Les équipes cloisonnées en matière de cybersécurité, d’opérations et de stratégie nuisent à la gestion des risques ; une culture et une gouvernance unifiées transforment le risque fragmenté en résilience.
Voici ce que personne ne vous dit à propos de la gestion des risques : votre cyber-équipe parle le klingon, vos responsables des opérations parlent l’elfique et vos responsables de la stratégie parlent le grec ancien. Et d’une manière ou d’une autre, vous vous attendez à ce qu’ils protègent tous le même château.
Nous avons regardé ce jeu plus de fois que nous ne voulons le compter. Le RSSI met en garde contre les menaces de ransomware. Les opérations s’inquiètent des ruptures de la chaîne d’approvisionnement. Le conseil d’administration est obsédé par la perturbation du marché. Ils parlent tous de risque, mais ils pourraient tout aussi bien se trouver sur des planètes différentes. Quand la crise frappe (et c’est toujours le cas), chacun se précipite dans sa propre direction tandis que l’endroit brûle.
Ces équipes sont brillantes dans ce qu’elles font. Le problème est que le risque a été divisé comme une dinde de Thanksgiving, chaque département revendiquant son morceau préféré. Le cyber prend le contrôle, les opérations la poitrine et la stratégie les ailes. Personne ne regarde l’oiseau dans son intégralité.
Cette fragmentation tue les entreprises. Enron ne s’est pas effondré parce qu’il manquait de personnes intelligentes ou de cadres sophistiqués. Il est mort parce que les informations ont été nettoyées, altérées ou autrement modifiées au fur et à mesure de leur progression dans la chaîne. Les dirigeants racontaient une histoire, les livres en montraient une autre et, dans certains cas, les opérateurs au sol n’avaient aucune idée de ce qui se passait réellement. Lorsque la vérité a finalement fait surface, la confiance s’est évaporée du jour au lendemain. Des milliards ont disparu. La plus grande faillite de l’histoire des États-Unis à l’époque.
C’est ce qui arrive lorsque le risque vit en silos.
Le problème des trois langues
Entrez dans n’importe quelle organisation et vous entendrez trois dialectes distincts du risque.
Les équipes de cybersécurité parlent en termes de vulnérabilités, d’acteurs de menace et de zero-day. Ils vivent dans un monde où les attaques évoluent plus rapidement que les défenses et où un serveur mal configuré peut exposer des millions d’enregistrements. Leur langage du risque est technique, immédiat et souvent terrifiant.
Les opérations parlent d’échecs de processus, d’erreurs humaines et de continuité des activités. Ils s’inquiètent des choses banales qui brisent les entreprises : le fournisseur qui fait faillite du jour au lendemain, l’employé qui clique sur le mauvais lien, l’incendie de l’entrepôt qui arrête la production pendant des semaines. Leur langage sur les risques est pratique et fondé sur ce qui peut mal se passer aujourd’hui.
La stratégie tient compte des évolutions du marché, des menaces concurrentielles et de l’obsolescence des modèles économiques. Ils jouent aux échecs pendant que tout le monde joue aux dames ; essayer de repérer la perturbation avant qu’elle n’arrive. Leur langage du risque est abstrait, à long terme et extrêmement incertain.
Aucun d’eux n’a tort. Mais aucun d’eux n’est complet non plus.
Lorsque Netflix a été menacé d’extinction par rapport au service concurrent de Blockbuster au début des années 2000, ils n’ont pas seulement réparé leur technologie, peaufiné leurs opérations ou révisé leur stratégie. Ils ont aligné les trois. Les dirigeants ont lancé un appel stratégique audacieux en faveur du streaming. Les opérations ont transformé l’ensemble de leur modèle de prestation. La technologie est devenue le fondement plutôt qu’une fonction de support. Ils parlaient une seule langue dans tous les domaines.
Blockbuster a gardé ses domaines séparés. La stratégie a pris des décisions sans comprendre les contraintes opérationnelles. Les opérations n’ont pas pu s’adapter assez rapidement. La technologie était en retard par rapport aux besoins du marché. Nous savons comment cette histoire s’est terminée.
Construire une culture à partir de trois langues
La norme ORCS (Organisational Risk Culture Standard) offre quelque chose que la plupart des cadres oublient : elle considère la culture comme un fondement et non comme une réflexion après coup. Vous ne pouvez pas intégrer la culture aux processus existants et dire que c’est terminé. La culture est la façon dont les gens envisagent réellement le risque lorsque personne ne les regarde. Ce sont les convictions partagées qui guident les décisions sous pression.
