18 mars 2008
Le secret du succès des bons responsables sécurité
Forrester Research décrit le RSSI idéal. Celui-ci doit afficher un solide sens moral qui servira d'exemple à toute l'entreprise. Plutôt qu'un technicien hors pair, il doit comprendre les enjeux techniques et évoluer vers la gestion des risques de l'entreprise.
En témoigne la crise récente de la Société Générale, le rôle d'un responsable de la sécurité devient de plus en plus complexe, qu'il s'agisse d'empêcher la fuite de données ou de maîtriser les problématiques de conformité réglementaire. Face à ces défis permanents, certains RSSI (Responsable de la Sécurité des Systèmes d'Information) réussissent mieux que d'autres, selon une étude récente de Forrester Research. Le cabinet d'analystes a identifié sept caractéristiques qui font que certains RSSI réussissent mieux que d'autres. Au-delà des conseils auxquels on pouvait s'attendre (avoir une relation étroite avec son employeur, faire de la sécurité une question omniprésente à l'échelle de l'organisation toute entière), plusieurs caractéristiques inattendues sont apparues lors de l'enquête menée par Forrester.
Une boussole morale est la clé du succès
La découverte majeure est que les responsables sécurité réellement
efficaces doivent avoir une solide boussole morale qui leur permette de
susciter l'adhésion autant par l'exemple que par le respect qu'inspire
leur mandat. « On s'attend à ce qu'un RSSI ait une certaine expertise technique, mais c'est sa personnalité qui fait la réussite, déclare Khalid Kark, analyste chez Forrester et rédacteur de l'étude. « Avoir
l'intégrité, la visibilité, et faire en sorte que les gens sachent
qu'en tant que personne vous ferez toujours ce qu'il faut faire, est
d'une grande importance quand on vous fait confiance pour protéger une
grande quantité d'informations sensibles ».
Savoir instinctivement ce qu'il faut faire
D'autres responsables peuvent peut-être se permettre d'agir dans le dos
de certaines personnes afin d'accomplir leur tâche, mais les RSSI qui
veulent gagner le respect nécessaire afin de mener leur travail le plus
efficacement possible, doivent diffuser l'image d'une personne à
l'indéniable fiabilité. « C'est
la caractéristique que beaucoup de gens valorisent vraiment dans un
RSSI. Or, un des problèmes des RSSI est que cela prend du temps de
bâtir la confiance, mais si vous avez la bonne boussole morale, et que
vous savez instinctivement ce qu'il faut faire, vous irez plus vite, affirme Khalid Kark
Savoir équilibrer les rôles
Afin de gagner cette confiance, il faut aussi travailler avec la «
psyché de l'entreprise » tout en équilibrant ses rôles de gendarme et
de politique. Autres points clés pour réussir, avoir la flexibilité
suffisante pour chercher des solutions créatives, et aller vite d'un
projet à l'autre, tout en restant aussi patient que possible, et
diriger la sécurité comme si c'était une unité d'affaires. Ce dernier
talent réclame la capacité de réunir beaucoup de données sur la
sécurité et les réglementations, ainsi que de savoir comment les
utiliser afin de défendre les budgets et les projets correspondants.
Aider les autres à prendre des responsabilités
Un des traits les plus importants de n'importe quel RSSI, déclare
Khalid Kark, est de se comporter en « faiseur de roi », quelqu'un qui
aide les autres à améliorer leurs propres compétences en agissant en
mentor, plutôt qu'en régulateur draconien qui donne simplement des
ordres et qui s'attend à ce qu'ils soient exécutés. « Les
RSSI ont besoin d'aider d'autres personnes à réussir et à prendre des
responsabilités. Cela devrait faire partie de leur stratégie de
sécurité globale ». Un talent associé consiste à ne pas jouer au jeu de la de critique. « Les
RSSI doivent être prêts à assumer une grande partie du blâme lorsque
les choses tournent mal, même si c'est la faute de quelqu'un d'autre.
Il ne faut pas tout accepter, mais si vous pouvez prendre le blâme sur
vous et utiliser cela pour travailler sur des questions qui améliorent
la situation globale de l'organisation, c'est une chose à faire ».
Des compétences techniques très évoluées remises en question
Un aspect que Forrester ne cite pas comme critique est d'avoir un niveau élevé de compétences techniques. "Certains
ont dit oui, et d'autres ont dit non. Il s'agit là d'un vieux débat. La
clé, je crois, est qu'il faut absolument avoir la capacité de
comprendre des données techniques, mais vous n'avez pas forcément
besoin des compétences pratiques, résume Khalid Kark. Beaucoup de
RSSI qui réussissent dans leurs fonctions, ne se concentrent pas sur
des questions opérationnelles telles que la gestion des pare-feu, mais
ils ont besoin d'être prêts à définir une politique de sécurité et à
élaborer la position de leur société vis-à-vis des risques.
Une approche du haut vers le bas
"En fait, de
nombreux RSSI qui ont des compétences techniques soutiennent que leurs
connaissances les conduisent souvent à s'embourber dans trop de
décisions opérationnelles et de projets ». Indépendamment des
capacités techniques d'un RSSI, Khalid Kark estime qu'il va devenir de
plus en plus important pour les responsables sécurité de s'éloigner
d'une approche « du bas vers le haut » de la sécurité, où l'accent est
mis sur les outils à utiliser, pour aller vers une approche « du haut
vers le bas » menée par la gestion des risques et les concepts de
gouvernance. "Ces cadres doivent évoluer depuis l'expertise
opérationnelle vers un rôle de penseur stratégique, du rôle de policier
à celui d'un conseiller digne de confiance». «Ils doivent se
considérer davantage comme un consultant, par opposition à un auditeur,
et évoluer de spécialiste de la sécurité informatique à généraliste des
risques de l'entreprise."
Commentaires
Poster un commentaire
Rétroliens
URL pour faire un rétrolien vers ce message :
http://www.canalblog.com/cf/fe/tb/?bid=384856&pid=8329013
Liens vers des weblogs qui référencent ce message :