Avec un nombre croissant de cybermenaces visant leurs organisations et devant faire face à des budgets serrés, les responsables de la sécurité de l’information (RSI) peuvent ressentir un poids oppressant sur leurs épaules.
Il existe une solution, déclare Phil Venables, actuellement vice-président et directeur de la sécurité de l’information de Google Cloud, et ancien RSI du géant financier américain Goldman Sachs : ne prenez pas tout sur vous-même.
« Il s’agit d’un partenariat avec leurs collègues de l’informatique et le directeur informatique », a-t-il déclaré lors d’une récente interview à nos collègues de IT World Canada.
« Il leur faut s’assurer que leur direction se charge de la surveillance des risques afin que tout ne retombe pas sur le RSI. Dans bien des cas, le travail du RSI est stressant car il a l’impression d’être responsable de tout, mais l’équipe de sécurité peut ne pas disposer de suffisamment de ressources et de priorités pour faire tout ce que le RSI recommande. Ainsi, mettre en place la bonne structure de gouvernance des risques, lier les membres de l’équipe de direction afin de faire un effort d’équipe dans la gestion des risques, qui ne relèvent pas tous du RSI, est le meilleur moyen de diminuer le stress.
« Ce n’est pas différent de tout autre élément critique de la gestion d’une entreprise. Tout autre rôle de gestion de risque critique dans une grande entreprise ou une entité gouvernementale sera stressant si vous avez l’impression que vous êtes seul que tout vous incombe. Le meilleur antidote à cela est [pour le conseil] de créer une structure de gouvernance où la direction est collectivement responsable du risque, et non seul individu.
Par exemple, a-t-il dit, Google Cloud a un Cloud Risk Council présidé par Venables, mais les coprésidents sont le PDG et la personne qui gère toute l’infrastructure technique qui sous-tend tous les services Google. « Ainsi, lorsque je découvre un risque, il n’incombe pas seulement pour moi. Il y a moi et Thomas et Urs et toute la direction du cloud et de l’infrastructure. Nous arrivons à décider de la hiérarchisation et des ressources pour identifier et résoudre des risques particuliers. Dans certains cas, dans notre environnement vaste et complexe, les choses prennent plus de temps que je ne le souhaiterais. Mais le fait que nous ayons passé en revue les choses avec le PDG et le responsable mondial de toute notre infrastructure me soulage. »
Adapatation et traduction française par Renaud Larue-Langlois
