Un dialogue de sourds au sein du COMEX ! Selon le dernier rapport du IANS Research, la fréquence et l'ampleur croissantes des cyberincidents ont fait entrer le risque cyber dans les discussions des conseils d'administration.
Mais ne parvenant pas à contextualiser les menaces avec les autres risques de l'entreprise, les membres du COMEX négligent cette problématique majeure.
Différentes raisons expliquent cette situation. Premièrement, une étude quantitative récente menée par The CAP Group a révélé que 90 % des entreprises de la liste Russell 3000 n'ont pas un seul administrateur ayant une expertise en cybersécurité…
Discuter avec le COMEX
L’autre raison serait l’incapacité des RSSI à présenter de façon précise et simple la situation. Intitulée « CISOs as Board Directors - CISO Board Readiness Analysis », l'étude évalue les compétences des RSSI des 1 000 premières entreprises américaines cotées en bourse.Elle met l'accent sur cinq caractéristiques clés très recherchées chez les candidats aspirant à des postes d'experts en cybersécurité au sein de conseils d'administration : l’ancienneté dans l'infosec, une expérience multiple, de la stature, les diplômes et la diversité.
Ces caractéristiques se combinent pour former un bagage bien équilibré qui peut attirer les conseils d'administration à la recherche d'un spécialiste en cybersécurité capable de contribuer de manière significative aux échanges avec les membres du COMEX sur les risques commerciaux et la gouvernance.
Pour identifier les traits essentiels à ces rôles d'administrateurs, les chercheurs ont recueilli des données à partir de sources accessibles au public telles que LinkedIn, les biographies de dirigeants, les biographies de conférenciers, les communiqués de presse et les entretiens.
Une équipe d'experts en cybersécurité et de scientifiques des données de diverses disciplines a analysé les données pour s'assurer de leur exactitude.
Résultat, seuls 14 % des RSSI de l'indice Russell 1000 étaient considérés comme des candidats idéaux pour des postes au sein de conseils d'administration, car ils présentaient au moins quatre des cinq caractéristiques clés identifiées par l'IANS.
Un tiers a été reconnu comme des candidats solides, possédant trois des cinq caractéristiques du conseil d'administration. Une part importante (52 %) entre dans la catégorie des candidats émergents, ne présentant qu'un ou deux traits de caractère.
Raconter une histoire
En outre, l'étude souligne que près de la moitié des entreprises de la liste Russell 1000 n'ont pas d'administrateur ayant une expertise en matière de cybersécurité.Si le IANS a identifié cinq caractéristiques essentielles pour les RSSI au niveau du conseil d'administration, l'étude indique que la possession de toutes ces caractéristiques n'est pas toujours un prérequis.
En particulier, elle indique qu'un RSSI ayant une expérience de cadre supérieur dans une entreprise mondiale générant plus de 50 milliards de dollars de chiffre d'affaires annuel peut être un candidat solide, même s'il a moins de cinq ans d'expérience en tant que RSSI, s'il a occupé des fonctions en dehors du domaine de la cybersécurité. Identifier les bons RSSI pour les postes au sein des cyberconseils
Au final, ce qui compte pour un « RSSI au top », c'est d'être capable de raconter l'histoire d'une carrière en mettant en avant une expérience et une expertise uniques qui peuvent apporter une valeur ajoutée au-delà des connaissances spécialisées en cyber.