RSSI et DRH, une collaboration nécessaire pour repenser l’organisation cybersécurité des entreprises

Ecrit par Carine Touzeau.

D’un côté : digitalisation, blockchain, intelligence artificielle, machine learning, automatisation, chatbot… De l’autre : fraude, ransomware, fuite de données, phishing, wannacry, petya/notpetya…

Les nouvelles technologies et l’augmentation de la menace cyber vont contribuer à l’émergence de nouveaux métiers dans l’entreprise. Oui, d’accord, mais quels seront ces nouveaux métiers, qui va les définir ? Comment générer, repérer et attirer les expertises nécessaires ? Et en attendant, que fait-on ? Autant de questions que se posent les RSSI qui peinent à staffer leurs équipes avec des collaborateurs compétents et fidèles.

A quoi ressemblera l’avenir ?

La cybersécurité est impactée comme d’autres métiers par les technologies innovantes : des chatbots, par exemple, sont mis en œuvre pour réaliser les tâches à faible valeur du guichet ou de l’analyse de risques. Cela permet ainsi aux équipes de dégager du temps pour se recentrer sur d’autres activités, à plus forte valeur ajoutée. On comprend dans ce contexte que les collaborateurs, libérés des tâches répétitives, peuvent assumer de nouvelles responsabilités pour lesquelles ils devront développer de nouvelles compétences. La complexité aujourd’hui est de dessiner cette transformation des emplois dont on sait qu’elle est inéluctable. Quels seront les besoins en expertises et en fonctions d’encadrement dans les équipes cybersécurité de demain et comment redéfinir les jobs ? Pour faire face aux enjeux de structuration, de management et d’expertise, RSSI et DRH devront avancer ensemble.

Quels process mettre en place pour capter les expertises ?

Les spécialistes des ressources humaines le savent, capter les expertises passe par trois piliers : intégrer, former, fidéliser. Pour intégrer des collaborateurs aux équipes cybersécurité, se pose la question du sourcing, et les notions traditionnelles s’imposent : recrutements externes, reconversions et mobilités internes, appel au conseil et à la prestation, processus d’évaluation et de sélection. Etablir un plan de formation pertinent nécessite de mener une réflexion en amont sur les niveaux d’expertise au regard des exigences de chaque métier et cibler ainsi des profils initiés, confirmés ou  experts. Sur un marché porteur et volatile, la fidélisation des collaborateurs en cybersécurité est une problématique récurrente. Proposer un programme de certifications et définir des parcours de carrière contribuera à la stabilité des équipes sur le long terme. Définir et écrire les process adhoc se fera conjointement avec RSSI et DRH.

Comment gérer l’organisation de la cybersécurité dans l’intervalle ?

Assurer la croissance des équipes et accroître l’expertise pour répondre à tous les types de cybermenace est un besoin immédiat. Quel modèle organisationnel instaurer pour apporter de l’efficacité opérationnelle sur l’ensemble des sujets de cybersécurité ? La réponse est probablement à chercher du côté de la professionnalisation des activités et de la responsabilisation verticale. Dis autrement, si les entreprises veulent gérer les cybermenaces sur le moyen terme, elles doivent renforcer leur expertise et compétences dans les domaines de la cybersécurité qui les concernent le plus. La reconversion des collaborateurs internes impactés par l’hybridation du SI peut être une nouvelle source de recrutement pour pallier la pénurie d’experts en cybersécurité sur le marché. Développer une relation de proximité avec les métiers peut également contribuer à embarquer l’organisation de l’entreprise dans son ensemble sur les sujets de cybersécurité. Une collaboration RSSI et DRH est nécessaire pour optimiser l’organisation de la cybersécurité d’aujourd’hui.

Il est de plus en plus évident et communément admis pour tous que la cybersécurité des entreprises passe par l’implication des DRH, en ce sens qu’il convient de s’intéresser aux comportements des collaborateurs et donc d’impliquer toute l’organisation. Mais on insiste trop peu sur la nécessité de s’adresser aux DRH dans une démarche organisationnelle projective. Il devient urgent de repenser la conceptualisation de la cybersécurité. Comment les RSSI pourront-ils assurer le cheminement de la cybersécurité actuelle à l’organisation future ? La GPEC, Gestion Prévisionnelle des Emplois et Compétences, orchestrée par les DRH, qui porte un regard sur les compétences présentes aujourd’hui, les compétences identifiées demain, et les moyens et process pour passer de l’un à l’autre, pourrait être une brique de la solution.