Les dirigeants des entreprises sous-estiment la valeur des directeurs de la sécurité de l'information et les risques de cyberattaques
Les responsables de la sécurité doivent améliorer les relations au sein de la direction des entreprises et définir des attentes claires afin de diminuer les sources de stress.
Principaux points abordés dans cet article :
- Le nombre croissant des cyberattaques met les entreprises sous tension.
- En expliquant les risques encourus et les parades mises en place, les responsables d'entreprise sont en mesure d'apporter une meilleure aide en cas de défaillance.
- Il est possible de pacifier les relations au sein de la direction des entreprises en améliorant la compréhension des objectifs professionnels et en se fondant sur les données.
Au cours d'une semaine particulièrement stressante alors que la pandémie de COVID-19 faisait son apparition, Gary Hayslip, directeur de la sécurité de l'information chez SoftBank Vision Fund, s'est retranché chez lui. Avec sa femme, il a construit un vaisseau impérial de Star Wars composé de 4 700 Lego. "Cela m'a permis de me détendre et de méditer", a expliqué Gary Hayslip.
Une telle expérience serait bien nécessaire à de nombreux directeurs de la sécurité de l'information.
Les 18 derniers mois, les directeurs de la sécurité au sein des entreprises ont dû relever un nombre croissant de défis, mais aussi continuent d'être confrontés à d'importants obstacles en interne et à un flux permanent de menaces externes. Ils ont dû gérer le passage brutal au travail à distance, une hausse impressionnante des cyberattaques et une charge de travail accrue à cause du manque de personnel dans les équipes en charge de la sécurité. En outre, les directeurs doivent mener de nouvelles tâches, notamment liées à la conformité aux réglementations sur la confidentialité des données. Et ce n'est pas tout, leurs relations avec leurs entreprises sont devenues stressantes et incertaines. Elles n'ont même jamais été aussi tendues, selon une enquête récemment menée par EY auprès de responsables de la sécurité de l'information partout dans le monde.
"Étant donné la nature changeante actuelle des relations commerciales dans le contexte de la pandémie et le caractère permanent des attaques, les directeurs de la sécurité de l'information ont probablement la tâche la plus lourde à mener au sein des entreprises", affirme Manoj Bhatt, responsable des conseils en cybersécurité chez Telstra Purple, un cabinet de conseils technologiques appartenant à Telstra, le principal fournisseur de services de télécommunication d'Australie.
Pour accentuer encore le problème, nombre de dirigeants ne comprennent pas les risques pesant sur la sécurité et ne se rendent pas compte que les cyberattaques sont inévitables, d'après Matthew Rosenquist, directeur de la sécurité de l'information chez Eclipz, une entreprise de la Silicon Valley fournissant des technologies de chiffrement, qui a rédigé de nombreux articles et animé plusieurs présentations sur les défis auxquels se confrontent les décideurs dans le secteur de la sécurité.
Ainsi, les responsables de la cybersécurité se retrouvent dans des situations perdues d'avance. Comme le démontre Matthew Rosenquist, "si l'entreprise subit des pertes après avoir été attaquée à cause d'une défaillance du directeur de la sécurité de l'information, son poste va être remis en cause par la direction. Et, si l'entreprise ne subit aucune perte grâce au bon travail du directeur de la sécurité de l'information, la direction peut penser que tout va bien et que ce poste n'est pas nécessaire."
Selon les directeurs de la sécurité de l'information expérimentés et d'autres experts de la sécurité, de meilleures communications avec les autres dirigeants et les membres du conseil d'administration des entreprises permettraient d'apaiser les tensions et de diminuer la pression pesant sur leurs épaules. Voici quelques stratégies qui, à leur avis, favoriseraient l'empathie et la compréhension entre ces différents postes clés.
1. Définition d'attentes réalistes et communication d'informations détaillées à la direction
La plupart des directeurs de la sécurité de l'information comprennent les menaces auxquelles ils sont confrontés et les mesures prises pour les prévenir. Leur travail consiste à s'assurer que les autres dirigeants disposent des mêmes connaissances qu'eux. Si les responsables comprennent que les défaillances sont une réalité au sein des entreprises et s'ils ont confiance dans les parades mises en place, ils sont moins susceptibles de se sentir pris au dépourvu.
