Les sept qualités d’un excellent RSSI

À quoi reconnaît-on un bon RSSI ? Peut-être certains se posent-ils la question parce qu’ils nourrissent l'ambition d’être les meilleurs, à moins qu’ils ne cherchent à embaucher le meilleur RSSI ?

Les très bons Responsables de la Sécurité des Systèmes d’Information (DSSI) sont très recherchés, probablement parce que la fonction requiert d’excellentes compétences techniques et managériales, couplées à de remarquables qualités personnelles. Trouver le mouton à cinq pattes qui saura s’intégrer à la culture de l’entreprise revient à rechercher une aiguille dans une botte de foin. Déjà difficile à recruter, ce profil l’est encore plus lorsque les entreprises scindent le poste en deux, avec d’un côté un Directeur des systèmes d’information (DSI) et de l’autre, un Responsable de la sécurité informatique (RSI). Il faut alors trouver deux excellents profils.

Après l’attaque informatique contre Equifax — une agence américaine d’évaluation du crédit — le RSSI avait essuyé de violentes critiques, du fait de son diplôme en composition de musique. Mais au vu des réactions des spécialistes de la sécurité informatique, un RSSI n’a manifestement pas besoin d’être diplômé en cybersécurité pour être excellent... il doit juste maîtriser son sujet. Si c’est le cas, et qu’il sait diriger son personnel, il peut alors diviser par dix le risque de violation de données.

« Un RSSI doit savoir écouter et pouvoir discuter avec tout le monde, tout en restant sympathique et accessible. Il doit être capable, en fonction des risques, de prendre des décisions orientées « business » ET de les mettre en œuvre. » Christos Syngelakis, Motor Oil Hellas – Grèce  

Le métier de RSSI est déjà stressant, mais peut le devenir encore davantage si les collègues ne remontent aucune information ou ne communiquent pas. S’il se montre sympathique et disponible, le RSSI aura, certes, parfois à répondre à des questions idiotes, mais en cas d’incident important, les gens ne craindront pas de faire appel à lui.

À un abord facile et engageant s’ajoute une bonne capacité d’écoute. Dans son métier, le RSSI doit notamment savoir rester à l’écoute de ses collègues et supérieurs, comprendre leurs besoins et leurs projets, prendre des décisions pour limiter les risques et les répercussions pour l’entreprise. Nous reviendrons sur sa sympathie et sa disponibilité...  En effet, il nous semble que ces qualités sont indissociables d’autres qualités essentielles chez un RSSI.

Capacité à s’exprimer en des termes intelligibles pour les dirigeants

« Le quotidien d’un très bon RSSI est marqué par la lutte contre des attaques qui fusent de toutes parts. Il ou elle embauche les meilleurs talents — les plus qualifiés — et met à leur disposition les outils dont ils ont besoin pour mener à bien leur mission. Il ou elle communique régulièrement avec la direction à qui il transmet des indicateurs exploitables. Il ou elle n’édulcore jamais rien. » Richard Stiennon, Blancco Technology Group — États-Unis  

Communiquer directement avec la direction fait partie des missions du RSSI. Il lui faut ainsi rendre des comptes sur les progrès réalisés, quémander des budgets supplémentaires pour continuer à avancer, s’engager sur les buts et objectifs de l’entreprise en termes de sécurité des données et pouvoir justifier d’éventuels échecs. Malheureusement pour les RSSI, les dirigeants ne maîtrisent pas le jargon de la sécurité informatique. Ils doivent donc prémâcher et traduire leurs besoins, objectifs et rapports en termes digestes et compréhensibles pour les dirigeants.

Couplée à leur sympathie et disponibilité, cette compétence permet aux RSSI d’établir de bonnes relations avec la direction. Au fil du temps, leur rapport avec les dirigeants peut se muer en une relation plus franche, plus honnête et plus ouverte. En retour, la direction apprendra à faire davantage confiance aux stratégies, suggestions et requêtes présentées par le RSSI. Naturellement, cela ne se fait pas du jour au lendemain. Le RSSI doit avoir la personnalité adéquate pour gagner progressivement leur confiance.

Capacité à aligner la sécurité sur les objectifs de l’entreprise

« Un très bon RSSI comprend que son rôle n’est pas de contrôler l’entreprise, mais de lui donner les moyens de réaliser ses activités dans des conditions de sécurité raisonnables. Les grands RSSI harmonisent leurs programmes avec les valeurs et la finalité de l’entreprise. Ils savent communiquer avec les dirigeants en s’adaptant aux différences culturelles et les aident à prendre des décisions efficaces. Les grands RSSI embauchent de bons profils et leur font confiance pour effectuer leur travail pendant qu’ils font le leur. » Martin Fisher, Northside Hospital — États-Unis  

Autre point important : le RSSI ne doit jamais oublier que, s’il le veut vraiment, il peut créer un super coffre-fort inviolable et inattaquable, d’où aucune information ne pourra filtrer. Ce coffre-fort risque cependant de gêner l’activité commerciale de l’entreprise. Car une entreprise a besoin que l’information circule. Un très bon RSSI cherchera toujours le bon équilibre entre les intérêts pour la sécurité et ceux de l’entreprise.

Une entreprise cherche avant tout à créer de la richesse par le biais de ses produits et services. Un RSSI sans vision d’ensemble, incapable d’aligner ses objectifs avec les principaux buts et la mission principale de l’entreprise, est voué à l’échec. Si certains processus doivent être modifiés, la culture joue alors un rôle crucial. Vers qui le RSSI se tourne-t-il ? Qui est impacté ? Les collaborateurs doivent être associés à la prise de décision — d’où l’importance pour le RSSI de présenter un visage sympathique et avenant. Nous y revoilà. Il n’est pas simple d’instaurer une culture du changement. Cela requiert une bonne dose de...

« Un excellent RSSI maîtrise l’art de l’ingénierie sociale. Il faut des années de patience et d’ingéniosité pour transformer une organisation en profondeur, depuis son niveau de tolérance aux risques à sa culture dans le domaine de la sécurité, jusqu’à ses processus et ses codes. Âmes sensibles s’abstenir... » Wendy Nather, Duo Security — États-Unis  

Il semblerait que la sympathie et la disponibilité propres aux « grands » RSSI se répercutent sur l’ensemble de leurs qualités. Ce que Wendy Nather, de Duo Security, appelle la « maîtrise de l’art de l’ingénierie sociale ». Un excellent RSSI doit savoir comment assembler toutes les pièces du puzzle et pouvoir alors imaginer de nouvelles solutions pour que les conséquences sur le travail de chacun soient les plus limitées possibles.

Mais ils doivent avant tout comprendre qu’aucun changement ne se fait du jour au lendemain —, et ce quelle que soit l’organisation. Il faut de nombreuses années pour transformer visiblement et durablement la culture d’une entreprise. Le RSSI doit aborder le changement avec fermeté et constance. Si le leader du changement jette l’éponge, il y a de fortes chances pour que les autres en fassent de même.

« Un grand RSSI comprend parfaitement comment fonctionne son environnement. Il s’est entouré des bons collaborateurs IT pour garantir un niveau de protection maximum et faire avancer les projets en mettant en avant la sécurité. La sécurité devrait être leur priorité numéro un. » Dylan Kavanagh, Bank of Ireland — Royaume-Uni  

Au vu de l’étendue de ses responsabilités, le RSSI ne doit pas chômer. D’où l’importance pour lui de faire confiance à son équipe et de savoir déléguer. Un grand RSSI ne craint pas d’embaucher des collaborateurs techniquement plus pointus qu’il ne pourra jamais espérer être. Il complète son équipe avec des profils très « axés résultats » qui sont capables de réfléchir. Et avec un management efficace, chaque pièce du puzzle trouve sa place.

Là aussi, son naturel sympathique et sa disponibilité ont leur importance. Le RSSI est un chef. Son équipe doit pouvoir compter sur lui, l’apprécier et avoir envie de travailler pour lui. C’est à lui d’insuffler à son équipe et son environnement de travail le petit plus qui permettra de rivaliser avec les sociétés alentours. Dans le domaine de la cybersécurité, les vrais talents sont en effet difficiles à trouver. Et ce ne sont pas les opportunités qui manquent pour les vraies pointures. Un « grand » RSSI devra donc leur proposer un environnement de travail qu’ils n’auront pas envie de quitter et qu’ils seront prêts à recommander à leurs amis et ex-collègues lorsqu’un poste s’ouvre.

