En effet, le rôle du RSSI va au-delà de la technologie. Souvent défini comme un technologue, le RSSI voit son rôle évoluer. Il ne peut pas se permettre de rester dans sa tour d’ivoire car, pour être efficace, la sécurité doit infuser dans toute l’organisation. Le RSSI doit être à même de concilier les impératifs de sécurité avec le besoin d’agilité. Il ne peut pas imposer des contraintes qui freinent les innovations.
Aujourd’hui, toute organisation moderne produit un grand nombre de logiciels qui supportent les services et les nouveaux usages. Si la sécurité était auparavant davantage centrée sur les infrastructures IT, elle exige désormais de se concentrer sur les logiciels tout au long de leur cycle de vie sous peine de devoir corriger à posteriori les vulnérabilités potentielles. Les équipes de sécurité ont également besoin de compétences et d’états d’esprit différents pour réussir dans de nouveaux domaines. Les RSSI les plus performants reconnaissent que la sécurité d’aujourd’hui va bien au-delà de la technologie.
Voici les trois comportements clés qui doivent guider les actions des RSSI :
• L’anticipation
Les risques et les attaques évoluent constamment. Le RSSI doit pouvoir garder une longueur d’avance en cherchant à prévenir les attaques et à en limiter leur portée. Il doit se tenir informé sur l’état de l’art de la cybersécurité et sur les exigences réglementaires.
• La collaboration
Pour être efficace la sécurité repose sur un travail d’équipe qui va bien au-delà des équipes de sécurité et concerne toute l’organisation.
• La rapidité de décision
Les attaques se propagent rapidement et les dégâts croissent en conséquence. En matière de risques, le délai de réaction n’est pas acceptable. Le RSSI doit développer son influence afin de pouvoir intervenir à tout niveau de la chaine hiérarchique de l’organisation et s’assurer de l’exécution immédiate des décisions.
Pour être appliquées et efficaces, les règles de sécurité doivent être connues, comprises et alignées avec la stratégie. Il faut s’attacher à donner de la visibilité aux actions de sécurité en faisant en sorte que la communication soit mieux ciblée et ne s’embarrasse plus de détails techniques inutiles. Les politiques de sécurité sont ainsi mieux comprises par les parties prenantes. En donnant aux équipes sécurité le sentiment de participer à la stratégie de l’entreprise avec une bonne compréhension du contexte de servie à rendre au public, elles sont plus enclines à prendre des décisions éclairées.
Les RSSI doivent donc évoluer pour être capable de répondre aux besoins liés à la sécurité et à la demande grandissante d’agilité. Leur rôle ne peut plus s’arrêter à celui d’ingénieur et doit s’ouvrir à un plus grand champ de compétences. Cela leur permettra non seulement d’anticiper les problèmes, mais aussi de mieux collaborer au sein de leur pôle et avec de nouveaux collaborateurs, pour améliorer la prise de décision.
En conclusion, les RSSI doivent devenir de véritables Ambassadeurs de la sécurité.
Stephan Hadinger, Head of Technology, Amazon Web Services France