Les 9 meilleures pratiques du leader Sécurité

Une étude menée par le Security Executive Council a identifié les 9 pratiques qu’avaient en commun les Responsables Sécurité reconnus pour leur performance et efficacité dans leurs entreprises. En voici la synthèse illustrée par quelques retours d’expérience de notre équipe.

1. Définir un plan de communication global et une approche marketing de la Sécurité de l’Information pour une sensibilisation percutante. 
– Définissez une stratégie de communication avant d’empiler les initiatives de sensibilisation. Pour marquer durablement les esprits, soyez inattendu dans la forme, concis et simple dans les messages.

2. Eduquer le Senior Management sur ce qu’est la Sécurité et sur les missions/actions de la filière.
– Construisez des séminaires ludiques et interactifs courts en vous appuyant sur des exemples de l’entreprise. Associez-les simplement aux cartographies des risques IT de l’entreprise.

3. Questions d’ascenceur : croiser régulièrement les Senior Managers du Business, s’intéresser aux problèmes qu’ils rencontrent et demander comment la Sécurité peut les aider.
– Participez aux comités projets métier, fréquentez les bâtiments et restaurations business et n’hésitez pas à prendre régulièrement un café avec les responsables métiers ou leurs interfaces MOA. En 2 minutes, vous devez pouvoir leur demander comment se portent leurs activités et projets et comment les aider.
Affectez des membres de vos équipes à chaque business line et demandez-leur de tracer les difficultés de leur business puis organisez des points équipes pour identifier des solutions sécurité.

4. Parler de risque pour le business. Eviter les termes sécurité ou IT
– Adoptez le vocabulaire utilisé par les collaborateurs métier. Alignez vos cartographies de vulnérabilités, scénarii de menaces sur les événements redoutés par le business. Associez une VoC métier (Voice of Customer) à toutes vos initiatives sécurité pour prendre en compte les enjeux et préoccupations de vos business lines.

5. Adapter la filière sécurité à la culture d’entreprise
– Décloisonnez votre filière. Insérez vos activités sécurité dans les processus déjà établis de l’entreprise et limitez au maximum la création de processus sécurité en propre. Construisez vos campagnes d’accompagnement au changement en adoptant les codes de l’entreprise.

6. Gagner le respect en évitant de jouer sur une communication anxiogène (fear, uncertainty and doubt)
– Pour construire une relation gagnante et durable avec vos interlocuteurs, associez-les aux analyses de risques en focalisant vos actions sur les événements qu’ils redoutent et qui sont probables.

7. Aligner les objectifs du programme Sécurité sur les objectifs de l’entreprise
– L’alignement stratégique ne passe pas uniquement par la couverture des risques redoutés par le métier. Pensez à analyser les drivers du business de l’entreprise et à voir quels leviers la sécurité peut actionner pour contribuer à ces drivers. Dans l’idéal, s’il existe, travaillez à partir du plan industriel de votre entreprise. Là encore la VoC, le sponsor métier, est un accélérateur de performance pour l’alignement stratégique.

8. Obtenir le support executif dès le premier jour de votre programme
– Le rattachement hiérarchique à la Direction Générale n’est pas indispensable à la bonne réussite de vos missions. Dans certains cas, c’est même le contraire puisqu’il vous fait perdre le contact avec les projets de la DSI et le terrain. En revanche, disposez d’un temps pour communiquer directement avec le COMEX. Mettez en place un canal direct de remontée d’alertes. Utilisez les exercices de crise et opérations de sensibilisation pour faciliter votre dialogue avec le top management

9. Poser la Sécurité comme un facilitateur transverse
– La gestion des identités et accès, l’intégration de la sécurité dans les projets, la cartographie des risques, la sensibilisations sont autant de chantiers qui mobilisent une grande partie des fonctions support de l’entreprise. Les activités de la Sécurité sont par nature transverses puisqu’apportant un support à l’ensemble des métiers de l’entreprise. Pensez à vous appuyer sur la vision globale des enjeux et des rouages de l’entreprise pour débloquer les situations difficiles auxquelles peuvent être confrontées certaines fonctions ou business lines.