Leçons du front : mener au mieux la guerre cyber
Face à la guerre ouverte qui se joue dans l'espace cyber, les responsables de la sécurité informatique doivent considérer une approche militaire pour protéger leurs positions.
L’épuisement professionnel des RSSI est bel et bien une réalité. L’industrie perd peu à peu du personnel expérimenté, qui a atteint sa limite en termes de fatigue, de stress et de querelles internes. Les RSSI estiment que leur travail peut être éprouvant, et 50 % pensent même que leur employeur ne les prépare pas à réussir.
C’est dans cet environnement tendu que je déjeune avec un ami lui aussi RSSI, que pour des raisons de confidentialité j’appellerai « M » ! En écoutant l’expérience dans l’armée de M, et en pensant au contexte actuel du conflit en Ukraine, je prends conscience de l’association étroite entre la cybersécurité et la pensée militaire. Dans les deux professions, il s’agit de contrôle des risques, de réalisation des objectifs et de gestion des ressources dans un environnement hostile.
Le positionnement du leadership
Dans les deux cas aussi, il faut faire preuve de leadership. Si la fonction a tout d’abord pour objectif de « diriger », il existe de nombreuses façons — certaines moins stressantes que d’autres — pour l’établir.
Prenons le conflit en Ukraine. Celui-ci a été marqué par la perte de plusieurs généraux russes qui se sont placés dans des zones de combat actives, et ce dans le but d’améliorer la cohésion sur place, de diriger les actions et de remonter le moral des troupes. On pourrait se demander : pourquoi avaient-ils besoin de se placer en première ligne ? Est-ce lié à la culture militaire russe ?
En examinant la question du point de vue de la cybersécurité, nous devrions nous demander si les RSSI peuvent se placer de la même manière en première ligne. L’un des défis auxquels les RSSI sont confrontés est que le stress et la charge de travail peuvent épuiser leur capacité de réflexion. On peut attribuer cela à leur implication dans les aspects opérationnels du rôle : la réponse aux incidents, le suivi des problèmes et la gestion dans le détail de nombreuses décisions de sécurité. Pour ce faire, il faut savoir gérer toute la « chaîne de commandement », du haut vers le bas, et inversement.
Les RSSI pourraient-ils améliorer leurs conditions de travail s’ils se distanciaient plus de l’organisation ? Pour alléger la pression du DSI/COO/CEO qui souhaite des mises à jour régulières, une solution est de créer un calendrier avec lequel s’aligner. Quant à vos collaborateurs, il faut leur donner une plus grande marge de manœuvre : établir des paramètres d’actions indépendantes et des processus autonomes d’escalade des incidents, soutenir les relations dont vos équipes ont besoin pour « faire avancer les choses » dans l’entreprise et leur donner les moyens d’agir avec autorité.
Ce n’est pas une mince affaire, mais sans ces objectifs, le RSSI sera continuellement entraîné dans des échanges de tirs soutenus, augmentant le stress et sapant son statut de dirigeant, en soutenant la perception du RSSI comme un « faiseur » plutôt qu’un leader.
La protection et l’allocation des ressources
M et moi avons discuté des avantages de la « distanciation » et, encore une fois, il a partagé sa sagesse militaire, en particulier son point de vue sur l’importance de la gestion des ressources. D’après M, il est toujours important de garder une force de réserve pour permettre la flexibilité militaire. Cette dernière peut contribuer à empêcher les percées ennemies, arriver en renfort sur la ligne de front ou aider à consolider les avancées. Mais son absence place le commandement dans une position difficile.
Encore une fois, les parallèles avec la cybersécurité étaient évidents. Si un imprévu se produit (ce qui, comme nous le savons tous, est plus ou moins la norme), il faut alors réaffecter les ressources, entraînant de multiples effets négatifs. La dynamique préétablie se brise, et le réalignement sur la nouvelle tâche prend du temps. L’attention est aussi détournée des initiatives en cours et il peut être difficile de disposer et de mobiliser au moment T, toutes les compétences exactement requises.
C’était certainement quelque chose que je vivais personnellement. Je ne reconnaissais pas l’importance de la « réserve » ni pour mon équipe ni pour moi-même.
Planifier votre avance
Ma rencontre avec M m’a beaucoup donné à réfléchir, et ces préceptes, aussi apparents soient-ils, méritent d’être réitérés. Si nous cherchons à profiter de longues et fructueuses carrières en tant que chefs de la cybersécurité, nous devons pouvoir gérer le stress indéniablement attaché à ce rôle :
- En donnant à nos équipes les moyens d’agir de manière plus indépendante, avec les outils, les relations et la confiance dont tous ont besoin pour agir dans le meilleur intérêt de l’organisation. Ensuite, il faut encourager la prise de responsabilité, ce qui n’est pas toujours bien reçu, mais qui permet de construire de la cohésion et de l’autonomie, et de voir naturellement émerger les leaders de demain.
- En identifiant et en mesurant nos propres capacités : au-delà de l’opérationnel, il faut libérer du temps et de l’espace pour les initiatives de développement personnel.
- Enfin, en cultivant notre propre bien-être physique et mental. Les longues heures, les présentations stressantes auprès du conseil d’administration et la sécurité de l’entreprise peuvent peser lourd. Prévoyez du temps pour faire de l’exercice. Prenez du temps loin du bureau.