non la résolution de problèmes opérationnels.
- Apprenez le langage des tableaux. Les conseils d’administration se concentrent sur l’appétit pour le risque, les compromis, les résultats et la création de valeur, et pas seulement sur les contrôles et les outils.
- Investissez dans l’éducation formelle à la gouvernance. Même les dirigeants expérimentés bénéficient d’une formation structurée en gouvernance lorsqu’ils accèdent à des postes au conseil d’administration.
- Choisissez judicieusement. Concentrez-vous sur les conseils d’administration où votre expertise compte réellement et sur les entreprises qui correspondent à vos valeurs.
- Pensez à faire du bénévolat. Cibler une organisation à but non lucratif ou un organisme de bienfaisance pour votre premier poste au conseil d’administration peut vous aider à acquérir une expérience précieuse au sein du premier conseil d’administration.
- Tirez parti de votre réseau. Les opportunités au sein du conseil d’administration découlent souvent des relations existantes.
- Obtenez une certification. Envisagez d’investir dans une certification de direction NACD ou des informations d’identification similaires.
Tout comme votre rôle de RSSI, l’image de marque et le récit sont importants. Recherchez et développez une biographie du conseil d’administration qui met en évidence les compétences et expériences clés telles que la finance, le droit, la gouvernance, les risques, la gestion de crise, la navigation réglementaire et la gouvernance stratégique.
Les avantages de découvrir le conseil d’administration de l’autre côté
Les RSSI bénéficieront de nombreux avantages en étant membre du conseil d’administration. Selon Norton, le principal d’entre eux est une meilleure appréciation de l’état d’esprit du réalisateur.
« Comprendre ce qui représente une préoccupation importante, le niveau de détail souhaité par les membres du conseil d’administration dans leurs rapports et contribuer à l’appétit pour le risque et à la stratégie d’entreprise » a été inestimable, dit-il. « En tant que RSSI dans mon travail quotidien, cela m’aide considérablement à équilibrer les messages du conseil d’administration et à comprendre comment encadrer les discussions de la bonne manière. »
L’expérience de Minai a également façonné sa façon de penser et de diriger. Certains des avantages dont elle a bénéficié comprennent le développement d’une perspective à long terme à l’échelle de l’entreprise au-delà de l’optimisation fonctionnelle ; une compréhension plus approfondie de la manière dont les conseils d’administration équilibrent les risques, les investissements, la culture et les attentes des parties prenantes ; exposition à une prise de décision dans l’incertitude avec des informations incomplètes ; et renforcer la capacité à traduire les risques techniques et cybernétiques en implications stratégiques et financières.
« Ces rôles m’ont également permis d’élargir ma visibilité dans les secteurs des soins aux personnes âgées, du monde universitaire, du gouvernement et des organismes sans but lucratif, ce qui a renforcé mon jugement et mon impact en tant que cadre supérieur », déclare Minai.
Pour Morelli, il s’agit de pouvoir voir où se dirigera l’industrie dans 18 à 24 mois.
« Le réseau a également un effet cumulatif important. Être assis dans une salle avec les meilleurs RSSI et chefs d’entreprise du monde fournit un niveau d’intelligence stratégique qu’aucune note d’information ne peut reproduire. Cela vous oblige à grandir en tant que leader parce que vous êtes constamment mis au défi par vos pairs opérant à l’échelle mondiale », dit-il.
Même si les responsables de la cybersécurité sont de plus en plus invités dans les conseils d’administration, l’invitation à elle seule ne garantit pas l’efficacité. Les RSSI qui réussissent dans les rôles de gouvernance sont ceux qui peuvent recadrer la cybersécurité comme une question de confiance, de résilience et de gestion organisationnelle, et pas seulement comme une défense technique, explique Minai.
« Les conseils d’administration ne recherchent pas un autre opérateur de sécurité ; ils recherchent une pensée claire, un jugement calme et une vision stratégique dans un contexte complexe », dit-elle. « C’est là que les RSSI expérimentés peuvent apporter une contribution unique et durable. »
