MapleSEC : Comment empêcher les RSI de dire « adieu »

L’augmentation des cyberattaques et les pressions exercées par la COVID-19 sur les organisations amènent les responsables de la sécurité de l’information et leurs équivalents à penser à l’impensable : démissionner.

En fait, Gartner estime que d’ici 2025/26, près de la moitié des RSI actuels auront quitté leur emploi pour un autre poste, et parmi eux, 25 % quitteront la cybersécurité.

Certains appellent cela la Grande Démission. Gartner l’appelle la Grande Réflexion, alors que les dirigeants de la sécurité informatique réfléchissent à la question de savoir s’ils peuvent trouver un équilibre entre le travail et leur vie personnelle. Parfois, ils concluent que la solution consiste à s’en aller.

Avec la pénurie actuelle de talents, ce n’est pas tenable.

Lors de l’événement sur la sécurité MapleSEC de IT World Canada, deux experts de Gartner ont discuté de ce que les particuliers et les dirigeants d’entreprise peuvent faire pour mettre un terme à cette tendance.

« Une partie du défi auquel sont confrontées les RSI… c’est que vous avez l’impression d’être un pionnier dans ce que vous faites au fur et à mesure que vous le faites », a déclaré Geoff Crampton, associé exécutif de Gartner basé à Ottawa. Cela s’explique en partie par le fait que le rôle des RSI est relativement nouveau. En outre, de nombreux RSI ont progressé à partir de postes en informatique, mais aujourd’hui, la direction exige que ses membres soient des chefs d’entreprise, ce qui n’est pas une compétence que possèdent de nombreux RSI.

« Vous devez vraiment vous asseoir et déterminer où vous allez investir votre temps, comment allez-vous investir votre temps et quel est l’endroit le plus important où consacrer votre temps », a déclaré M. Crampton.

Satyamoorthy Kabilan, associé principal chez Gartner et ancien directeur de la sécurité nationale et de la prospective stratégique au Conference Board du Canada, a déclaré que les RSI devraient s’inspirer des recherches menées sur d’autres personnes confrontées à des périodes de stress élevé : les premiers intervenants, comme la police et pompiers, ainsi que les gestionnaires des urgences. Une leçon : en cas d’urgence, vous ne pouvez pas courir 24h/24 et 7j/7 pendant une semaine, vous avez besoin d’une équipe qui peut intervenir à votre place.

Il conseille donc aux RSI de constituer une équipe capable de partager les tâches en cas de crise.

Et le partage des responsabilités, a-t-il ajouté, est une grande motivation pour les autres membres de l’équipe de sécurité informatique à rester dans l’entreprise.

Pendant ce temps, les chefs d’entreprise doivent aider à alléger le fardeau des RSI, a déclaré Geoff Crampton. « Cela commence par la compréhension par l’organisation que la cybersécurité est la responsabilité de chacun. Ce n’est pas une question technique, ce n’est pas à une seule personne de devoir porter ce fardeau sur ses épaules. »

La haute direction y parvient en reconnaissant que les problèmes de cybersécurité constituent des problèmes de risque pour l’entreprise.

Gartner appelle cela le cyber-jugement de l’organisation : sa capacité à prendre des décisions basées sur les risques sur un certain nombre de facteurs, y compris la cybersécurité.

Lorsqu’une organisation fait preuve d’un bon jugement en matière de cybercriminalité, a déclaré M. Kabilan, le RSI ne sera pas considéré comme « le bloqueur » de l’innovation. Pour ce faire, a-t-il ajouté, le RSI doit comprendre les besoins de l’entreprise.

En fin de compte, a déclaré M. Kabilan, c’est à la haute direction de décider si elle a un bon RSI – ou un RSI potentiel – pour s’assurer que l’organisation le développe et le conserve.

« Nous voulons que les RSI passent d’un rôle de prévention des violations à un rôle de leader qui facilite la gestion des risques », a conclu M. Crampton. « Deuxièmement, nous voulons passer du cyber-risque considéré comme un problème de sécurité au cyber-risque comme un risque commercial ou organisationnel. Troisièmement, la sécurité ne peut pas être considérée comme un obstacle. Nous souhaitons reformuler cela en “La sécurité permet des produits et des opérations commerciales agiles et sécurisés”. »

« Si nous parvenons à réaliser ces trois recadrages au cours des années à venir, ces postes seront beaucoup plus soutenus dans nos organisations et les gens [de la sécurité de l’information] se sentiront soutenus. »

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Un duo montréalais lance une plateforme gratuite de formation en cybersécurité.

Deux amis d'enfance, tous deux entrepreneurs basés à Montréal,...

Des pirates abusent d’OAuth pour automatiser des cyberattaques, selon Microsoft

Selon Microsoft, des acteurs malveillants utilisent à mauvais escient les applications basées sur OAuth comme outil d'automatisation d'authentification.

Les entreprises canadiennes de taille moyenne paient en moyenne 1,13 million de dollars aux gangs de rançongiciels

Le paiement moyen de rançongiciel effectué par les entreprises canadiennes de taille moyenne s'élevait cette année à un peu plus d'un million de dollars, selon une nouvelle enquête.

Adoption du projet de loi no 38 sur la cybersécurité et la transformation numérique de l’administration publique

Le projet de loi no 38, connu sous le nom de Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives, a été adopté plus tôt cette semaine par l'Assemblée nationale.

Un groupe canadien reçoit 2,2 millions de dollars pour la recherche sur la détection des menaces par l’IA pour les réseaux sans fil

Un groupe composé de chercheurs universitaires canadiens et d'Ericsson Canada vient d’obtenir un financement public dans le cadre de la National Cybersecurity Coalition pour des recherches avancées sur la lutte contre les cybermenaces.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.