Considérez-le comme un système dynamique dans lequel les personnes, les processus et la technologie doivent danser ensemble. Les individus sont les opérateurs qui jugent les risques et agissent en conséquence. Les processus fournissent des normes, de sorte qu’il n’est pas nécessaire d’improviser en cas de crise. La technologie fournit des outils permettant de détecter des modèles, de surveiller les menaces et de réagir plus rapidement que les réflexes humains.
Mais voici le problème : ces trois éléments doivent s’aligner sur les trois domaines de risque. Votre équipe de cybersécurité doit comprendre comment ses décisions affectent les opérations. Votre équipe opérationnelle doit comprendre les implications stratégiques. Les responsables de votre stratégie doivent cesser de traiter les risques cybernétiques et opérationnels comme le problème de quelqu’un d’autre.
Cet alignement s’effectue à travers quatre piliers qui ont réellement du sens.
Intégration dans tous les domaines
Premièrement, le leadership et la gouvernance doivent s’intégrer dans tous les domaines. Il ne s’agit pas simplement d’un RSSI qui rend compte au CIO pendant que le COO fait ce qu’il veut, tandis que le conseil d’administration reçoit des mises à jour trimestrielles et que l’équipe des risques d’entreprise est introuvable dans le cyberespace.
Une véritable intégration signifie des comités interfonctionnels où les personnes chargées de la cybersécurité, des opérations, des risques et de la stratégie siègent ensemble, parlent le même langage et prennent des décisions comme une seule unité. Cela signifie des dirigeants qui modélisent le comportement qu’ils souhaitent voir, qui s’interrogent sur les impacts inter-domaines avant d’approuver quoi que ce soit d’important.
Mettre en place un système de veille unifiée sur les risques
Deuxièmement, vous avez besoin d’une intelligence unifiée des risques. Les renseignements sur les cybermenaces ne peuvent pas vivre dans une bulle. Lorsque votre équipe de sécurité détecte une campagne de phishing ciblant votre secteur, les opérations doivent le savoir, car cela affecte leurs collaborateurs. La stratégie doit savoir car elle signale la collecte de veille concurrentielle. Les renseignements sur les risques traversent les frontières ou ne sont que du bruit.
Cela nécessite d’appliquer le concept d’élasticité adaptative de la norme ORCS. Les organisations qui survivent ne sont pas rigides. Ils se plient. Ils se recalibrent. Lorsque les conditions changent, ils ajustent leur appétit pour le risque et leur tolérance en temps réel. Ils n’attendent pas la revue stratégique annuelle pour se rendre compte que le monde a changé il y a six mois.
Unifiez votre appétit pour le risque et communiquez-le
Troisièmement, vous établissez un appétit pour le risque unifié et un cadre de communication unifié. La plupart des organisations ont un appétit pour le risque implicite qui varie considérablement selon les départements. Le cyberespace peut être réticent à prendre des risques, tandis que la stratégie prend de grands changements et que les opérations divisent la différence. Ce n’est pas une stratégie. C’est le chaos avec un budget.
Un appétit pour le risque clair signifie que tout le monde sait quels risques vous poursuivrez et lesquels vous ne toucherez pas. La tolérance au risque fixe les limites. Lorsque vous les traversez, des alarmes se déclenchent et les gens s’intensifient. Aucune supposition. Pas de travail indépendant. Aucune surprise.
La communication rend cela réel. Partage d’informations transparent entre les domaines. Sécurité psychologique pour que les gens puissent faire part de leurs inquiétudes sans se faire mordre la tête. Lorsque la promotion sans fin des crevettes de Red Lobster a failli les mettre en faillite, le nouveau PDG ne s’est pas caché derrière les relations publiques. Il s’est directement tourné vers les réseaux sociaux, a assumé ses responsabilités et s’est directement engagé auprès des clients. Cette transparence a rétabli la confiance plus rapidement que n’importe quelle campagne marketing.
Ajouter une formation continue
Quatrièmement, vous intégrez l’apprentissage continu à la culture. La gestion des risques n’est pas un projet avec une date de fin. C’est une pratique qui évolue. Vous évaluez votre état actuel, concevez des améliorations, mettez en œuvre des changements et mesurez les résultats. Ensuite, vous recommencez. Et encore.
La norme ORCS propose un modèle de maturité à cinq niveaux. La plupart des organisations commencent au niveau 1, où la gestion des risques est réactive et fragmentée. Les gens improvisent. Des politiques existent sur papier, mais personne ne les suit. Les crises prennent tout le monde au dépourvu.
