Améliorer la communication entre les équipes InfoSec et les cadres dirigeants

Une mauvaise communication entre les cadres dirigeants et l’équipe de sécurité informatique d’une entreprise peut provoquer des pertes inutiles. Nous essayons de voir comment surmonter la barrière du langage.

Aucune entreprise ne peut fonctionner correctement s’il n’y a pas une bonne coopération entre la direction générale et les spécialistes responsables de différents secteurs de l’entreprise. Évidemment, cette coopération exige une bonne communication, ce qui peut parfois s’avérer difficile puisque les cadres et les spécialistes travaillent dans des bulles d’information différentes et ne parlent pas la même langue. Les cadres dirigeants pensent au profit, aux coûts et au développement alors que le service de sécurité informatique ne fait pas exception et pense à ces propres tâches techniques.

Lors d’une étude récente réalisée par nos collègues, ils ont découvert que les problèmes persistent même si les cadres dirigeants et les spécialistes en sécurité informatique arrivent à mieux se comprendre et que la situation s’améliore. En réalité, 98 % des dirigeants interrogés ont reconnu avoir déjà eu un problème de communication avec le département de sécurité informatique. Quant aux conséquences directes de cette mauvaise compréhension, 62 % ont reconnu qu’elle a provoqué au moins un incident de sécurité alors que 61 % ont signalé des effets négatifs sur l’entreprise (pertes, départs d’employés importants ou dégradation de la communication entre les équipes). D’autre part, les professionnels en sécurité n’ont pas toujours conscience des problèmes : 42 % des dirigeants aimeraient que les experts en sécurité communiquent plus clairement, mais 76 % de ces mêmes spécialistes pensent que tout le monde les comprend parfaitement !

Beaucoup de problèmes découlent du langage utilisé : les responsables ne comprennent généralement pas tous les termes techniques utilisés par l’équipe de sécurité informatique. La terminologie n’est pas le seul problème de communication entre les dirigeants et les spécialistes en sécurité. En réalité, ce n’est pas non plus le problème principal. Essayons de comprendre tous les autres problèmes avec l’aide de Patrick Miller, directeur associé à Archer International, et de son discours prononcé lors de la Kaspersky Industrial Cybersecurity Conference 2019.

 

Une approche différente du risque

La plupart des spécialistes en sécurité informatique ont un seuil de tolérance au risque très bas. C’est plutôt le contraire pour une entreprise : il n’y a pas de bénéfice sans risque, et les dirigeants sont souvent prêts à prendre plus de risques. Pour le PDG, l’objectif principal est de trouver l’équilibre parfait entre les pertes et les profits potentiels. Quant à l’équipe de sécurité de sécurité, aussi étrange que cela puisse paraître, son véritable objectif n’est pas d’éliminer toutes les menaces mais d’aider l’entreprise à gagner autant d’argent que possible.

Pour les entreprises, les risques peuvent être acceptés, évités, réduits ou transférés (aux assurances, par exemple). Les responsables vont essayer de prendre autant de risques que possible afin d’augmenter les bénéfices. Pour eux, la sécurité informatique n’est qu’une petite part du tableau : il est probable qu’ils n’aient même pas envie d’y penser.

Par conséquent, les spécialistes en sécurité informatiques ne devraient pas chercher à corriger toutes les failles mais devraient essayer d’identifier et de neutraliser les menaces qui pourraient vraiment provoquer d’importants dégâts. C’est pourquoi ils doivent aussi se demander comment expliquer aux responsables pourquoi ces dépenses valent le coup.

Le FUD ne fonctionne pas

L’utilisation de certaines techniques comme le FUD (peur, incertitude et doute) pour convaincre les responsables ne va pas fonctionner puisque l’entreprise ne paie pas le service de sécurité informatique pour avoir peur. Les spécialistes sont là pour résoudre des problèmes, et dans l’idéal personne ne devrait les avoir remarqués.

L’autre problème du FUD est que les responsables sont déjà assez stressés simplement parce que la moindre erreur pourrait aussi être leur dernière erreur : n’importe qui saisirait l’occasion pour prendre leur place, ils ne font pas vraiment confiance aux autres, etc. Inutile de leur ajouter d’autres facteurs de crainte.

Enfin, aucun patron n’aime montrer qu’il ignore quelque chose. Ainsi, toute tentative qui cherche à bombarder les responsables de termes qui ont l’air prétentieux est évidemment vouée à l’échec.

Pensez comme les cadres dirigeants

L’objectif principal de n’importe quelle entreprise commerciale est de gagner de l’argent. Tous les responsables abordent n’importe quel sujet de cette façon. C’est ce qu’ils savent faire. Ainsi, si un spécialiste en sécurité informatique les aborde et leur dit qu’ « une menace a été détectée et qu’il faut investir X euros pour la neutraliser » le responsable comprend « si nous prenons un risque et que nous ne faisons rien, nous allons économiser X euros ». Cela peut sembler étrange mais c’est exactement comme ça que les entreprises pensent.

Pour le responsable, cela s’explique principalement par le fait que son action (ou inaction) entraîne des chiffres financiers positifs, même s’il s’avère que ce chiffre positif est la différence entre deux nombres négatifs. Ainsi, le spécialiste doit décrire la situation au responsable de façon à ce qu’il puisse bien la comprendre : « Il y a une menace avec une probabilité de Z % de provoquer Y euros de dégâts pour l’entreprise. Nous devons dépenser X euros pour la neutraliser. » Cette équation parle aux dirigeants d’entreprise.

