Secu
Des RSSI toujours un peu plus sous pression… par manque de communication ?
Par Laurent Delattre, publié le 13 juin 2024
Cela fait plusieurs années maintenant que des études mettent en évidence un certain « raz le bol » ambiant chez les RSSI. La dernière étude Trend Micro montre qu’ils restent soumis à des pressions toujours plus fortes avec des directions générales toujours peu à l’écoute et toujours prompts à les utiliser en bouc émissaire. Et pour Trend Micro, changer de stratégie de communication peut changer la donne…
Des attaques de plus en plus sournoises dopées à l’IA, l’arrivée de NIS2 et autres nouvelles règlementations de cybersécurité, l’impact des jeux olympiques sur la multiplicité des attaques, des budgets insuffisants face aux besoins, et un doigt pointé dans leur direction à chaque incident cyber… C’est clair, en 2024, rien ne joue en la faveur des RSSI et de la pression croissante qui pèse sur leurs épaules.
C’est d’ailleurs ce que confirme clairement la dernière étude de Trend Micro intitulée « The CISO Credibility Gap » qui souligne à la fois le défi de crédibilité auquel font face les RSSI et les difficultés qu’ils rencontrent à se faire entendre de leurs directions générales.
Ainsi, 4 RSSI sur 5 dans le monde (79%) ont le sentiment que les comités exécutifs, les conseils d’administration et les directions générales tendent à minimiser la gravité des risques cyber auxquels leur organisation est confrontée. Et si 59% des RSSI considèrent que la cyber constitue le plus grand risque business, 34% des responsables admettent encore que la cybersécurité est considérée dans leur organisation comme un sujet IT et non un risque Business ! Seulement 56% des RSSI français estiment que leur dirigeant comprend parfaitement les risques cyber.
Autre chiffre très inquiétant, 79% des RSSI dans le monde ont ressenti des pressions de la direction générale ou du conseil d’administration pour minimiser la gravité des risques cyber. Selon les responsables de la sécurité interrogés, ils sont souvent considérés comme « répétitifs » (pour 43% d’entre eux) et « trop négatifs » (pour 42% d’entre eux).
À LIRE AUSSI :
Selon les rapporteurs de cette étude, ce fossé de crédibilité impose aujourd’hui aux RSSI d’adopter une nouvelle stratégie de communication.
« Plus de la moitié des RSSI affirment que la cybersécurité représente le plus grand risque de compromission de l’activité de leur entreprise. Or, ils peinent à communiquer sur cet enjeu dans un langage compréhensible de leur conseil d’administration. À défaut d’être audibles de leur Direction, ils sont parfois ignorés et accusés d’être alarmistes », explique ainsi Bharat Mistry, Technical Director – Trend Micro.
Ainsi, 62% des RSSI interrogés affirment avoir déjà rencontré des difficultés à démontrer l’impact chiffré de leur stratégie de cybersécurité.
Évidemment, pour communiquer, il faut des indicateurs. En France, selon l’étude, 94 % des entreprises disposent d’indicateurs pour mesurer la valeur de leur stratégie de cybersécurité. Et pourtant, 62 % des RSSI interrogés rencontrent des difficultés à démontrer l’impact chiffré de leur stratégie de cybersécurité.
Toutefois, 46% des RSSI affirment avoir été davantage écoutés par leur Direction lorsqu’ils ont pu mesurer l’impact financier d’un manque de cybersécurité (fraude, coûts de remédiation, pertes de productivité, atteintes à la réputation, etc.).
« En affaires comme dans les relations personnelles, la confiance est la clé d’un succès durable. Et tout guide pour bâtir cette confiance placera la communication efficace en tête de liste » rappellent les rapporteurs. « C’est parce que, lorsqu’elle est bien menée, elle favorise un esprit de transparence, de clarté, de cohérence et de fiabilité. La communication est le pont que nous construisons pour créer une compréhension mutuelle, entretenir des relations positives et, en fin de compte, asseoir notre crédibilité auprès de nos collègues. Cela est aussi vrai pour les communications avec les clients externes que pour l’engagement avec les différentes parties prenantes internes. »
Les RSSI en ont d’ailleurs conscience : 58% d’entre eux estiment devoir améliorer leurs compétences en communication pour remédier à ce défi de crédibilité.
Trend Micro conseille ainsi aux RSSI de focaliser leur communication et leurs indicateurs sur les 3 questions clés qui préoccupent réellement les conseils d’administration :
– Comment la cybersécurité soutient-elle nos objectifs commerciaux et Business ?
– Quel est le ROI de nos différents investissements en cybersécurité ?
– Quelles sont les implications en termes de cyber-risques de notre dernière initiative de transformation numérique ?
L’étude constate qu’une telle approche permet de réduire le fossé de crédibilité et de diminuer la pression sur les épaules des RSSI. Selon les chiffres de Trend Micro, les RSSI qui savent réellement mesurer la valeur Business de leur stratégie de cybersécurité se voient confier plus de responsabilités (pour 45% d’entre eux), se voient attribuer plus de budget (43%), sont appelés à rejoindre le Comex (41%).
Dit autrement, pour briser la spirale actuelle et gagner en crédibilité, les RSSI vont devoir se transformer en grands communicants…
À LIRE AUSSI :
À LIRE AUSSI :