{"id":20095,"date":"2023-02-09T12:00:43","date_gmt":"2023-02-09T10:00:43","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20095"},"modified":"2023-02-09T12:34:08","modified_gmt":"2023-02-09T10:34:08","slug":"business-soc-communications","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/business-soc-communications\/20095\/","title":{"rendered":"Am\u00e9liorer la communication entre les \u00e9quipes InfoSec et les cadres dirigeants"},"content":{"rendered":"<p>Aucune entreprise ne peut fonctionner correctement s\u2019il n\u2019y a pas une bonne coop\u00e9ration entre la direction g\u00e9n\u00e9rale et les sp\u00e9cialistes responsables de diff\u00e9rents secteurs de l\u2019entreprise. \u00c9videmment, cette coop\u00e9ration exige une bonne communication, ce qui peut parfois s\u2019av\u00e9rer difficile puisque les cadres et les sp\u00e9cialistes travaillent dans des bulles d\u2019information diff\u00e9rentes et ne parlent pas la m\u00eame langue. Les cadres dirigeants pensent au profit, aux co\u00fbts et au d\u00e9veloppement alors que le service de s\u00e9curit\u00e9 informatique ne fait pas exception et pense \u00e0 ces propres t\u00e2ches techniques.<\/p>\n<p>Lors d\u2019une <a href=\"https:\/\/www.kaspersky.com\/blog\/speak-fluent-infosec-2023\/\" target=\"_blank\" rel=\"noopener nofollow\">\u00e9tude r\u00e9cente<\/a> r\u00e9alis\u00e9e par nos coll\u00e8gues, ils ont d\u00e9couvert que les probl\u00e8mes persistent m\u00eame si les cadres dirigeants et les sp\u00e9cialistes en s\u00e9curit\u00e9 informatique arrivent \u00e0 mieux se comprendre et que la situation s\u2019am\u00e9liore. En r\u00e9alit\u00e9, 98 % des dirigeants interrog\u00e9s ont reconnu avoir d\u00e9j\u00e0 eu un probl\u00e8me de communication avec le d\u00e9partement de s\u00e9curit\u00e9 informatique. Quant aux cons\u00e9quences directes de cette mauvaise compr\u00e9hension, 62 % ont reconnu qu\u2019elle a provoqu\u00e9 au moins un incident de s\u00e9curit\u00e9 alors que 61 % ont signal\u00e9 des effets n\u00e9gatifs sur l\u2019entreprise (pertes, d\u00e9parts d\u2019employ\u00e9s importants ou d\u00e9gradation de la communication entre les \u00e9quipes). D\u2019autre part, les professionnels en s\u00e9curit\u00e9 n\u2019ont pas toujours conscience des probl\u00e8mes\u00a0: 42 % des dirigeants aimeraient que les experts en s\u00e9curit\u00e9 communiquent plus clairement, mais 76 % de ces m\u00eames sp\u00e9cialistes pensent que tout le monde les comprend parfaitement\u00a0!<\/p>\n<p>Beaucoup de probl\u00e8mes d\u00e9coulent du langage utilis\u00e9\u00a0: les responsables ne comprennent g\u00e9n\u00e9ralement pas tous les termes techniques utilis\u00e9s par l\u2019\u00e9quipe de s\u00e9curit\u00e9 informatique. La terminologie n\u2019est pas le seul probl\u00e8me de communication entre les dirigeants et les sp\u00e9cialistes en s\u00e9curit\u00e9. En r\u00e9alit\u00e9, ce n\u2019est pas non plus le probl\u00e8me principal. Essayons de comprendre tous les autres probl\u00e8mes avec l\u2019aide de Patrick Miller, directeur associ\u00e9 \u00e0 Archer International, et de son <a href=\"https:\/\/youtu.be\/d-Z6Ip1oyvc\" target=\"_blank\" rel=\"noopener nofollow\">discours<\/a> prononc\u00e9 lors de la <em>Kaspersky Industrial Cybersecurity Conference 2019<\/em>.<\/p>\n<p>\u00a0<\/p>\n<h2>Une approche diff\u00e9rente du risque<\/h2>\n<p>La plupart des sp\u00e9cialistes en s\u00e9curit\u00e9 informatique ont un seuil de tol\u00e9rance au risque tr\u00e8s bas. C\u2019est plut\u00f4t le contraire pour une entreprise\u00a0: il n\u2019y a pas de b\u00e9n\u00e9fice sans risque, et les dirigeants sont souvent pr\u00eats \u00e0 prendre plus de risques. Pour le PDG, l\u2019objectif principal est de trouver l\u2019\u00e9quilibre parfait entre les pertes et les profits potentiels. Quant \u00e0 l\u2019\u00e9quipe de s\u00e9curit\u00e9 de s\u00e9curit\u00e9, aussi \u00e9trange que cela puisse para\u00eetre, son v\u00e9ritable objectif n\u2019est pas d\u2019\u00e9liminer toutes les menaces mais d\u2019aider l\u2019entreprise \u00e0 gagner autant d\u2019argent que possible.<\/p>\n<p>Pour les entreprises, les risques peuvent \u00eatre accept\u00e9s, \u00e9vit\u00e9s, r\u00e9duits ou transf\u00e9r\u00e9s (aux assurances, par exemple). Les responsables vont essayer de prendre autant de risques que possible afin d\u2019augmenter les b\u00e9n\u00e9fices. Pour eux, la s\u00e9curit\u00e9 informatique n\u2019est qu\u2019une petite part du tableau\u00a0: il est probable qu\u2019ils n\u2019aient m\u00eame pas envie d\u2019y penser.<\/p>\n<p>Par cons\u00e9quent, les sp\u00e9cialistes en s\u00e9curit\u00e9 informatiques ne devraient pas chercher \u00e0 corriger toutes les failles mais devraient essayer d\u2019identifier et de neutraliser les menaces qui pourraient vraiment provoquer d\u2019importants d\u00e9g\u00e2ts. C\u2019est pourquoi ils doivent aussi se demander comment expliquer aux responsables pourquoi ces d\u00e9penses valent le coup.<\/p>\n<h2>Le FUD ne fonctionne pas<\/h2>\n<p>L\u2019utilisation de certaines techniques comme le FUD (peur, incertitude et doute) pour convaincre les responsables ne va pas fonctionner puisque l\u2019entreprise ne paie pas le service de s\u00e9curit\u00e9 informatique pour avoir peur. Les sp\u00e9cialistes sont l\u00e0 pour r\u00e9soudre des probl\u00e8mes, et dans l\u2019id\u00e9al personne ne devrait les avoir remarqu\u00e9s.<\/p>\n<p>L\u2019autre probl\u00e8me du FUD est que les responsables sont d\u00e9j\u00e0 assez stress\u00e9s simplement parce que la moindre erreur pourrait aussi \u00eatre leur derni\u00e8re erreur\u00a0: n\u2019importe qui saisirait l\u2019occasion pour prendre leur place, ils ne font pas vraiment confiance aux autres, etc. Inutile de leur ajouter d\u2019autres facteurs de crainte.<\/p>\n<p>Enfin, aucun patron n\u2019aime montrer qu\u2019il ignore quelque chose. Ainsi, toute tentative qui cherche \u00e0 bombarder les responsables de termes qui ont l\u2019air pr\u00e9tentieux est \u00e9videmment vou\u00e9e \u00e0 l\u2019\u00e9chec.<\/p>\n<h2>Pensez comme les cadres dirigeants<\/h2>\n<p>L\u2019objectif principal de n\u2019importe quelle entreprise commerciale est de gagner de l\u2019argent. Tous les responsables abordent n\u2019importe quel sujet de cette fa\u00e7on. C\u2019est ce qu\u2019ils savent faire. Ainsi, si un sp\u00e9cialiste en s\u00e9curit\u00e9 informatique les aborde et leur dit qu\u2019 \u00ab\u00a0une menace a \u00e9t\u00e9 d\u00e9tect\u00e9e et qu\u2019il faut investir X euros pour la neutraliser\u00a0\u00bb le responsable comprend \u00ab\u00a0si nous prenons un risque et que nous ne faisons rien, nous allons \u00e9conomiser X euros\u00a0\u00bb. Cela peut sembler \u00e9trange mais c\u2019est exactement comme \u00e7a que les entreprises pensent.<\/p>\n<p>Pour le responsable, cela s\u2019explique principalement par le fait que son action (ou inaction) entra\u00eene des chiffres financiers positifs, m\u00eame s\u2019il s\u2019av\u00e8re que ce chiffre positif est la diff\u00e9rence entre deux nombres n\u00e9gatifs. Ainsi, le sp\u00e9cialiste doit d\u00e9crire la situation au responsable de fa\u00e7on \u00e0 ce qu\u2019il puisse bien la comprendre : \u00ab\u00a0Il y a une menace avec une probabilit\u00e9 de Z % de provoquer Y euros de d\u00e9g\u00e2ts pour l\u2019entreprise. Nous devons d\u00e9penser X euros pour la neutraliser.\u00a0\u00bb Cette \u00e9quation parle aux dirigeants d\u2019entreprise.<\/p>\n<p>\u00c9videmment, il n\u2019est pas toujours possible de pr\u00e9dire de fa\u00e7on r\u00e9aliste les \u00e9ventuels d\u00e9g\u00e2ts. Dans ce cas, vous pouvez utiliser des valeurs connues comme le temps d\u2019arr\u00eat (pendant lequel les cons\u00e9quences de l\u2019incident seront \u00e9limin\u00e9es), la quantit\u00e9 et le type de donn\u00e9es qui pourraient \u00eatre perdues ou en danger, les effets au niveau de la r\u00e9putation, etc. L\u2019entreprise peut ensuite convertir ces renseignements en chiffres compr\u00e9hensibles gr\u00e2ce aux sp\u00e9cialistes pertinents. C\u2019est encore mieux si l\u2019\u00e9quipe de s\u00e9curit\u00e9 informatique peut le faire elle-m\u00eame puisque cela permettrait de gagner beaucoup de temps.<\/p>\n<p>Naturellement, il se pourrait que le r\u00e9sultat de l\u2019\u00e9quation ne soit pas en faveur de la s\u00e9curit\u00e9 informatique. Il ne s\u2019agit pas toujours d\u2019un probl\u00e8me de communication. Peut-\u00eatre que les responsables ont tr\u00e8s bien entendu et compris de quoi il s\u2019agit mais qu\u2019ils pr\u00e9f\u00e8rent prendre le risque parce que c\u2019est plus rentable. Ce peut \u00eatre pour cette raison ou parce que le sp\u00e9cialiste en s\u00e9curit\u00e9 informatique n\u2019a pas su d\u00e9fendre son point de vue et les convaincre parce qu\u2019il n\u2019a pas appris \u00e0 penser comme eux.<\/p>\n<p>Le plus important est de bien savoir quel est le r\u00f4le du service de s\u00e9curit\u00e9 informatique au sein de l\u2019entreprise et quel b\u00e9n\u00e9fice il g\u00e9n\u00e8re. Cela permet de mieux \u00e9valuer et de mieux classer les \u00e9ventuelles menaces, de vous faire gagner du temps et d\u2019\u00e9viter aux autres d\u2019en perdre ou de stresser \u00e0 propos d\u2019initiatives qui ne m\u00e8neront \u00e0 rien et, de fa\u00e7on g\u00e9n\u00e9rale, de travailler plus efficacement.<\/p>\n<h2>Le facteur temps et les dates limites<\/h2>\n<p>Le facteur temps est crucial pour l\u2019\u00e9quipe de s\u00e9curit\u00e9\u00a0: il faut imm\u00e9diatement se prot\u00e9ger contre certaines menaces. Le temps est aussi important pour les entreprises puisque le temps c\u2019est de l\u2019argent. Vous pouvez d\u00e9penser X euros aujourd\u2019hui mais, si vous le faites dans un mois, et avec les personnes comp\u00e9tentes, ces X euros pourraient devenir X*n euros et il restera X*(n-1) euros sur le compte bancaire.<\/p>\n<p>M\u00eame si les responsables comprennent bien le probl\u00e8me et savent qu\u2019il doit \u00eatre r\u00e9solu, ils ne vont pas se pr\u00e9cipiter et d\u00e9penser de l\u2019argent sauf s\u2019ils ont une date butoir claire et justifi\u00e9e. Il faut aussi leur communiquer qu\u2019au-del\u00e0 de la date \u00e9tablie, ils deviennent automatiquement responsables du risque indiqu\u00e9 puisque l\u2019\u00e9quipe de s\u00e9curit\u00e9 informatique ne peut s\u2019occuper que des cons\u00e9quences.<\/p>\n<p>Cette date limite devrait \u00eatre aussi r\u00e9aliste que possible. Si l\u2019\u00e9quipe de s\u00e9curit\u00e9 informatique r\u00e9clame toujours une d\u00e9cision qui aurait d\u00fb \u00eatre prise \u00ab\u00a0hier\u00a0\u00bb, les responsables ne vont plus l\u2019\u00e9couter et vont la consid\u00e9rer comme l\u2019enfant qui criait au loup. D\u2019autre part, si elle dit toujours qu\u2019ils pourront \u00ab\u00a0d\u00e9cider dans l\u2019ann\u00e9e\u00a0\u00bb, l\u2019\u00e9quipe sera vir\u00e9e d\u00e8s le premier incident (ou directement). L\u2019\u00e9quipe doit \u00eatre capable d\u2019\u00e9valuer la situation, de mettre en avant les risques et d\u2019\u00e9tablir une date limite r\u00e9elle.<\/p>\n<p>Il convient de souligner que tr\u00e8s peu d\u2019entreprises gardent simplement de l\u2019argent sur leurs comptes et attendent que le responsable de la s\u00e9curit\u00e9 informatique vienne voir les responsables pour leur dire comment le d\u00e9penser d\u00e8s que possible. Les fonds qui permettront de r\u00e9soudre le probl\u00e8me devront \u00eatre emprunt\u00e9s de quelque part, ou retir\u00e9s d\u2019un autre projet, et ce processus prend du temps. D\u2019ailleurs, pour comprendre quels sont les d\u00e9lais, il est essentiel de savoir comment l\u2019entreprise fonctionne et est financ\u00e9e.<\/p>\n<h2>Faites du marketing<\/h2>\n<p>Pour communiquer efficacement, les sp\u00e9cialistes en s\u00e9curit\u00e9 informatique doivent avoir quelques connaissances en marketing avant de vendre leurs solutions au(x) cadre(s) dirigeant(s)\u00a0:<\/p>\n<ul>\n<li>Apportez une solution, pas un probl\u00e8me. \u00c9videmment, vous ne pouvez pas vendre un probl\u00e8me.<\/li>\n<li>Si possible, appuyez-vous sur des ant\u00e9c\u00e9dents r\u00e9els et faciles \u00e0 v\u00e9rifier. Les responsables les adorent puisqu\u2019ils r\u00e9duisent les incertitudes.<\/li>\n<li>Utilisez un langage commercial attrayant et une pr\u00e9sentation avec des tableaux color\u00e9s plut\u00f4t que des termes techniques.<\/li>\n<li>Proposez plusieurs options, dont certaines clairement impossibles.<\/li>\n<li>Faites tenir la totalit\u00e9 de l\u2019offre sur une page puisque personne ne passera \u00e0 la suivante.<\/li>\n<li>Utilisez des synonymes pour l\u2019expression \u00ab\u00a0s\u00e9curit\u00e9 informatique\u00a0\u00bb : r\u00e9duire les risques, assurer la r\u00e9sistance et la continuit\u00e9 des processus de travail, maintenir une efficacit\u00e9 op\u00e9rationnelle, r\u00e9duire les temps d\u2019arr\u00eat, pr\u00e9venir les d\u00e9g\u00e2ts, etc.<\/li>\n<li>\u00c9vitez le langage \u00e9motionnel et adoptez un style de communication professionnel et similaire \u00e0 celui des dirigeants.<\/li>\n<\/ul>\n<h2>Que faire ?<\/h2>\n<p>Le savoir-\u00eatre est la cl\u00e9 d\u2019une bonne communication professionnelle. Vous devez \u00eatre capable de sortir de votre zone de confort sp\u00e9cialis\u00e9e et d\u2019apprendre \u00e0 parler aux cadres dirigeants en utilisant le langage et les situations qu\u2019ils pr\u00e9f\u00e8rent. M\u00eame s\u2019ils en ont envie, ils ne peuvent analyser minutieusement tous les d\u00e9tails techniques de chaque service de l\u2019entreprise. Pour le service de s\u00e9curit\u00e9 informatique, il est important de reconna\u00eetre que vous n\u2019\u00eates qu\u2019une partie de l\u2019entreprise, que vous devez savoir comment l\u2019entreprise fonctionne et que vous devez l\u2019aider \u00e0 obtenir un revenu maximal \u00e0 moindre co\u00fbt.<\/p>\n<p>Il est \u00e9galement int\u00e9ressant de d\u00e9couvrir les r\u00e9sultats de notre derni\u00e8re \u00e9tude (en anglais) \u00a0\u00bb\u00a0<a href=\"https:\/\/www.kaspersky.com\/blog\/speak-fluent-infosec-2023\/\" target=\"_blank\" rel=\"noopener nofollow\"><em>Fluent in InfoSec: Are c-level executives and IT security managers on the same page?<\/em><\/a>\u00a0\u00ab\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une mauvaise communication entre les cadres dirigeants et l\u2019\u00e9quipe de s\u00e9curit\u00e9 informatique d\u2019une entreprise peut provoquer des pertes inutiles. Nous essayons de voir comment surmonter la barri\u00e8re du langage.<\/p>\n","protected":false},"author":2725,"featured_media":20096,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,9,3150],"tags":[3152,1255,914,3189],"class_list":{"0":"post-20095","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-tips","9":"category-enterprise","10":"tag-budget","11":"tag-communication","12":"tag-risques","13":"tag-soc"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/business-soc-communications\/20095\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/business-soc-communications\/25066\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/business-soc-communications\/20558\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/business-soc-communications\/27649\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/business-soc-communications\/25388\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/business-soc-communications\/25857\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/business-soc-communications\/28370\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/business-soc-communications\/34570\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/business-soc-communications\/46753\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/business-soc-communications\/20727\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/business-soc-communications\/29750\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/business-soc-communications\/25795\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/soc\/","name":"SOC"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20095","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2725"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20095"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20095\/revisions"}],"predecessor-version":[{"id":20101,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20095\/revisions\/20101"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20096"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20095"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20095"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20095"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}