De nombreux sites proposent déjà des listes des compétences clés pour un RSSI. Nous y retrouvons généralement le besoin d’une expertise technique et réglementaire, la nécessité de savoir communiquer les concepts de cybersécurité aux décideurs, et la capacité à gérer des crises. Ces compétences sont importantes, mais sont principalement des compétences liées aux métiers de la cybersécurité. Le rôle, la position et la mission du RSSI implique l’usage de compétences hors du spectre de la cybersécurité, généralement associés à d’autres métiers managériaux. Pour illustrer cela, je propose par exemple de voir le RSSI comme un chef de projet.
En voyant l’activité de sécurisation de l’entreprise comme un projet, le RSSI en devient le responsable et il doit s’assurer de sa réussite avec des moyens limités et des délais maîtrisés. Il pose le cadre et les objectifs de sa mission (via une politique par exemple), il décline et pilote les activités (via un plan de mise en conformité par exemple), il coordonne et collabore avec les parties prenantes pour atteindre les objectifs attendus… toutes ces activités sont celles d’un chef de projet. Via ce prisme de lecture du rôle du RSSI, nous pouvons identifier des compétences rarement mises en avant, mais pourtant cruciales pour un RSSI et complémentaires avec les compétences cyber habituelles. Ainsi, je propose de reprendre 3 compétences et étudier en quoi ces compétences sont importantes pour un RSSI.
*
Résoudre des problèmes et trouver des compromis
Il est courant de voir le RSSI comme le parangon de la rigidité dans l’entreprise, et les règles de complexité des mots de passe ou autres limitations quotidiennes n’aident pas à atténuer cette image : impossible de contourner, il faut respecter les règles édictées par la sécurité. Cependant, il ne faut pas que le RSSI adopte ce genre de posture dans sa façon d’approcher les problèmes rencontrés, ce serait même contre-productif. Malgré toutes les précautions possibles, les mesures de sécurité souhaitées entreront tôt ou tard en contradiction avec la réalité du terrain : nouveau besoin métier, nouvelles technologies adoptées, ou même tout simplement nouveaux usages. Dans ces cas là, soit les mesures de sécurité seront trop strictes (par exemple : une interdiction d’installer des outils non validés sur les PC, alors que les développeurs ont souvent besoin d’installer de nouveaux outils ou framework pour rester à jour), soit pas assez (par exemple : l’apparition soudaine des agents conversationnels et l’absence de limites techniques posées aux employées). D’ailleurs, la difficulté de protéger sans ralentir la transformation est régulièrement cité comme une des difficultés rencontrées par les RSSI. Mais alors, comment faire ?
Tous ces imprévus ne doivent pas empêcher le projet de sécurisation de continuer, il faut donc faire évoluer les objectifs et les mesures pour rester en adéquation avec les besoins. Cette évolution doit se faire avec souplesse et mesure, le RSSI doit avant tout s’assurer que les parties prenantes concernées restent impliquées dans le projet de sécurisation. Il est important de ne pas imposer des mesures inadaptées pouvant frustrer les acteurs. Pour éviter d’imposer un résultat a ses interlocuteurs, le RSSI pourra par exemple entamer une négociation raisonnée (au sens de la méthode d’Harvard) pour aboutir à un résultat gagnant-gagnant, en se concentrant sur les intérêts de la partie prenante (pourquoi la mesure est inadaptée à ses besoins) tout en présentant avec transparence les besoins de la sécurité. En se rendant flexible, le RSSI ouvre la discussion, implique les acteurs dans le projet de sécurisation, et leur permet de comprendre les enjeux et d’être flexibles à leur tour, au bénéfice de la sécurité de l’entreprise et sans alimenter de nouvelles frustrations.
*
Coordonner et coopérer avec un grand nombre d’acteurs et de parties prenantes
Le RSSI tient une position unique au sein d’une organisation, il est le point central de la cybersécurité pour toutes les parties prenantes, il concentre l’attention et les responsabilités auprès des acteurs stratégiques, tactiques, opérationnels et techniques, en interne et en externe. En même temps, il s’appuie sur l’implication et la participation de tout le monde pour atteindre les résultats du projet. Cette position centrale et ces besoins bidirectionnels font que le RSSI doit coopérer et se coordonner avec de nombreux acteurs. C’est un défi, car ce sont là des compétences humaines et relationnels difficiles à appréhender tant que nous n’y sommes pas confrontés.
Il y a d’un côté la coordination, et de l’autre la coopération. La coordination signifie que le RSSI s’assure que toutes les parties prenantes sont correctement impliquées dans le projet de sécurisation, tandis que la coopération vient s’y ajouter pour signifier que le RSSI s’implique lui-même dans les actions qu’il a en commun avec ses parties prenantes. Les deux sont complémentaires, il faut organiser et réaliser en même temps. Cependant, ces activités sont d’autant plus compliquées que le nombre d’acteurs est grand, comme une explosion combinatoire, et le RSSI est en première ligne pour subir cette explosion de plein fouet. Quand les tiers sont internes, il est plus simple de garder le contrôle car les canaux de communication existent déjà, et la relation de pouvoir est plus simple à construire. Mais avec les tiers externes, c’est rapidement flou.
