Pourquoi les conseils d’administration ignorent les RSSI et 4 façons de les amener à écouter

Imaginez un adulte devant vous parlant dans une langue étrangère inintelligible.

Selon Jeffrey Wheatman, c’est ainsi que la plupart des responsables de la sécurité des systèmes d’information (RSSI) sonnent à leurs conseils d’administration et à la direction générale.

Wheatman, le cyber-évangéliste du service américain d’évaluation de la sécurité de la chaîne d’approvisionnement informatique Black Kite, a présenté cette analogie lors de sa présentation lundi au siberX CISO Forum Canada. En fait, pour faire passer son message, il a commencé à parler de… quelque chose. C’était peut-être une langue. C’était peut-être du charabia. C’était certainement inintelligible. Cela a intrigué le public des pros de la sécurité de l’information.

C’était son point de vue : quelque chose d’inintelligible, c’est ce que les directeurs et la haute direction entendent lorsque la plupart des dirigeants de la sécurité informatique parlent.

La solution, a-t-il dit, est que les responsables de la sécurité informatique doivent apprendre à mieux communiquer avec les non-informaticiens.

Un ancien analyste de Gartner qui a parlé aux conseils d’administration et conseillé les RSSI sur la façon de parler aux conseils d’administration, il a proposé aux responsables de la sécurité informatique ces quatre conseils pour être plus efficaces :

  1. Apprendre à parler la langue des affaires : « Ils ne vont pas apprendre notre langue ; nous devons apprendre la leur. Pour nous, attendre d’eux qu’ils apprennent la nôtre est un exercice futile et voué à l’échec. Par exemple : n’expliquez pas l’impact possible d’un rançongiciel comme suit : « Cela entraînerait une panne du réseau ». La direction ne sait pas ce qu’est le réseau. Au lieu de cela, dites : « Vous ne pourrez pas envoyer de factures, les gens ne pourront pas nous payer, nous ne pourrons pas sortir de produits ». La direction, a déclaré Wheatman, se soucie de trois choses : l’argent qui entre, l’argent qui sort et « si les choses tournent mal, qui a des ennuis ». Que doivent faire les pros de la sécurité de l’information ? Prendre des cours de commerce, dont beaucoup sont gratuits; apprendre à lire un grand livre et comment la comptabilité est faite.
  2. Créer des histoires : Ne dites pas aux conseils d’administration et à la direction tout ce que vous savez sur la cybersécurité. Transmettez votre message en mots et en images pour éduquer, influencer une décision ou changer un comportement. Comment ? Inspirez-vous des médias qui racontent des histoires rapides comme le font les films, les émissions de télévision et les publicités. Construisez des analogies, qui sont des comparaisons. Distillez votre message dans une histoire d’une page, ce qui vous forcera à aller droit au but. Pratiquez ensuite votre argumentaire, peut-être à un ami, un enfant ou un conjoint. Lorsque vous faites cette présentation, n’oubliez pas de faire une pause aux points critiques et d’attendre une réponse – votre argumentaire résonne-t-il ? Ne demandez jamais à votre auditoire : « Cela a-t-il un sens pour vous ? » Mais vous pouvez demander : « Est-ce utile ? »
  3. Se concentrer sur les émotions, « pas les uns et les zéros dans les données et les informations », a déclaré Wheatman. Les données peuvent persuader les gens, mais elles n’inspirent pas l’action. « Les gens se souviennent plus de ce qu’ils ont ressenti après votre présentation que de ce que vous leur avez dit. Pensez à ce que vous voulez que les cadres ressentent lorsque vous avez terminé », a-t-il déclaré. Si vous ne savez pas ce que vous voulez qu’ils ressentent, votre message risque de ne pas arriver correctement. (Astuce : il est normal de vouloir qu’ils aient un peu peur, mais soyez sûr que vous savez ce que vous faites.) Vous pouvez utiliser les données avec prudence. Trop de points de données submergent le public. Trouvez des noyaux et construisez autour d’eux. Recherchez les points chauds ; sachez ce qui est important pour votre public : le PDG souhaite connaître l’impact de la cybersécurité sur son projet favori, le directeur de l’exploitation souhaite connaître l’impact opérationnel, et le service des ventes veut savoir si cela les aidera ou si cela entravera leur capacité à atteindre les objectifs de vente. Vous pouvez faire référence à quelque chose qui est arrivé à un concurrent (« Parlons de la façon dont nous pouvons éviter cela. ») Une partie de cela, soit dit en passant, comprend également la planification de scénarios : « Que pourrait-il arriver si (il y a une récession, un virus balaie le monde, nous perdons la connectivité internet…). »
  4. Comprendre l’appétit pour le risque de l’organisation  Vous ne voulez pas leur dire quel est leur risque, vous voulez entendre leur point de vue sur le risque en racontant des histoires et en posant des questions. Mais tout le monde doit comprendre et s’accorder sur des termes tels que « risque », « menace » et « opérations ». Créez ensuite des outils pour hiérarchiser ces risques. Enfin, assurez-vous que l’appétit pour le risque est lié aux objectifs de l’organisation. Par exemple, ne dites pas qu’il faut interdire aux employés d’installer leur propre logiciel parce que les ordinateurs tomberont en panne. Au lieu de cela, dites : « Nous devons maintenir les ordinateurs en fonction afin qu’ils puissent soutenir les clients ».

Le siberX CISO Forum Canada se poursuit mardi.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Le besoin de conseils d’administration d’entreprise « avertis en matière numérique » est plus crucial que jamais

Au final, aucun groupe n’a plus d’influence sur la façon dont une organisation fonctionnera et prospérera que son conseil d’administration. Qu'il s'agisse d'une organisation à but non lucratif ou d'une entreprise, la composition du groupe – qui préside les réunions et qui vote – est essentielle au succès, et personne ne le sait mieux que Dottie Schindlinger, directrice exécutive du Diligent Institute.

Les cyberattaques fonctionnent parce que les RSSI ne s’occupent pas de la sécurité de base selon Microsoft

Les dirigeants de la sécurité de l’information sont toujours en retard quant aux bases de la cybersécurité, laissant leurs organisations inutilement exposées aux attaques, déclare le vice-président de Microsoft Security.

Des solutions de gouvernance de l’IA pour en faciliter la surveillance par les conseils d’administration

NuEnergy.ai, une entreprise de technologie d’Ottawa qui offre des solutions de gouvernance de l'intelligence artificielle (IA), cherche à doter les hauts dirigeants d'entreprise des connaissances, du cadre et des logiciels nécessaires pour interagir avec les solutions de gouvernance de l'IA et inclure la gouvernance de l'IA dans leurs registres des risques.

Décalage entre les conseils d’administration et les RSSI sur la cybersécurité

Les responsables de la sécurité des systèmes d’information (RSSI) informent de plus en plus les conseils d'administration des stratégies de cybersécurité et du profil de risque de leur organisation. Mais une nouvelle enquête auprès de dirigeants suggère qu'il s'agit parfois d'un jeu du téléphone.

L’industrie de la restauration du Canada aura son premier marché dans le métavers

Restaurants Canada, une association sans but lucratif qui vise à accroître le potentiel de l’industrie de la restauration grâce à des programmes destinés aux membres, la recherche, la défense des intérêts, des ressources et des événements, développe un marché dans le métavers pour son industrie.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.