A young man in a white hat and a white and blue striped shirt juggles balls on a white background

La cybersécurité n’est pas sous-financée, elle est sous-gérée

Lucas Morel

Vers un nouveau récit de leadership pour le RSSI moderne.

Une grande partie des discours que je découvre en ligne sur les budgets de cybersécurité tourne autour de la nécessité de convaincre le Conseil d’administration et de justifier les investissements.

Certaines approches s’articulent autour de modèles financiers et visent à justifier le retour sur investissement. D’autres se concentrent sur la quantification des risques et sur la démonstration de leur réduction.

Tous sont basés sur des données et conçus autour d’une forme d’argumentation rationnelle.

Mais est-ce vraiment ainsi que les décisions sont prises au sommet des grandes organisations ?

En fait, ces approches font toutes partie du discours ascendant que les RSSI, les consultants en cybersécurité et les fournisseurs de cybersécurité ont élaboré auprès des cadres supérieurs au cours des deux dernières décennies.

D’après mon expérience, ils se heurtent à trois aspects de la dynamique réelle de l’entreprise :

Tout d’abord, la prise de décision au niveau de l’entreprise peut paraître rationnelle, mais elle est en réalité fortement influencée par des biais cognitifs, comme le montrent Daniel Kahneman et son école de pensée.

Cela est parfaitement évident en matière de cybersécurité, et cela m’amène à mon deuxième point:

Quiconque ayant passé suffisamment de temps dans le secteur de la sécurité aurait été confronté à diverses situations dans lesquelles de l’argent précédemment refusé apparaît en grande quantité à la première vue d’une enquête réglementaire, d’un mauvais rapport d’audit, d’un incident, d’un quasi-accident ou d’un événement similaire affectant un concurrent (c’est la question « est-ce que cela peut nous arriver ? » que de nombreux RSSI connaissent bien).

Aucune préoccupation concernant le retour sur investissement ou la réduction des risques n’est soulevée dans ces scénarios : les hauts dirigeants veulent voir des cases cochées et des preuves qu’ils ont fait leur travail, en cas de violation grave. Si l’exécution ne suit pas, quelqu’un d’autre sera blâmé (souvent le RSSI, parfois surnommé Chief Incident Scapegoat Officer).

Plus grave encore, dans de nombreux conseils d’administration, le paradigme du « quand-pas-si » a en fait chuté avec les cyberattaques : après près de deux décennies de violations incessantes, vous auriez probablement du mal à trouver un membre du conseil d’administration qui n’est pas conscient de l’impact commercial qu’elles peuvent avoir. Cela m’amène à mon troisième point:

J’ai eu de nombreuses discussions, notamment avec des DSI, admettant ouvertement qu’ils pouvaient mettre « tout ce qu’ils voulaient » dans leur budget cybersécurité, mais que leur principal problème était de réaliser des projets cyber.

D’où vient ce décalage, entre de nombreux RSSI et leurs fournisseurs qui prétendent avoir des difficultés avec les ressources, et des dirigeants de plus en plus conscients des cyberattaques et désireux d’investir pour protéger l’entreprise ?

Le mythe budgétaire : pourquoi la cybersécurité n’est-elle pas sous-financée

Bien entendu, les projets de cybersécurité sont souvent complexes car ils doivent s’étendre au-delà des silos et des zones géographiques de l’entreprise pour offrir une protection efficace à l’entreprise. Cela n’est pas naturel dans les grandes entreprises, qui sont presque par essence territoriales et politiques.

Mais au-delà de cela, le profil du RSSI est aussi une dimension clé :

La plupart sont des technologues de métier et d’expérience, et ont passé la dernière décennie à lutter contre des incendies, incapables de construire ou de livrer une quelconque sorte de récit à long terme.

Ils n’ont pas développé le type d’expérience en gestion, de finesse politique ou de sérieux personnel dont ils auraient besoin pour réussir réellement, maintenant que les projecteurs sont braqués sur eux depuis le sommet de l’entreprise.

Nombreux sont ceux qui pensent sincèrement que le sous-investissement chronique dans la cybersécurité est à l’origine d’un niveau de maturité insuffisant, alors que c’est en fait un échec chronique d’exécution lié à un court-termisme endémique des entreprises qui est au cœur du problème : projets dépriorisés dès que des « gains rapides » sont livrés ou des cases cochées dans les rapports de conformité, changements de direction dès l’arrivée ou le départ d’un nouveau dirigeant, initiatives suspendues au premier signe de turbulences du marché : tous pointent vers des aspects de gouvernance et culturels qui sont les véritables causes profondes. de la stagnation à long terme des niveaux de maturité en matière de cybersécurité dans les grandes entreprises.