"Tout le monde fait face en permanence à de nouvelles défaillances. Par conséquent, le directeur de la sécurité de l'information doit informer le personnel de l'impact des risques sur l'entreprise et des systèmes mis en place afin de remettre les choses dans leur contexte", précise Gary Hayslip.
Au sein de SoftBank, Gary Hayslip s'attache à rencontrer les responsables d'autres services afin de comprendre leurs objectifs, les ressources essentielles dont ils disposent et qui doivent être protégées, mais aussi les désaccords que peuvent générer les mesures de sécurité au sein de leurs équipes. Il ne se considère pas comme un simple responsable technique, mais plutôt comme un "directeur qui gère les risques", selon ses propres termes. "Je ne suis pas le roi de la sécurité, confortablement installé sur mon trône."
2. Connaissance de votre public pour une communication efficace
En sa qualité de responsable, le directeur de la sécurité de l'information établit un lien important entre les équipes spécialisées dans ce domaine et les autres services de l'entreprise. Pour communiquer de manière efficace avec toutes ces parties prenantes, il faut comprendre leurs priorités, mais aussi parler leur langue en oubliant le jargon complexe utilisé par les experts en cybersécurité et en informatique.
Or, seulement un tiers des directeurs de la sécurité de l'information affirme disposer de solides compétences en communication, comme le révèle une récente étude de ClubCISO, une organisation basée à Londres qui regroupe 500 responsables de la cybersécurité du monde entier. Même si cette enquête souligne que les connaissances professionnelles sont bien plus importantes que les compétences techniques, une minorité de directeurs de la sécurité de l'information confirme être suffisamment équipée dans ce domaine.
Il est donc fondamental de connaître son public en interne. "Face à des collègues travaillant pour les ressources humaines, je leur parle de la confidentialité des informations sensibles du personnel", avoue Matthew Rosenquist. “En revanche, les services financiers sont intéressés par l'intégrité de leurs dossiers et processus. Les responsables des gammes de produits, quant à eux, veulent savoir comment les contrôles de sécurité influeront sur la rentabilité et leurs plans."
3. Mesures des éléments évidents
Après le PDG, le directeur financier est le collègue le plus important du directeur de la sécurité de l'information qui contrôle les budgets. Ainsi, en entretenant de bonnes relations avec lui, davantage de ressources sont disponibles pour alléger les charges de travail et pour mener d'autres initiatives en matière de sécurité.
Les données dures sont un outil essentiel dans les relations avec les directeurs financiers (et les autres dirigeants). Certains directeurs de la sécurité de l'information fournissent des données montrant le nombre de menaces contrecarrées au cours des 12 à 18 derniers mois, les mesures de protection mises en place et les objectifs des cybercriminels, comme l'affirme Khalid Kark, directeur informatique et responsable des recherches en matière de programmes chez Deloitte.
Comme se souvient Khalid Kark, un directeur de la sécurité de l'information travaillant dans le secteur des services financiers a créé des tableaux de bord personnalisés des risques de cyberattaques pour chacun des membres de la direction et des autres responsables de l'entreprise, ce qui leur a permis de vérifier régulièrement plusieurs indicateurs de sécurité.
"En matière de cybersécurité, ce qui est mesuré est reconnu, confie Khalid Kark. Des indicateurs définis permettent de raconter une histoire."
Signes encourageants pour l'avenir
L'enquête de ClubCISO donne une vue plus optimiste de l'année 2022 pour les directeurs de la sécurité de l'information : 86 % d'entre eux affirment que leur entreprise ont enfin adopté leur vision de la sécurité en tant que facteur essentiel, alors qu'ils étaient seulement 65 % avant la pandémie. Et près de 70 % des personnes ayant participé à l'enquête conviennent que leur entreprise a développé une culture positive de la sécurité, contre 45 % au maximum en 2020.
En parallèle, des directeurs de la sécurité de l'information trouvent leurs propres manières de lutter contre le stress. Par exemple, Matthew Rosenquist se détend en parcourant les contreforts de la Sierra Nevada sur sa moto, près de Sacramento où il habite. "Il est important de faire quelque chose de totalement prévisible que l'on contrôle pleinement, conseille Matthew Rosenquist. C'est un processus complètement différent de la cybersécurité.”
Récemment, Gary Hayslip et sa femme ont réservé une croisière à Hawaï et ont pris l'avion pour partir en vacances pour la première fois depuis de nombreuses années. "Dans ce secteur, vous devez trouver des façons de vous détacher de votre travail", conclut-il.