L’augmentation des cyberattaques et les pressions exercées par la COVID-19 sur les organisations amènent les responsables de la sécurité de l’information et leurs équivalents à penser à l’impensable : démissionner.
En fait, Gartner estime que d’ici 2025/26, près de la moitié des RSI actuels auront quitté leur emploi pour un autre poste, et parmi eux, 25 % quitteront la cybersécurité.
Certains appellent cela la Grande Démission. Gartner l’appelle la Grande Réflexion, alors que les dirigeants de la sécurité informatique réfléchissent à la question de savoir s’ils peuvent trouver un équilibre entre le travail et leur vie personnelle. Parfois, ils concluent que la solution consiste à s’en aller.
Avec la pénurie actuelle de talents, ce n’est pas tenable.
Lors de l’événement sur la sécurité MapleSEC de IT World Canada, deux experts de Gartner ont discuté de ce que les particuliers et les dirigeants d’entreprise peuvent faire pour mettre un terme à cette tendance.
« Une partie du défi auquel sont confrontées les RSI… c’est que vous avez l’impression d’être un pionnier dans ce que vous faites au fur et à mesure que vous le faites », a déclaré Geoff Crampton, associé exécutif de Gartner basé à Ottawa. Cela s’explique en partie par le fait que le rôle des RSI est relativement nouveau. En outre, de nombreux RSI ont progressé à partir de postes en informatique, mais aujourd’hui, la direction exige que ses membres soient des chefs d’entreprise, ce qui n’est pas une compétence que possèdent de nombreux RSI.
« Vous devez vraiment vous asseoir et déterminer où vous allez investir votre temps, comment allez-vous investir votre temps et quel est l’endroit le plus important où consacrer votre temps », a déclaré M. Crampton.
Satyamoorthy Kabilan, associé principal chez Gartner et ancien directeur de la sécurité nationale et de la prospective stratégique au Conference Board du Canada, a déclaré que les RSI devraient s’inspirer des recherches menées sur d’autres personnes confrontées à des périodes de stress élevé : les premiers intervenants, comme la police et pompiers, ainsi que les gestionnaires des urgences. Une leçon : en cas d’urgence, vous ne pouvez pas courir 24h/24 et 7j/7 pendant une semaine, vous avez besoin d’une équipe qui peut intervenir à votre place.
Il conseille donc aux RSI de constituer une équipe capable de partager les tâches en cas de crise.
Et le partage des responsabilités, a-t-il ajouté, est une grande motivation pour les autres membres de l’équipe de sécurité informatique à rester dans l’entreprise.
Pendant ce temps, les chefs d’entreprise doivent aider à alléger le fardeau des RSI, a déclaré Geoff Crampton. « Cela commence par la compréhension par l’organisation que la cybersécurité est la responsabilité de chacun. Ce n’est pas une question technique, ce n’est pas à une seule personne de devoir porter ce fardeau sur ses épaules. »
La haute direction y parvient en reconnaissant que les problèmes de cybersécurité constituent des problèmes de risque pour l’entreprise.
Gartner appelle cela le cyber-jugement de l’organisation : sa capacité à prendre des décisions basées sur les risques sur un certain nombre de facteurs, y compris la cybersécurité.
Lorsqu’une organisation fait preuve d’un bon jugement en matière de cybercriminalité, a déclaré M. Kabilan, le RSI ne sera pas considéré comme « le bloqueur » de l’innovation. Pour ce faire, a-t-il ajouté, le RSI doit comprendre les besoins de l’entreprise.
En fin de compte, a déclaré M. Kabilan, c’est à la haute direction de décider si elle a un bon RSI – ou un RSI potentiel – pour s’assurer que l’organisation le développe et le conserve.
« Nous voulons que les RSI passent d’un rôle de prévention des violations à un rôle de leader qui facilite la gestion des risques », a conclu M. Crampton. « Deuxièmement, nous voulons passer du cyber-risque considéré comme un problème de sécurité au cyber-risque comme un risque commercial ou organisationnel. Troisièmement, la sécurité ne peut pas être considérée comme un obstacle. Nous souhaitons reformuler cela en “La sécurité permet des produits et des opérations commerciales agiles et sécurisés”. »
« Si nous parvenons à réaliser ces trois recadrages au cours des années à venir, ces postes seront beaucoup plus soutenus dans nos organisations et les gens [de la sécurité de l’information] se sentiront soutenus. »
Adaptation et traduction française par Renaud Larue-Langlois.
