Un RSSI doit avoir plusieurs casquettes. L'une des plus importantes, et peut-être la plus sous-estimée, est la nécessité d'être un bon conteur.
Il peut être difficile pour les cadres supérieurs non techniques de comprendre les risques de cybersécurité auxquels leur organisation est confrontée. Un peu plus du tiers (35 %) des petites entreprises interrogées dans le cadre d'une récente étude internationale ont déclaré que les cadres de direction ne perçoivent pas les cyberattaques comme un risque important, cependant un quart d'entre elles reconnaissent que les dirigeants ne sont pas tenus au courant des menaces qui pèsent sur leur entreprise.
Ce n'est pas une question d'échec de la direction. Il est difficile de s'intéresser ou de se soucier de quelque chose que l'on ne comprend pas complètement. Les RSSI doivent être capables d'influencer les personnes à tous les niveaux de l'organisation et de les aider à comprendre et à appliquer les politiques de sécurité, la réponse aux incidents, etc. Le temps passé à écouter et à connaître vos principales parties prenantes est l'un des meilleurs investissements que vous puissiez faire.
Dans le cadre de notre série sur la cyber-résilience des DSI/RSSI, j'ai rédigé un petit guide sur ce qui fonctionne pour moi. Le script du RSSI : comment parler des risques de sécurité aux chefs d'entreprise est publié avec un modèle de jeu HHS que les responsables de la sécurité peuvent télécharger et adapter lorsqu'ils présentent des problèmes de cyber-risque et de cybersécurité au Conseil d'administration.
Le guide décrit plus en détail les trois conversations clés que tout RSSI doit avoir :
Avec des collègues techniques, tels que des ingénieurs, des développeurs, des chercheurs en sécurité : ce sont ces personnes que vous pourriez un jour appeler à 02 h du matin pour leur faire part d'une demande urgente. Cela aide donc à établir des relations solides et à comprendre à quoi ressemble la sécurité de leur point de vue.
Avec les cadres supérieurs : des réunions régulières et programmées avec les parties prenantes les plus importantes dans des domaines de risque critiques tels que l'ingénierie, la finance et le droit, pour examiner comment les choses évoluent dans le paysage des menaces et de la sécurité et ce que cela signifie pour la feuille de route commerciale, les risques, la conformité, etc.
Avec le Conseil d'administration : chaque Conseil d'administration est différent. Apprenez tout ce que vous pouvez sur les personnes autour de la table et assurez-vous que vos diapositives s'adressent à elles dans un langage et avec des concepts qu'elles comprendront. Quelle est la clé pour capter leur intérêt et leur attention ?
En bref, les RSSI doivent montrer aux cadres supérieurs et au conseil d'administration où se situent les risques, comment leur équipe les gère et comment ils maintiendront la résilience de l'entreprise dans un monde où les cyber-incidents sont courants, imprévisibles et potentiellement destructeurs.
Pour en savoir plus sur les principales conversations relatives à la sécurité et sur la manière de présenter la cybersécurité au conseil d'administration, procurez-vous une copie du script et du modèle de présentation dès maintenant.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter