Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Sensibilisation & business : le viagra de la sécurité

Sensibilisation & business : le viagra de la sécurité
2012-05-032013-02-11bonnes pratiquesfr
Etre plus business, moins technique et communiquer plus : c'est en substance la recette du viagra pour booster la sécurité dans son entreprise. Décryptage & petit...
Publié le 3 Mai 2012 par Jean-François Audenard dans bonnes pratiques
viagra

La priorité donnée à la sécurité dans les entreprises est en perte de vitesse. C'est en substance ce que dit le Forrester dans leur étude "Navigate The Future Of The Security Organization" (février 2012).

Le diagnostic est sans appel. En 2008, améliorer de façon significative la sécurité de son système d'information était une priorité importante pour 20% des personnes interrogées. A fin 2011, ce chiffre est redescendu à 16%.

le RSSI, un frein au progrès et à l'innovation

La raison à cette perte de vitesse ? Globalement, ce serait la faute au responsable sécurité (CISO - Chief Information Security Officer, RSSI en français). Celui-ci ne serait pas assez aligné sur le business et l'innovation. La sécurité reste encore perçue comme un empêcheur de tourner en rond mettant des barrières au progrès et à l'innovation.

trop technique et complexe le RSSI !

Autre point qui ressort de cette étude : le RSSI véhicule une image de complexité et de technicité. Il aurait aussi une vision trop "orientée risques" et pas assez "business". Cette façon de voir le monde de façon déformée étant l'un des principaux freins à faire passer ses messages auprès des autres membres de la direction.

arrêter de rabacher les comportements à oublier

Afin de mieux mobiliser sa direction, le Forrester identifie différents points qu'un CISO doit éviter de remettre sur le tapis trop fréquemment.

Parmi les points à oublier :

  • demander sans cesse des rallonges budgétaires sans mettre en face des métriques pour en mesure l'efficaçité et leur valeur
  • arrêter d'annoncer que les investissements réalisés sont désormais inefficaces vis-à-vis d'attaques comme les APT
  • et enfin de communiquer uniquement sur les mauvaises nouvelles et d'oublier de valoriser les succès et avancées.

L'objectif est de créer une vision plus attrayante du futur  : il s'agit de rendre le marié plus sexy.

woman with pillsdonner du viagra au marié

taginlineimportLe conseil du Forrester ? Le CISO doit devenir un CBSO (Chief Business Security Officer).

  • Il doit rechercher systématiquement à inscrire ses actions dans la valorisation et dans l'alignement avec les activités business
  • il doit axer sa stratégie pour réduire les risques à un niveau acceptable tout en restant compatible avec les enjeux liés à la rapidité et l'efficaçité économique
  • et surtout il doit communiquer sur les réalisations, même si elles sont perfectibles.

Un autre recommandation : capitaliser et améliorer les processus existants est une façon de faire plus avec moins.

Il est donc essentiel de bien analyser les processus en place pour y injecter la petite pilule bleue au bon endroit. (un exemple basé sur mon expérience interne chez Orange Business Services : capitaliser sur le processus ITIL de passage en CAB - Change Advisory Board - afin d'y intégrer la sécurité).

être plus business, moins technique et communiquer plus

Parler plus business, être moins dans la technique et communiquer plus largement : voilà ce qu'il serait possible de retenir de façon simple de cette étude du Forrester.

Cela reste des conseils simples, élémentaires même : mais ce n'est pas toujours facile pour des personnes ayant une vision d'expert et aimant la technique. Il est nécessaire de sortir de sa zone de confort, de se mettre un coup de pied dans le derrière, ou alors d'avaler une petite pilule bleue de temps en temps. :-)

en bonus : venez le 14 mai au Lundi de l'Intelligence Economique du MEDEF IDF

Communiquer, sensibiliser, former : trois verbes que les CISO, RSSI et que toute personne travaillant dans la sécurité connaissent bien.

En quoi un blog sécurité comme celui-ci est-il un outil de formation et de sensibilisation interne et externe ? Je répondrai à cette question le lundi 14 mai (18h-20h - Paris 17ième) lors des lundi de l'Intelligence Economique du MEDEF IDF

Vous aurez la primeur d'un retour d'expérience basé sur le Blog Sécurité d'Orange Business Services et je vous donnerai mon retour personnel sur ce que cela a changé (et change) au sein d'une grande boîte comme la nôtre.

Les inscriptions sont ouvertes et c'est gratuit : les places sont limitées alors un conseil, ne trainez pas (coupon d'inscription PDF) ! En plus, vous aurez la joie de voir le Professeur Audenard en chair et en os : le top. ;-)

Disclaimer: l'association de la fameuse pilule bleue avec l'étude du Forrester est une idée bien de chez moi.... c'est juste au cas ou vous en auriez douté. ;-)

Jean-François

crédit photo : © dalaprod et © Maksim Samasiuk - Fotolia.com

Mise à jour du 21/05/2012 - JF Audenard - Le jeu de slides est visible sur Slideshare.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage