A confident businesswoman with crossed arms stands in a modern office, exuding leadership and professionalism. Natural light from large windows enhances the dynamic workplace setting.

Pourquoi les RSSI doivent-ils tuer un cyber-dragon pour gagner le respect des entreprises ?

Lucas Morel

Les leaders de la sécurité et les experts du secteur interviennent dans le calcul complexe de l’influence interne des RSSI.

La façon dont les RSSI réagissent à un incident de sécurité majeur peut être un moment décisif pour leur carrière.

Bien qu’un responsable de la sécurité sur quatre se retrouve remplacé après une attaque de ransomware, par exemple, d’autres RSSI découvrent que les expériences renforcées en cas d’incidents – avec des résultats transparents et positifs – sont de plus en plus recherchées sur le marché du recrutement.

Une enquête récente souligne ce point : 65 % des responsables de la sécurité déclarent que la gestion d’une réponse à un incident a amélioré leur réputation interne, tandis que seulement 5 % ont déclaré que cela leur a nui.

Selon l’enquête de Cytactic menée auprès de 480 hauts responsables américains de la cybersécurité, dont 165 RSSI, « une réponse aux incidents bien gérée démontre que la sécurité est un catalyseur commercial qui protège les revenus, la réputation de la marque et la continuité opérationnelle en période de stress extrême. Le RSSI qui mène une réponse réussie élève non seulement sa propre réputation, mais aussi la valeur perçue de l’ensemble du programme de sécurité. »

Le rapport ajoute : « Un incident bien géré démontre la résilience, la compétence et le calme sous pression, qui sont très appréciés par les conseils d’administration et les PDG. »

Le RSSI Michael Oberlaender a été témoin de ce regain de respect interne après une défense réussie.

« Quand je prenais la parole pendant les réunions et que j’élevais – légèrement – ​​la voix pour parler, la salle entière devenait silencieuse et écoutait. J’étais parfois surpris et je pensais que je n’étais pas assez clair dans ce que je disais et je regardais les visages des gens pour voir s’ils comprenaient. Ensuite, j’ai réalisé qu’ils écoutaient et suivaient attentivement », dit-il. « Les dirigeants des secteurs d’activité étaient plus ouverts à entendre ce que j’avais à dire. »

Oberlaender, qui a reçu « toute autorité pour signer les chèques pendant la crise majeure », a également constaté que les Finances prenaient ses demandes plus au sérieux à la suite de son succès en matière de défense, dit-il.

Le consultant en cybersécurité Brian Levine, ancien procureur fédéral qui est directeur exécutif de FormerGov et ancien directeur général de la cybersécurité chez EY-Parthenon, affirme qu’une meilleure situation budgétaire est vraiment la seule amélioration concrète à laquelle un RSSI peut s’attendre après une défense réussie, et même dans ce cas, non pas en raison d’une nouvelle admiration pour le RSSI mais parce qu’une attaque de grande envergure s’est produite et que des défenses améliorées sont nécessaires.

Pour certains RSSI, le problème est une question de visibilité et de communication, explique Levine, donnant l’exemple d’une entreprise qui a été touchée par une attaque massive de ransomware. Grâce à l’excellent travail en amont de l’équipe du RSSI, rien n’a été perdu. Tout a été parfaitement sauvegardé. Alors pourquoi le RSSI n’a-t-il pas été salué comme un héros ?

« Il disait au conseil d’administration – et probablement à son PDG – depuis des mois que son équipe prévenait quelque 50 000 attaques par jour. Ainsi, lorsque son équipe en empêche une, le conseil d’administration hausse les épaules », explique Levine. Les RSSI « normalisent en quelque sorte l’idée selon laquelle l’entreprise est constamment attaquée. C’est certainement vrai, mais cela rend très difficile pour le conseil d’administration de s’énerver pour empêcher une seule attaque ».

En défense de la défense

De plus, ce problème soulève la question suivante : pourquoi un responsable de la sécurité devrait-il être confronté à un cyberincident majeur pour gagner le respect de ses collègues ?

Jeff Pollard, vice-président et analyste principal chez Forrester, affirme que ce problème de perception des entreprises fait « tout simplement partie de la nature humaine. Si nous ne voyons pas les mauvaises choses se produire, nous n’apprécions pas toutes les choses qui ont été faites pour empêcher que ces mauvaises choses se produisent ».

Bien sûr, si une attaque se transforme en incident et que la défense se déroule mal, « elle peut facilement passer du statut de héros à celui de bouc émissaire », explique Pollard.

Oberlaender, qui travaille désormais comme consultant en cybersécurité, fait partie de ceux qui pensent qu’une expérience durement acquise doit être récompensée, mais ce n’est pas ce qu’il voit sur le marché aujourd’hui.

Historiquement, « une entreprise intelligente n’embaucherait pas un novice au poste de RSSI, mais un RSSI éprouvé, réellement et véritablement expérimenté, possédant plusieurs décennies d’expérience », explique Oberlaender. « Mais malheureusement, dans le climat économique actuel, c’est le contraire qui se produit. Les entreprises embauchent des RSSI bon marché, inexpérimentés, non qualifiés, non compétents et souvent dits virtuels pour une fraction du salaire, et se demandent ensuite pourquoi des violations de données et des incidents mal gérés leur explosent au visage. »

Parallèlement, d’autres experts du secteur suggèrent que les responsables de la sécurité disposent d’autres moyens de renforcer leur position dans le secteur – par exemple en se concentrant sur la valeur financière qu’ils apportent en termes de conquête et de fidélisation des clients.

Les RSSI « estiment qu’ils doivent combattre une attaque pour montrer leur valeur, mais ils peuvent réaliser et montrer de nombreux autres succès », explique Erik Avakian, conseiller technique chez Info-Tech Research Group. « Construire des KPI est un moyen puissant de montrer leur valeur. »

« Montrez (au PDG et aux autres dirigeants) ce qu’ils obtiennent de ces outils en termes d’évitement des coûts », explique Avakian, en proposant les filtres anti-spam comme exemple de bas niveau. « Sans ces filtres, beaucoup plus d’e-mails obstrueront les boîtes de réception des employés, ce qui réduira l’efficacité » et la productivité.

Ces autres dirigeants « comprennent les dollars et les centimes » et le problème est que trop de RSSI « ne prennent pas la peine de montrer la valeur réelle des KPI réels en dollars et en centimes », explique Avakian.

Chris Jackson, spécialiste senior de la cybersécurité chez Pluralsight, fournisseur d’enseignement technologique, renforce la frustration que ressentent de nombreux RSSI d’entreprise face au manque de respect approprié de la part de leurs collègues et de leurs patrons.

« Les RSSI ressemblent beaucoup aux entraîneurs sportifs professionnels. Peu importe leurs performances au cours de la saison ou le nombre de matchs qu’ils ont gagnés. S’ils ne remportent pas le championnat, cela est considéré comme un échec, et l’entraîneur est souvent le premier à partir », explique Jackson. « De la même manière, les RSSI peuvent passer 10 ans sans faille, mais un seul incident peut mettre fin à leur mandat. Trop souvent, les RSSI deviennent des boucs émissaires commodes. »

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Nikkei-Daten sur Slack-Konto eines Mitarbeiters geleakt
Nikkei-Daten sur Slack-Konto eines Mitarbeiters geleakt
Les packages NPM malveillants contiennent un voleur d'informations Vidar
Les packages NPM malveillants contiennent un voleur d’informations Vidar
Cloud strategy questions
Pourquoi les entreprises ne parviennent-elles pas à résoudre le problème de mauvaise configuration du cloud ?