Évidemment, il n’est pas toujours possible de prédire de façon réaliste les éventuels dégâts. Dans ce cas, vous pouvez utiliser des valeurs connues comme le temps d’arrêt (pendant lequel les conséquences de l’incident seront éliminées), la quantité et le type de données qui pourraient être perdues ou en danger, les effets au niveau de la réputation, etc. L’entreprise peut ensuite convertir ces renseignements en chiffres compréhensibles grâce aux spécialistes pertinents. C’est encore mieux si l’équipe de sécurité informatique peut le faire elle-même puisque cela permettrait de gagner beaucoup de temps.

Naturellement, il se pourrait que le résultat de l’équation ne soit pas en faveur de la sécurité informatique. Il ne s’agit pas toujours d’un problème de communication. Peut-être que les responsables ont très bien entendu et compris de quoi il s’agit mais qu’ils préfèrent prendre le risque parce que c’est plus rentable. Ce peut être pour cette raison ou parce que le spécialiste en sécurité informatique n’a pas su défendre son point de vue et les convaincre parce qu’il n’a pas appris à penser comme eux.

Le plus important est de bien savoir quel est le rôle du service de sécurité informatique au sein de l’entreprise et quel bénéfice il génère. Cela permet de mieux évaluer et de mieux classer les éventuelles menaces, de vous faire gagner du temps et d’éviter aux autres d’en perdre ou de stresser à propos d’initiatives qui ne mèneront à rien et, de façon générale, de travailler plus efficacement.

Le facteur temps et les dates limites

Le facteur temps est crucial pour l’équipe de sécurité : il faut immédiatement se protéger contre certaines menaces. Le temps est aussi important pour les entreprises puisque le temps c’est de l’argent. Vous pouvez dépenser X euros aujourd’hui mais, si vous le faites dans un mois, et avec les personnes compétentes, ces X euros pourraient devenir X*n euros et il restera X*(n-1) euros sur le compte bancaire.

Même si les responsables comprennent bien le problème et savent qu’il doit être résolu, ils ne vont pas se précipiter et dépenser de l’argent sauf s’ils ont une date butoir claire et justifiée. Il faut aussi leur communiquer qu’au-delà de la date établie, ils deviennent automatiquement responsables du risque indiqué puisque l’équipe de sécurité informatique ne peut s’occuper que des conséquences.

Cette date limite devrait être aussi réaliste que possible. Si l’équipe de sécurité informatique réclame toujours une décision qui aurait dû être prise « hier », les responsables ne vont plus l’écouter et vont la considérer comme l’enfant qui criait au loup. D’autre part, si elle dit toujours qu’ils pourront « décider dans l’année », l’équipe sera virée dès le premier incident (ou directement). L’équipe doit être capable d’évaluer la situation, de mettre en avant les risques et d’établir une date limite réelle.

Il convient de souligner que très peu d’entreprises gardent simplement de l’argent sur leurs comptes et attendent que le responsable de la sécurité informatique vienne voir les responsables pour leur dire comment le dépenser dès que possible. Les fonds qui permettront de résoudre le problème devront être empruntés de quelque part, ou retirés d’un autre projet, et ce processus prend du temps. D’ailleurs, pour comprendre quels sont les délais, il est essentiel de savoir comment l’entreprise fonctionne et est financée.

Faites du marketing

Pour communiquer efficacement, les spécialistes en sécurité informatique doivent avoir quelques connaissances en marketing avant de vendre leurs solutions au(x) cadre(s) dirigeant(s) :

  • Apportez une solution, pas un problème. Évidemment, vous ne pouvez pas vendre un problème.
  • Si possible, appuyez-vous sur des antécédents réels et faciles à vérifier. Les responsables les adorent puisqu’ils réduisent les incertitudes.
  • Utilisez un langage commercial attrayant et une présentation avec des tableaux colorés plutôt que des termes techniques.
  • Proposez plusieurs options, dont certaines clairement impossibles.
  • Faites tenir la totalité de l’offre sur une page puisque personne ne passera à la suivante.
  • Utilisez des synonymes pour l’expression « sécurité informatique » : réduire les risques, assurer la résistance et la continuité des processus de travail, maintenir une efficacité opérationnelle, réduire les temps d’arrêt, prévenir les dégâts, etc.
  • Évitez le langage émotionnel et adoptez un style de communication professionnel et similaire à celui des dirigeants.

Que faire ?

Le savoir-être est la clé d’une bonne communication professionnelle. Vous devez être capable de sortir de votre zone de confort spécialisée et d’apprendre à parler aux cadres dirigeants en utilisant le langage et les situations qu’ils préfèrent. Même s’ils en ont envie, ils ne peuvent analyser minutieusement tous les détails techniques de chaque service de l’entreprise. Pour le service de sécurité informatique, il est important de reconnaître que vous n’êtes qu’une partie de l’entreprise, que vous devez savoir comment l’entreprise fonctionne et que vous devez l’aider à obtenir un revenu maximal à moindre coût.

Il est également intéressant de découvrir les résultats de notre dernière étude (en anglais)  » Fluent in InfoSec: Are c-level executives and IT security managers on the same page? « 

Conseils