Pour les RSSI qui n’ont pas intégré ces aspects culturels et sont presque toujours exclus de ces décisions, cela engendre de la frustration ; la frustration engendre des mandats de courte durée (dans la région, de l’ordre de deux à trois ans pour beaucoup) ; les mandats de courte durée aggravent l’inadéquation entre la gestion et le leadership : il est impossible d’obtenir un véritable impact transformateur dans les grandes entreprises dans ces délais.

Pour les hauts dirigeants, le « manège » du RSSI crée également de la frustration : ils en ont vu trop arriver avec des projets grandioses, demander des millions avant de démissionner au bout de quelques années, laissant tout à moitié fait.

Les 100 premiers jours : où la confiance se gagne ou se perd

Une grande partie de cette déconnexion se construit effectivement au cours des 100 premiers jours du RSSI.

De nombreux RSSI accèdent à un nouveau poste avec des opinions préconçues, parfois créées au moment de l’entretien : des choses qui ont travaillé ailleurs, des sujets favoris, des fournisseurs ou des consultants.

Beaucoup estiment également qu’ils doivent faire leurs preuves en tant que spécialistes au cours de leurs 100 premiers jours. C’est une erreur. La compétence est assumée dans les 100 premiers jours (vous venez d’être embauché). Les défis sont ailleurs.

Les 100 premiers jours visent à prouver votre capacité à vous intégrer dans la structure organisationnelle de l’entreprise et à agir en tant que leader.

Cela commence par écouter, à mon sens : écouter les parties prenantes et les sponsors, comprendre leurs attentes, leurs points faibles, ce qui a fonctionné dans le passé, ce qui n’a pas fonctionné et pourquoi, ce qui s’est passé avec votre prédécesseur… Parfois « que puis-je faire pour vous aider ? est tout simplement la meilleure question à poser…

Ce processus doit initier un parcours de co-construction du récit de cybersécurité, et au-delà, de la stratégie de cybersécurité de l’entreprise.

Si les objectifs sont partagés avec les parties prenantes et les sponsors, les frictions sont réduites ; Au fil du temps, des champions d’entreprise émergent qui relaient le discours sur la cybersécurité, non pas parce que c’est celui du RSSI mais parce que c’est le leur.

Le processus doit également intégrer le RSSI dans la dynamique de gouvernance et de leadership de l’entreprise.

En écoutant véritablement, en identifiant et en suivant les courants culturels de l’entreprise, les allégeances, les réseaux de confiance informels où se déroulent les véritables prises de décision, le RSSI devient un acteur de confiance pour les dirigeants d’entreprise.

À ce stade, les discussions budgétaires deviennent des discussions bilatérales entre partenaires de confiance, et non des situations conflictuelles où l’une des parties doit gagner l’avantage sur l’autre.

A l’inverse, les RSSI qui abordent leurs 100 premiers jours en cherchant à faire leurs preuves tactiquement courent le risque de se retrouver piégés dans la lutte opérationnelle : c’est une situation à laquelle très peu d’entre eux échappent. En fin de compte, ils peuvent être considérés comme une paire de mains sûres, mais il est peu probable qu’ils soient acceptés à la table stratégique.

Mais ce n’est pas une fatalité.

En fin de compte, l’avenir du leadership en matière de cybersécurité appartiendra aux RSSI qui reconnaissent que l’influence et la confiance doivent précéder l’action et l’investissement.

Les conseils d’administration n’ont plus besoin d’être convaincus de l’importance des cyber-risques : ils ont besoin de dirigeants confiants et adaptés à leur culture, capables de gérer des dynamiques d’entreprise complexes, d’instaurer la confiance avec toutes les parties prenantes et d’orchestrer la prestation au-delà des silos.

Les 100 premiers jours donnent le ton : non pas par des démonstrations techniques ou des batailles budgétaires, mais par l’écoute, l’alignement et la co-création d’un récit dont les chefs d’entreprise se sentent propriétaires.

Ce faisant, les RSSI passent de la recherche de ressources à l’élaboration de stratégies en tant que véritables dirigeants – non pas des pompiers en marge, mais des architectes de la résilience au cœur de l’entreprise.

Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Vous voulez nous rejoindre ?

Suite CCarrièresCSO et RSSIDirection informatiqueGestion informatiqueStratégie informatique

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Un bug DS modulaire offre aux pirates un accès instantané à l’administrateur WordPress
AppGuard Critiques AI Hyped Defenses; Expands its Insider Release for its Next-Generation Platform
AppGuard critique les défenses hyperactives de l’IA ; étend sa version Insider pour sa plateforme de nouvelle génération
Cisco building exterior with sign
Cisco corrige enfin une faille zero-day vieille de sept semaines dans les produits Secure Email Gateway