Comment donner le sourire à votre Président
Vous êtes un pauvre RSSI à la recherche d'un budget afin d'améliorer la sécurité de votre entreprise. Comment faire pour convaincre votre Président, CEO, Directeur Général, ou équivalent ?
Pourquoi ne pas faire appel à la méthode MICE fondée par les services de renseignements britanniques à la grande époque de la guerre froide ?
Cet acronyme donne les méthodes de base pour obtenir des informations sensibles depuis une source chez l'adversaire :
• M = Money = Acheter les informations en cash à Moscou. L'argent reste une valeur sûre.
• I = Ideology = Convaincre un agent britannique de la supériorité du communisme sur le système capitaliste. Pratique très efficace à une certaine époque.
• C = Constraint = Exercer une pression psychologique voire physique pour soutirer les informations. Cas de la vidéo compromettante en charmante compagnie.
• E = Ego = « Ton chef ne reconnait pas ta valeur. Exfiltrer des informations très sensibles démontrera tes capacités ». Nous sommes tous des talents en manque de reconnaissance.
Comment appliquer cette méthode avec votre respecté Président ou autre décideur ?
• M = Il est généralement attentif aux résultats financiers de l'entreprise. Il se trouve que vous l'abordez généralement avec une proposition de dépenses. Essayez donc de montrer que cette dépense sera positive sur le bilan de l'entreprise.
o En améliorant la sécurité vous améliorez votre image de marque auprès de vos clients. Et l'image se monétise aujourd'hui : http://www.journaldunet.com/ebusiness/marques-sites/classement/combien-valent-les-marques-de-l-e-business-mondial/12-orange-13-milliards-de.shtml
o Bien présenté, c'est plus de confiance client et donc plus de contrats à la clef.
o En réduisant le nombre d'incidents coûteux à traiter vous réduisez les charges de l'entreprise. Les rapports disponibles sur le coût d'un incident peuvent vous y aider...
o En bref : Faites fonctionner votre imagination pour « positiver » cette dépense.
o Bien présenté, c'est plus de confiance client et donc plus de contrats à la clef.
o En réduisant le nombre d'incidents coûteux à traiter vous réduisez les charges de l'entreprise. Les rapports disponibles sur le coût d'un incident peuvent vous y aider...
o En bref : Faites fonctionner votre imagination pour « positiver » cette dépense.
• I = L'idéologie actuelle veut que « tout se mesure », de la valeur d'une marque à la crédibilité d'un placement financier en passant par le Price Earning Ratio (PER) d'une action. Bien sûr, vous pouvez objecter que la note « AAA » des sub-primes était a posteriori contestable. Mais c'est factuellement elle qui orienté les décisions d'investissements. Et puis ne dit-on pas que « pour améliorer il faut pouvoir mesurer ». Conclusion, la sécurité ne peut pas échapper à l'idéologie de la mesure et il faut une mesure simple de type « AAA » ou PER.
o Inventez un ou 2 indicateurs de sécurité. Trop d'indicateurs tuent l'indicateur.
o Ils doivent être simples : Un chiffre, une couleur (vert, orange, rouge), un cours verbatim. C'est le dogme de l'indicateur.
o Faire auto-explicatif. Le décideur ne lira pas un guide de lecture de 3 pages.
o Il doit être en résonance avec la raison sociale de l'entreprise. Une banque et un constructeur d'automobiles n'ont pas la même vision de la sécurité.
o Basez-vous sur des données factuelles : le nombre de virus détectés, le nombre de PC volés, le nombre de Spam reçus et/ou filtrés. Puis triez et agrégez, et enfin rajoutez votre estimation personnelle basée sur votre expertise.
o Ils doivent être simples : Un chiffre, une couleur (vert, orange, rouge), un cours verbatim. C'est le dogme de l'indicateur.
o Faire auto-explicatif. Le décideur ne lira pas un guide de lecture de 3 pages.
o Il doit être en résonance avec la raison sociale de l'entreprise. Une banque et un constructeur d'automobiles n'ont pas la même vision de la sécurité.
o Basez-vous sur des données factuelles : le nombre de virus détectés, le nombre de PC volés, le nombre de Spam reçus et/ou filtrés. Puis triez et agrégez, et enfin rajoutez votre estimation personnelle basée sur votre expertise.