« Un « grand » RSSI est conscient des risques ; il reste au fait des orientations sectorielles qu’il est capable de traduire en impacts et obligations pour l’entreprise, de manière sûre et simple. » Andy Martin, Standard Life Aberdeen — Royaume-Uni  

Si le directeur marketing souhaite mettre en place un nouvel outil qui permettra d’économiser des milliers d’euros et de réaliser des gains d’efficacité, un très bon RSSI commencera par analyser cet outil afin de déterminer comment l’intégrer à l’infrastructure actuelle. Le flux de données paraît-il logique ? L’outil est-il sécurisé ? Le prestataire/fournisseur est-il sûr ? Ses pratiques en matière de traitement des données sont-elles conformes ? Un très bon RSSI cherche en permanence les failles pour essayer de les combler.

Un très bon RSSI réfléchit toujours aux risques pour l’entreprise, et les priorise. À quels niveaux se situent les plus gros risques de violation, de perte ou de vol de données dans l’entreprise, et comment l’entreprise entend-elle limiter les répercussions en cas de problème ?

« Un très bon RSSI est capable d’évaluer et de prioriser les ressources à protéger. De comprendre et hiérarchiser les risques pour ces ressources. De traduire ces risques en termes compréhensibles par les dirigeants pour faciliter l’affectation des budgets nécessaires. D’identifier et de mettre en œuvre les contrôles appropriés pour protéger ces ressources. D’anticiper et de réagir de manière appropriée aux incidents. Le caractère de ce qui est approprié varie d’une structure à une autre. » Sarb Sembhi, Virtually Informed — Royaume-Uni  

Les RSSI ne s’ennuient jamais. En fait, l’ampleur de leur tâche est telle qu’il est parfois difficile de trouver un moyen logique de tout gérer dans les temps, en restant efficace et productif. Bref, l’organisation est une qualité primordiale chez un très bon RSSI. Le quotidien de la plupart des RSSI consiste notamment à jongler entre les réunions, à gérer une équipe, prioriser les risques, s’aligner sur les objectifs de l’entreprise, auditer et prévenir la perte de données, etc.

Comme pour tout poste à haute responsabilité, l’adoption d’une démarche structurée peut faciliter la prise de fonction du RSSI. Ce que Sarb Sembhi résume parfaitement dans ces quelques conseils.

1. Évaluer et prioriser les ressources à protéger — Il est nécessaire de commencer par répertorier les données. Puis chercher à comprendre le fonctionnement de chaque département, utiliser les outils nécessaires et communiquer en interne et à l’extérieur. Quels sont les plus gros risques ? Où faut-il faire porter les principaux changements ?
2. Informer la direction sur les risques — Il est essentiel de s’appuyer sur les résultats de son évaluation et les données nécessaires pour identifier et mettre en avant les principaux points de vulnérabilité de l’entreprise. Comment traduire ces informations en un langage intelligible pour la direction ? Trouver un moyen d’expliquer en quoi les changements proposés justifient les coûts à engager, ou mieux, en quoi ces changements génèrent davantage de gains d’efficacité, de productivité et, par conséquent, plus de recettes pour l’entreprise.
3. Mettre en œuvre des contrôles appropriés – Il est fortement recommandé de s’appuyer sur une équipe de haut vol pour garder le contrôle sur ces ressources et maintenir en place les mesures appropriées pour que son équipe suive, rende compte et améliore en permanence la stratégie de sécurité.
4. Anticiper et réagir aux incidents — Le RSSI doit être prêt à faire face à tout, à tout moment. Il doit mûrir et documenter soigneusement son protocole d’intervention sur incident que chaque partie concernée devra maîtriser, pas « vaguement », mais sur le bout des doigts.
5. Adapter ses décisions en fonction de l’organisation — Chaque société est différente. Un très bon RSSI ne se contente pas de mettre quelque chose en place parce qu’il sait le faire, et que ça a marché ailleurs par le passé. Il le fait, car il sait que c’est le bon choix pour cette entreprise. En élaborant une stratégie qui s’ajuste aux besoins de l’entreprise, il aura ainsi l’assurance qu’elle durera plus longtemps et fonctionnera mieux.