Le RSSI : intégrer la dimension business pour faire progresser la cybersécurité

Pour Arnaud Treps (accorhotels.com), le rôle de l’équipe sécurité n’est évidemment pas de dire systématiquement “non”. Son rôle, c’est d’exposer les risques au “propriétaire du risque” afin qu’il puisse prendre une décision “éclairée”. Mais Arnaud Treps (accorhotels.com) rappelle : “faire du business, c’est assumer des risques. Et, le risque cyber fait partie de ces risques. Comme je le dis souvent, je me considère d’abord comme un commerçant sur internet avant d’être un spécialiste de la sécurité”. Pour Damien Cazenave (vente-privee. com), il est primordial, pour assurer le succès d’un projet sécurité, d’être capable d’en démontrer l’apport business. “Tous mes projets étaient sous-tendus par un argumentaire business. Je me suis très vite aperçu que pour justifier des engagements de dépenses sur un projet sécurité, je devais parler disponibilité du site, impact en termes d’image pour le client, de conformité règlementaire ou bien encore problème d’altération de commandes. Il ne faut pas non plus négliger l’impact d’une démonstration ou le résultat de tests pour emporter une décision. Il m’est même arrivé de craquer le code de sécurité à quatre chiffres d’un téléphone portable. Devant les yeux interloqués de mes interlocuteurs décisionnaires, il ne m’a fallu que 20  minutes pour trouver la combinaison”. Pour Damien, il est aussi important de formuler des demandes “raisonnables” et qui soient en adéquation avec la maturité de l’entreprise. Rien ne sert de réclamer des budgets relatifs à des projets de sécurité qui ne correspondraient pas à la maturité de l’entreprise. Pour Damien, “Il y a toujours un ratio à garder en tête”. Selon Damien Cazenave (vente-privee. com), “Il faut savoir choisir ses combats. On ne peut pas se battre sur tout”. Il y a certains sujets que les interlocuteurs internes ne sont pas prêts à entendre. Dans ce cas, il ne sert à rien d’insister. La vision interne de certains sujets peut évoluer avec le temps ou… avec les incidents qui ne manqueront pas de se produire ! Et Damien Cazenave cite un cas concret : le chiffrement du contenu des ordinateurs portables qui n’a pas été mis en place jusqu’à ce qu’un vol ait eu lieu. Il considère que la réussite d’un RSSI dans l’e-commerce passe par une bonne vision du “business” et assume lui aussi sa part du risque. Ainsi, un RSSI doit garder en tête que les conséquences d’un risque identifié un jour pourront être très largement compensées par le business additionnel futur que la prise de risque aura permis. Les échanges entre le département sécurité et les métiers portent souvent sur “les points de friction” qu’impose la sécurité sur la fluidité des parcours clients. Damien Cazenave part du principe qu’en informatique, il existe toujours des solutions. “Ma philosophie, c’est de ne jamais dire non !”. Une démarche pragmatique de mise en œuvre d’une politique de sécurité passe toujours par des compromis. En adoptant cette attitude, le RSSI acquiert une image positive auprès de ses interlocuteurs métiers. Il devient à la fois crédible et audible lorsqu’il met en avant les risques cyber des projets.