• C = Les législations françaises, européennes, internationales, sectorielles font peser des menaces sur la tête de votre Président.
o Votre Président est responsable de la certification des comptes en regard de la loi Sarbanes-Oxley.
o Dans le domaine financier, la continuité d'activité fait partie des obligations de la licence d'opérateur bancaire.
o La gestion des risques opérationnels selon Bâle II impacte financièrement l'entreprise si le SI n'est pas sous maîtrise.
o Le Président est par défaut le responsable des traitements qui sera inquiété par la CNIL en cas de protection insuffisante des données personnelles.
o Pour résumer, votre président vit « dangereusement », et souvent sans le savoir. Informez-le, preuves à l'appui.
o Dans le domaine financier, la continuité d'activité fait partie des obligations de la licence d'opérateur bancaire.
o La gestion des risques opérationnels selon Bâle II impacte financièrement l'entreprise si le SI n'est pas sous maîtrise.
o Le Président est par défaut le responsable des traitements qui sera inquiété par la CNIL en cas de protection insuffisante des données personnelles.
o Pour résumer, votre président vit « dangereusement », et souvent sans le savoir. Informez-le, preuves à l'appui.
• E = Un Président s'équipe du dernier gadget à la mode (PDA, Internet mobile...) et il le montre dans un événement mondain. Immédiatement, ses pairs exigent de leur DSI d'être équipés pareillement.
o Votre concurrent vient d'améliorer sa sécurité, et il le fait savoir à ses clients et aux vôtres. Propager l'information vers votre Président. N'oubliez pas de vulgariser et d'être synthétique.
o Un concurrent vient d'obtenir un certificat ou un « Best Award » de la sécurité. Expliquez l'avantage concurrentiel que cela présente... pour le concurrent.
o Sachez générez l'envie. Un RSSI se doit d'être « sexy », en tout bien tout honneur.
o Un concurrent vient d'obtenir un certificat ou un « Best Award » de la sécurité. Expliquez l'avantage concurrentiel que cela présente... pour le concurrent.
o Sachez générez l'envie. Un RSSI se doit d'être « sexy », en tout bien tout honneur.
Pour compléter les quelques pistes de réflexion qui précèdent :
o Être factuel et ne pas manipuler : Un RSSI se doit d'adhérer à une certaine déontologie.
o Vulgariser : Vous êtes spécialiste du domaine, pas votre interlocuteur.
o Synthétiser : Votre lectorat gère quantité de sujets. Il ne peut vous consacrer qu'un temps très limité
o Rester modeste : Votre problématique sécurité est de la plus haute importance. Beaucoup d'autres aussi : Finances, RH, time to market...
o Vulgariser : Vous êtes spécialiste du domaine, pas votre interlocuteur.
o Synthétiser : Votre lectorat gère quantité de sujets. Il ne peut vous consacrer qu'un temps très limité
o Rester modeste : Votre problématique sécurité est de la plus haute importance. Beaucoup d'autres aussi : Finances, RH, time to market...
Au fait, pourquoi ce titre ? Parce que MICE = souris. Et un Président souriant c'est un budget gagné.
Allez, bonne chance pour votre budget Monsieur RSSI.
Je suis Chief Security Officer pour Orange Business et adore les systèmes de management de la sécurité de l'information et autres boucles PDCA. Mon but est d'obtenir le meilleur cocktaïl d'humains, process et outils pour faire tourner de l'oeil les hackers. Je donnerais ma main droite pour une Déclaration d’Applicabilité de la certification ISO 27 001 avec les bons controles et justificatifs.