Ces dernières années, les RSSI ont obtenu une place à la table et l’oreille du conseil. Il y a de fortes chances que l’importance des RSSI continue à mesure que les cybercriminels multiplient les attaques et que les conseils d’administration deviennent plus à l’aise avec la cybersécurité et son impact sur l’entreprise. Il est plus important que jamais que les RSSI profitent de ce moment pour créer et maintenir une synergie avec le conseil d’administration.
Le rôle du RSSI a surtout évolué après la pandémie. Le pivot vers un modèle de travail à domicile a attiré l’attention de tous, et les attaques de rançongiciels débilitantes et les événements géopolitiques ont repris là où la pandémie s’était arrêtée. Les membres du conseil d’administration comprennent désormais ce que la cybersécurité signifie pour une entreprise, avec 88 % des conseils d’administration dans une enquête Gartner reconnaissant la cybersécurité comme un risque commercial.
Lorsqu’il s’agit de communiquer avec le conseil d’administration, les RSSI doivent aujourd’hui savoir quoi dire, comment le dire et quand. Alors, comment obtiennent-ils cette exposition et la maintiennent-ils? Les RSSI doivent garder à l’esprit ce qui suit.
Venez avec les réponses
L’époque où les RSSI se présentaient simplement devant le conseil d’administration une fois par an avec un diaporama est révolue. Maintenant que de nombreux conseils ont embauché des membres qui ont une certaine expérience en matière de sécurité et/ou ont créé des comités de sécurité distincts pour mieux comprendre les menaces auxquelles sont confrontées leurs organisations, ils sont susceptibles d’avoir des questions pour la personne qui se tient devant eux. Bien que les RSSI ne soient pas des diseurs de bonne aventure, il est important d’anticiper les domaines critiques d’importance. Soyez prêt à répondre à toutes vos questions liées à la sécurité, qu’il s’agisse d’une menace récente faisant la une des journaux, d’une nouvelle technologie ou de la mise en œuvre de politiques susceptibles d’avoir un impact sur votre personnel.
Donnez du sens à vos slides
Ne perdez pas de temps, que ce soit le tableau blanc ou le vôtre, avec des diapositives conçues pour remplir l’espace ou pour rendre votre présentation agréable. Le temps est limité, réfléchissez donc attentivement à ce que le conseil doit savoir. N’oubliez pas d’appuyer avec des faits et des exemples. Restez simple, direct et précis.
Équilibre Tech-Speak et Business-Speak
Les membres du conseil d’administration sont peut-être plus férus de technologie que jamais, mais les bits et les octets seuls ne les affecteront pas. En effet, trop de détails techniques peuvent brouiller le tableau. L’utilisation de points techniques pour souligner les affirmations et les objectifs commerciaux peut contribuer grandement à renforcer votre message.
Poussez vos affaires
Les RSSI ne doivent pas hésiter à expliquer ce qu’ils ont fait ou leurs réussites. Confiance et compétence du projet. Les babillards électroniques sont remplis de personnes qui ont réussi leur propre succès et, en général, sont attirés par ceux qui ont fait de même. Parlez de ce que fait votre équipe et du bon fonctionnement des mesures de sécurité. Préparez-vous à répondre à la question « sommes-nous en sécurité ? »
Adresse pour les incidents de sécurité externes
Ne restez pas pris au piège dans une bulle où toutes les discussions sont centrées sur les affaires internes. Les dirigeants sont au courant d’incidents tels que l’attaque du rançongiciel Colonial Pipeline, évitez donc toute question. Assurez-vous d’inclure les informations dans une présentation qui traite de ce qui se passe ailleurs, en particulier dans votre secteur, et de la manière dont l’équipe de sécurité traite l’impact potentiel en interne.
Soyez clair sur les incidents de sécurité intérieure
Malgré les meilleurs plans, les entreprises peuvent toujours subir une faille de sécurité ou un autre événement de sécurité. N’essayez pas de contourner le problème. Expliquez ce qui s’est passé, décrivez comment les mesures de sécurité ont réduit l’impact et profitez-en pour parler d’investir dans la sécurité pour prévenir de futurs accidents.
Mettre l’accent sur le positif
Lorsque les temps sont durs ou qu’un budget plus important est nécessaire, il est tentant de tout mettre en œuvre en fonction de l’état de sécurité désastreux d’une organisation. Résistez à cette tentation. Évitez d’enrober de sucre la vérité, mais évitez également de prendre un ton apocalyptique et de ne mettre l’accent que sur le négatif. Élaborez un plan pour remédier aux aspects négatifs et devenir plus proactif.
Obtenez un audit tiers
Alors que les entreprises doivent faire confiance à l’expérience et à l’expertise de leur CISO, une voix isolée peut ne pas suffire. Parfois, en particulier si un RSSI est nouveau, l’embauche d’un consultant pour évaluer la position de sécurité d’une entreprise peut contribuer grandement à renforcer la thèse du RSSI auprès du conseil d’administration. Mais les RSSI doivent s’assurer qu’ils guident le tiers vers les métriques qu’il souhaite plutôt que de lui donner carte blanche.
Gardez le score
Présenter des informations sous la forme d’un score – un classement, un vote ou un code couleur, peut-être – en utilisant un cadre populaire comme le NIST CSF peut attirer l’attention du conseil d’administration et fournir des informations d’une manière que les membres peuvent facilement saisir. Pensez à des notes comme A à F ou à un système de feux de signalisation pour marquer les progrès et identifier les vulnérabilités. Choisissez un cadre bien connu et mettez à jour les scores fréquemment.
Faites de la reconnaissance
Il ne suffit pas de se présenter et de lire votre rapport. Apprenez à connaître les conseils en faisant des recherches approfondies pour essayer de comprendre les priorités, les préférences et les styles des gens. Parlez donc de ces priorités lors de votre présentation.
Cultivez un allié
Ne présumez pas que tous les membres du conseil sont les mêmes ou qu’ils accepteront et traiteront les informations de la même manière. Les RSSI doivent lire la salle, comprendre qui est attentif, qui répond rapidement aux questions et qui se rapporte bien à ce qui est présenté. Essayez d’établir des relations avec ces personnes dans et autour de la salle de réunion et utilisez-les pour évaluer comment façonner les présentations et établir des relations avec les autres membres du conseil.
Communiquez régulièrement
Il est facile de s’impliquer dans la préparation d’une assemblée annuelle et d’oublier que la présence au conseil d’administration est un processus continu. Cherchez des moyens d’atteindre le conseil tout au long de l’année, peut-être avec des mises à jour régulières. Mais attention à ne pas bombarder le tableau ou à enfreindre le protocole en escaladant la tête d’un supérieur.
Cela peut prendre du temps et des efforts pour cultiver une relation synergique avec le conseil, mais cela en vaut la peine. Les RSSI et les conseils d’administration peuvent devenir de puissants alliés contre les cybermenaces croissantes pour l’entreprise.
Devin Ertel, responsable de la sécurité de l’information (CISO), Menlo Security