Password unlock vector illustration. Password safety symbol.

Beaucoup de RSSI restent peu de temps en poste au sein de la même organisation. Pourtant, en matière de sécurité comme ailleurs, les stratégies qui ont le plus d’impact sont celles qui s’inscrivent dans la durée. Où les RSSI doivent-ils porter leurs efforts pour instaurer cette continuité ?

Pour qu’une stratégie de sécurité porte ses fruits, encore faut-il que les collaborateurs qui la mettent en place restent suffisamment longtemps dans l’organisation. Le problème est que bien souvent, les responsables de la sécurité des systèmes d’information (RSSI) et autres experts de la cybersécurité connaissent un taux de turn-over élevé. En moyenne, ces derniers restent à leur poste entre 2 et 4 ans (rapport ESG-ISSA). Selon Kaspersky Lab, à peine plus de la moitié demeurent dans la même entreprise plus de 5 ans.

Des rémunérations jugées insuffisantes sont l’une des causes principales de cette forte mobilité professionnelle. 38% des RSSI mentionnent en effet le salaire comme cause de départ. Néanmoins, 36% d’entre eux évoquent une inadéquation avec la culture du groupe et 34% s’en vont car ils se sentent tenus à l’écart des processus décisionnels. Les manques de ressources, de compétences et de support du comité de direction figurent parmi les autres raisons citées. Enfin, les RSSI sont souvent les premiers à endosser la responsabilité en cas d’incident de sécurité.

Dans ce contexte, comment rester suffisamment longtemps à son poste pour faire la différence ?

1Bien définir les attentes

A la prise de poste, il est essentiel d’établir des objectifs réalistes et précis avec le métier, sans sous-estimer le temps nécessaire pour y parvenir. L’idéal est de choisir une entreprise confrontée au type de défi que vous souhaitez résoudre. En France, une entreprise du secteur immobilier a par exemple recruté son RSSI car celui-ci était motivé par la stratégie de multicloud mise en place.

2Comprendre les tenants et les aboutissants du poste

Pour avoir un impact, ce n’est pas tant le niveau d’expertise technique qui fait la différence, mais la capacité à embarquer l’organisation dans une démarche de sécurité. Le leadership est donc une capacité clef pour les RSSI, qui leur permettra au passage d’obtenir les ressources dont ils ont besoin.

3Choisir si l’on veut être un pompier ou un bâtisseur

Les RSSI sont souvent recrutés pour éteindre des incendies, quand les entreprises subissent les conséquences d’un sous-investissement en sécurité. Néanmoins, ce mode pompier oblige souvent à imposer des changements forts en interne, ce qui est difficilement compatible avec l’établissement de relations stables. Les RSSI qui veulent travailler sur le long-terme ont tout intérêt à se concentrer en priorité sur ces aspects relationnels.

4Être à l’écoute des besoins

Pour obtenir les ressources nécessaires, une stratégie qui a fait ses preuves est d’aller à la rencontre des différents métiers, pour identifier précisément leurs besoins en termes de sécurité. Il est plus facile ensuite de proposer une solution qui répond à ces préoccupations, plutôt que d’aborder la problématique sous un angle purement technologique.

5Rester au fait des aspects techniques

Si le RSSI n’a pas besoin d’être un expert, il doit cependant être assez familier du domaine de la cybersécurité pour pouvoir dialoguer avec les profils techniques. Cela lui permet ensuite de choisir des réponses appropriées en fonction du niveau de risque.

6Rappeler que la sécurité est l’affaire de tous

La sécurité est une responsabilité collective, qui concerne l’ensemble des métiers. Plus le RSSI parvient à faire passer ce message, moins la sécurité sera perçue comme un centre fde coût.

Source : d’après CSO

AUCUN COMMENTAIRE