C’est au niveau 3 que les choses deviennent intéressantes. Vous disposez de cadres formels, de processus cohérents et d’une intégration modérée. La gestion des risques devient une partie de votre façon de travailler, et non quelque chose que vous faites lorsque vous y êtes forcé.
Le niveau 5 est celui où le risque devient un avantage concurrentiel. Vous anticipez les perturbations avant qu’elles ne surviennent. Vous transformez les menaces en opportunités. Les parties prenantes vous font confiance parce que vous l’avez gagné grâce à une action cohérente et éthique.
Le rendre réel
Voici à quoi ressemble la mise en œuvre dans la pratique, débarrassée du langage des consultants.
Vous commencez par évaluer votre état actuel à travers 10 dimensions : leadership, intelligence des risques, éthique, prise de décision, appétit pour le risque, communication, intégration technologique, développement des personnes, alignement du cadre et gestion du changement. Vous recherchez des écarts entre les domaines. Où les informations restent-elles bloquées ? Où les décisions sont-elles prises de manière isolée ? Où les gens parlent-ils des langues différentes ?
Ensuite, vous concevez l’intégration. Vous créez une taxonomie commune des risques afin que tout le monde utilise les mêmes termes. Vous construisez des structures de gouvernance qui forcent la collaboration entre domaines. Vous définissez des mesures importantes dans les trois domaines, et pas seulement au sein de silos.
La mise en œuvre commence modestement. Choisissez un risque interdomaine à fort impact. Les ransomwares fonctionnent bien car ils touchent à tout : les cyberdéfenses, la continuité opérationnelle et la réputation stratégique. Construisez-y votre réponse intégrée. Montrez que ça marche. Ensuite, mettez à l’échelle.
Vous aurez besoin d’une technologie qui relie les points. Des plateformes de gestion des risques qui donnent à chacun la même vision. Surveillance en temps réel qui détecte les modèles dans tous les domaines. Des tableaux de bord que les dirigeants peuvent réellement comprendre.
Mais la technologie n’est qu’un catalyseur. Le vrai travail est culturel. Former les gens à penser au-delà de leur domaine. Créer des incitations qui récompensent la collaboration en matière de protection du gazon. Créer des boucles de rétroaction afin que les leçons apprises dans un domaine se propagent à l’ensemble de l’organisation.
Patagonia y est parvenu en diffusant une annonce pleine page indiquant « N’achetez pas cette veste ». Ils ont reconnu le coût environnemental de leur propre produit à succès. Risqué? Absolument. Mais ils l’ont accompagné de changements opérationnels : services de réparation, programmes de recyclage et plateformes de revente. Ils ont aligné l’éthique, les opérations et la stratégie. Les ventes ont bondi de 30 % l’année suivante parce que les clients leur ont fait confiance.
La récompense
Lorsque vous y parvenez, les avantages s’accumulent.
Vous voyez les risques plus tôt parce que vous regardez la situation dans son ensemble, pas seulement votre part. Ces renseignements sur les cybermenaces révèlent une vulnérabilité de la chaîne d’approvisionnement. Cette perturbation opérationnelle signale un changement stratégique sur votre marché. Vous reliez les points qui manquent aux équipes cloisonnées.
Vous répondez plus rapidement car tout le monde connaît le plan. Pas de temps perdu à se demander à qui appartient le problème ou qui doit diriger la réponse. La structure de gouvernance a déjà défini les rôles. Les canaux de communication existent déjà. Vous exécutez.
Vous prenez de meilleures décisions parce que vous équilibrez les risques et les opportunités dans tous les domaines. Vous n’êtes pas imprudent en stratégie tout en étant paranoïaque en cyber. Vous maintenez l’équilibre dynamique des risques de la norme. Vous prenez des risques calculés qui soutiennent vos objectifs tout en respectant les limites qui protègent ce qui compte.
Plus important encore, vous établissez la confiance. Les employés font confiance au leadership parce qu’ils voient des valeurs cohérentes en action. Les clients vous font confiance parce que vous êtes transparent lorsque les choses tournent mal. Les investisseurs vous font confiance parce que vous faites preuve de résilience. Les régulateurs vous font confiance parce que vous vous conformez à des cadres tels que ISO 31000 et COSO ERM.
Le risque cesse d’être quelque chose que vous gérez et devient quelque chose que vous utilisez. Toutes les organisations n’y parviendront pas. La plupart resteront coincés dans leurs silos, parlant leurs langues différentes, se demandant pourquoi ils continuent d’être aveuglés.
C’est ainsi que l’on construit une culture à partir de trois langues et que l’on transforme les perturbations en avantage. Et soyez celui qui sera encore debout lorsque la poussière retombe.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
