Pour le responsable de la sécurité des systèmes d’informations (RSSI), convaincre la direction d’investir suffisamment dans la cybersécurité demande doigté et conviction, face à des menaces possibles, mais pas certaines.

Comme par miracle, après une attaque informatique, des budgets sont disponibles pour le RSSI et les cordons de la bourse se délient. Mais quand rien ne s’est passé, il est très complexe pour le RSSI de persuader sa direction de mettre en place des solutions de protection. Difficile de convaincre le comité de direction de se protéger contre une attaque qui n’est jamais arrivée (et n’arrivera peut-être même jamais).

Certes, il existe un moyen de mesurer les impacts potentiels en analysant certains indicateurs : par exemple, on peut calculer le coût d’une attaque contre le système de production dans l’industrie automobile si les machines-outils s’arrêtent. Mais, même si le dossier d’analyse de risques est exhaustif (pertes financières, dégradation de l’image de marque, nombre de jours de fermeture de l’usine…), le comité de direction ne suivra pas forcément les conseils du RSSI : ce dernier imagine toujours le pire et après tout, la probabilité d’une attaque majeure sur le système de production est minime. Sauf dans certains cas, où la situation de l’environnement extérieur peut influencer l’avis de la direction.

L’exemple de ses concurrents

Un exemple intéressant est ce qui se passe dans les hôpitaux. L’actualité récentes liée aux cyber-attaques dans le monde hospitalier intéresse les responsables sécurité de toutes les industries, les poussant à durcir leurs systèmes de défense. Ces attaques ont même fait réagir le secrétaire d’État à la transition numérique, Cédric O, qui a indiqué que plus de 130 hôpitaux passeraient sous le statut d’OSE (Opérateurs de Services Essentiels) avec, pour conséquence, la mise en place de règles plus strictes de sécurité et un budget alloué à la cybersécurité représentant 5 à 10% des moyens informatiques.

Ce chiffre n’est pas dû au hasard : toutes les études menées par les cabinets d’analystes montrent que c’est le chiffre moyen qui doit être consacré à la cybersécurité pour avoir une protection efficace et il constitue de fait un bon indicateur. Un chiffre que les RSSI connaissent bien mais qu’il faut faire entendre à leur direction financière. Or celle-ci parle davantage de retour sur investissement, opex, capex, TCO… Le RSSI a donc intérêt à aborder la question du budget, en le comparant aux entreprises de son secteur : si un RSSI dispose de 2% du budget informatique, et que son concurrent direct en dispose de 10%, est-ce normal ? Au comité de direction de prendre ou non les mesures nécessaires.

Savoir communiquer avec la direction

Mais c’est aussi le rôle du RSSI de bien faire comprendre les risques existants dans un langage accessible, d’en expliquer les enjeux, d’être persuasif. Autrement dit, le DG n’est pas le seul responsable de l’orientation en matière de cyberprotection : si le RSSI sait être plus convaincant et mieux faire reconnaître ses besoins, la direction ne réagira sans doute pas de la même manière. Pour cette raison, le RSSI ne doit pas hésiter à suivre des formations qui ne sont pas techniques, mais tout simplement des séances de coaching pour être un bon négociateur, adapter son langage à sa cible (le directeur marketing, le DAF, le comité de direction…) pour que ses préconisations soient comprises et aient davantage de chances d’aboutir.

Le plus paradoxal est que quand le RSSI a pu obtenir les budgets pour installer une solution de sécurité, que celle-ci lui a permis de parer une attaque, personne ne s’en aperçoit et ne se rend compte du travail (et des moyens) qui ont été nécessaires. Le RSSI doit donc aussi diffuser cette information a posteriori et expliquer que le budget que la direction lui a confié a effectivement servi à repousser une attaque et que l’investissement est rentable.

Enfin, lors de la sortie d’un nouveau produit, le RSSI doit être au cœur du processus : ce n’est pas la peine de mettre sur le marché le meilleur article du monde si on est incapable de le produire parce que l’on a oublié une mise à jour sur une machine ou négligé une vulnérabilité de son logiciel interne. Autrement dit, la cybersécurité est un avantage concurrentiel, et c’est aussi là un argument clef à disposition du RSSI pour positionner la cybersécurité au cœur des projets ; c’est-à-dire à sa juste place.
___________________

Par Sébastien Jardin, Directeur du Business Development, IBM Security France