C’est une réalité qui affleure dans les fils d’actualité LinkedIn, comme dans les rapports d’experts et études récentes sur la cybersécurité. Une évolution se dessine, ou plutôt est désormais attendue, pour ces profils au cœur de la sécurisation des systèmes d’information. Leur fonction n’est plus uniquement de gérer des serveurs ou d’exploiter une CVE quelconque, mais bien de piloter la résilience et la valeur stratégique d’un groupe. Valeur qui dépend de plus en plus de la capacité du DSI à jouer un rôle de liant et non plus seulement d’opérateur IT.
Communiquer pour réduire le risque
Le risque cyber se joue aujourd’hui sur des ressorts cognitifs et organisationnels, bien au-delà des seuls dispositifs techniques. Les attaquants s’appuient sur des mécanismes de persuasion pour amener un collaborateur à cliquer, un manager à outrepasser une règle, ou une direction à agir dans l’urgence. Le DSI se retrouve alors face à des stratèges de l’influence. Et c’est sur ce terrain de jeu, celui des messages, des arbitrages et des décisions humaines, qu’il doit agir pour réduire le risque à l’échelle de l’entreprise.
On voit fleurir des formations de communication à destination des DSI et RSSI. Et cela n’est pas un hasard. Plus qu’une « soft skill », la communication s’ajoute à la liste des prérequis attendus : un nouveau socle de compétences sur lequel s’appuyer pour modifier les réflexes, créer des automatismes, légitimer le doute et autoriser le signalement.
Comme dans une bonne publicité, ce n’est pas l’information qui compte, mais l’histoire et la trace qu’elle laisse en mémoire. Elle ne convainc pas par ce qu’elle explique, mais par ce qu’elle imprime. On se souvient davantage de Christelle au service marketing, dont le salaire a été versé à deux reprises sur un mauvais compte, que du mail de la DSI invitant à rester vigilant face à un message frauduleux.
L’enjeu ici n’est pas de dire quoi faire. Dans un premier temps, il s’agit de créer le souvenir pour casser l’effet de surprise lorsque la situation se représentera.
Un bon narratif n’est jamais unique
L’efficacité d’un message tient autant à son contenu qu’à sa capacité à s’adapter à son audience.
Le véritable levier d’engagement repose sur la faculté de raconter une même histoire en l’ajustant aux différents publics.
Pour engager les différents collaborateurs, le DSI doit pouvoir traduire le risque en impacts et mettre en avant les intérêts de chaque partie. Quand il prend la parole en comité de direction, les réactions ne seront pas les mêmes à l’écoute de cette affirmation : « nous avons découvert une vulnérabilité de type RCE sur un serveur qui supporte une activité critique » qu’à l’écoute de celle-ci : « protéger ces serveurs est une priorité de niveau 1 sur laquelle il faut agir rapidement, pour garantir la satisfaction client, éviter des pénalités financières conséquentes, conserver le soutien de nos investisseurs en cas d’incident ». Dans un cas, l’information circule ; dans l’autre, une décision devient possible.
Le DSI, en tant qu’interface de tout le système (direction, métiers, filiales, IT, partenaires), doit mettre le doigt sur ce qui fait réagir et par un effet de ruissellement, déclenche l’action. Son rôle ne se limite plus à déployer des solutions ou à faire respecter des règles. Il consiste à activer les bons leviers, au bon niveau, pour provoquer des comportements adaptés, transformer des actions ponctuelles en une culture partagée du risque.
Une question de bande passante, plus que de conviction
Maîtriser les codes de la communication devient une composante à part entière du rôle du DSI dans la gestion du risque. Le storytelling ne remplace ni les outils ni les contrôles, mais il leur donne une portée collective, en influençant les comportements bien au-delà de la sphère IT.
Reste un sujet majeur à traiter : celui de la bande passante nécessaire pour adresser ces enjeux, dans des roadmaps et des agendas déjà largement saturés. La prise de conscience est réelle : la gestion du risque doit se faire à l’échelle de l’entreprise. Mais les RSSI sont déjà sous pression et ne se sentent, pour la plupart, pas suffisamment soutenus par la direction. La réponse réside peut-être dans la capacité à s’appuyer sur un acteur tiers, capable de porter ces sujets dans la durée.
David Boucher
Expert
Cybersécurité