La sécurité de la chaîne d’approvisionnement représente bien la difficulté à coordonner et coopérer avec des parties prenantes externes. Le besoin d’une chaîne d’approvisionnement impose une perte de contrôle de la sécurité (à cause de l’externalisation et l’usage de technologies tierces non contrôlés par l’entreprise) et créé de nouvelles relations de pouvoir avec des parties externes, dans lesquelles le RSSI est souvent en situation de dépendance. C’est à cause de la perte de contrôle imposée au RSSI qu’il doit lui-même redoubler d’effort pour conserver une relation utile et constructive avec ses parties prenantes externes. A défaut d’avoir une relation de pouvoir à son avantage, il doit trouver d’autres moyens pour atteindre ses objectifs, en commençant par exemple par avoir une relation et une communication de proximité avec ses parties prenantes, pour les intégrer dans ses travaux de coordination. Aujourd’hui, une entreprise aura nécessairement au minimum des dizaines de fournisseurs lié au numérique (ordinateurs, logiciels, support, site web…) en supposant qu’ils sont bien identifiés ), et ce nombre aura tendance à croître rapidement. Chacun de ces fournisseurs aura un niveau de menace pour l’entreprise et une implication dans les scénarios de risque cyber. Comme proposé par l’ANSSI dans la méthode EBIOS-RM, il est possible d’agir sur la fiabilité cyber de la partie prenante, via la maturité cyber du fournisseur, ou la confiance que nous pouvons placer en lui au regard de ses intérêts. La coordination et la coopération rendent possible d’agir sur la maturité cyber du fournisseur, tandis que la relation créée permet de limiter la divergence des intêrets de chaque partie et , au mieux, de créer de la confiance réciproque. Ne pas réussir à coordonner et coopérer avec ces parties prenantes, c’est donc perdre une opportunité de traiter des risques cyber de plus en plus nombreux et importants
*
Anticiper les activités et s’adapter aux évolutions de son environnement
On dit souvent que sur le terrain de la cybersécurité, les défenseurs auront toujours un retard par rapport aux attaquants, mais nous soulignons moins souvent que les défenseurs auront toujours du retard par rapport à ceux qu’ils sont censés défendre. La cybersécurité doit protéger des actifs, des processus, des activités en mouvement. Une mesure qui a pu prendre plusieurs mois à être déployée pourrait déjà être inadaptée à son contexte, si l’évolution de l’environnement d’entreprise n’a pas été anticipée par le défenseur. Le RSSI n’aura pas de pouvoir sur l’évolution et l’adaptation continue de son entreprise, il n’a donc pas d’autre choix que s’y intégrer au mieux. La meilleure solution serait d’inclure la cybersécurité dans toutes les discussions, mais c’est rarement le cas, et même quand l’intention est là, les équipes de cybersécurité n’ont jamais les ressources nécessaires pour s’impliquer à ce point.
Pour contrebalancer ce retard, le RSSI doit savoir anticiper. Non pas prédire, mais se renseigner sur son environnement pour identifier les tendances, les objectifs et les projets à venir de l’entreprise, et s’y préparer au maximum. Anticiper permettra de s’adapter plus facilement en cas de besoin. L’adaptation recouvre entre autres la re-priorisation, l’accélération ou la mise en pause de certains projets de sécurisation, le changement de paramètres de sécurité, ou même la mise en place en urgence de certaines mesures simples mais mieux adaptées au contexte changeant (par exemple, face à l’apparition rapide de nouveaux risques comme l’IA générative, ou la survenue soudaine d’un incident de sécurité brisant la confiance en une partie prenante). L’objectif est d’adapter les tactiques et les mesures de sécurité existantes, le tout en synergie avec les évolutions internes et externes. Attention cependant, il ne faut pas changer de destination sans arrêt (la stratégie de sécurité doit être stable sauf en cas d’évolution radicale du contexte), mais plutôt adapter le chemin pour y parvenir, car la ligne droite n’est pas forcément le chemin le plus rapide. Il faut trouver cet équilibre fragile mais nécessaire pour garantir que le projet de sécurisation soit un succès au moins partiel quelque soit les aléas.
*
Les entreprises sont de plus en plus interconnectées entre elles, et l’environnement technologique est de plus en plus riche. Ces faits imposent au RSSI de nouvelles compétences et façons de travailler, nécessaires pour mener à bien sa mission et assurer la sécurité de son organisation. Ces difficultés sont déjà largement connues dans d’autres contextes déjà soumis depuis longtemps à ce type de contraintes, comme la gestion de projet, d’où ma volonté de m’en inspirer.