La priorité donnée à la sécurité dans les entreprises est en perte de vitesse. C'est en substance ce que dit le Forrester dans leur étude "Navigate The Future Of The Security Organization" (février 2012).
Le diagnostic est sans appel. En 2008, améliorer de façon significative la sécurité de son système d'information était une priorité importante pour 20% des personnes interrogées. A fin 2011, ce chiffre est redescendu à 16%.
le RSSI, un frein au progrès et à l'innovation
La raison à cette perte de vitesse ? Globalement, ce serait la faute au responsable sécurité (CISO - Chief Information Security Officer, RSSI en français). Celui-ci ne serait pas assez aligné sur le business et l'innovation. La sécurité reste encore perçue comme un empêcheur de tourner en rond mettant des barrières au progrès et à l'innovation.
trop technique et complexe le RSSI !
Autre point qui ressort de cette étude : le RSSI véhicule une image de complexité et de technicité. Il aurait aussi une vision trop "orientée risques" et pas assez "business". Cette façon de voir le monde de façon déformée étant l'un des principaux freins à faire passer ses messages auprès des autres membres de la direction.
arrêter de rabacher les comportements à oublier
Afin de mieux mobiliser sa direction, le Forrester identifie différents points qu'un CISO doit éviter de remettre sur le tapis trop fréquemment.
Parmi les points à oublier :
- demander sans cesse des rallonges budgétaires sans mettre en face des métriques pour en mesure l'efficaçité et leur valeur
- arrêter d'annoncer que les investissements réalisés sont désormais inefficaces vis-à-vis d'attaques comme les APT
- et enfin de communiquer uniquement sur les mauvaises nouvelles et d'oublier de valoriser les succès et avancées.
L'objectif est de créer une vision plus attrayante du futur : il s'agit de rendre le marié plus sexy.
donner du viagra au marié
taginlineimportLe conseil du Forrester ? Le CISO doit devenir un CBSO (Chief Business Security Officer).
- Il doit rechercher systématiquement à inscrire ses actions dans la valorisation et dans l'alignement avec les activités business
- il doit axer sa stratégie pour réduire les risques à un niveau acceptable tout en restant compatible avec les enjeux liés à la rapidité et l'efficaçité économique
- et surtout il doit communiquer sur les réalisations, même si elles sont perfectibles.
Un autre recommandation : capitaliser et améliorer les processus existants est une façon de faire plus avec moins.
Il est donc essentiel de bien analyser les processus en place pour y injecter la petite pilule bleue au bon endroit. (un exemple basé sur mon expérience interne chez Orange Business : capitaliser sur le processus ITIL de passage en CAB - Change Advisory Board - afin d'y intégrer la sécurité).
être plus business, moins technique et communiquer plus
Parler plus business, être moins dans la technique et communiquer plus largement : voilà ce qu'il serait possible de retenir de façon simple de cette étude du Forrester.
Cela reste des conseils simples, élémentaires même : mais ce n'est pas toujours facile pour des personnes ayant une vision d'expert et aimant la technique. Il est nécessaire de sortir de sa zone de confort, de se mettre un coup de pied dans le derrière, ou alors d'avaler une petite pilule bleue de temps en temps. :-)
en bonus : venez le 14 mai au Lundi de l'Intelligence Economique du MEDEF IDF
Communiquer, sensibiliser, former : trois verbes que les CISO, RSSI et que toute personne travaillant dans la sécurité connaissent bien.
En quoi un blog sécurité comme celui-ci est-il un outil de formation et de sensibilisation interne et externe ? Je répondrai à cette question le lundi 14 mai (18h-20h - Paris 17ième) lors des lundi de l'Intelligence Economique du MEDEF IDF.
Vous aurez la primeur d'un retour d'expérience basé sur le Blog Sécurité d'Orange Business et je vous donnerai mon retour personnel sur ce que cela a changé (et change) au sein d'une grande boîte comme la nôtre.
Les inscriptions sont ouvertes et c'est gratuit : les places sont limitées alors un conseil, ne trainez pas (coupon d'inscription PDF) ! En plus, vous aurez la joie de voir le Professeur Audenard en chair et en os : le top. ;-)
Disclaimer: l'association de la fameuse pilule bleue avec l'étude du Forrester est une idée bien de chez moi.... c'est juste au cas ou vous en auriez douté. ;-)
Jean-François
crédit photo : © dalaprod et © Maksim Samasiuk - Fotolia.com
Mise à jour du 21/05/2012 - JF Audenard - Le jeu de slides est visible sur Slideshare.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens