Blog

Oct 01, 2023

RSSI à membre du conseil d'administration : Améliorer votre préparation à servir

Note de l'éditeur : Lisez également "Rewiring Boardroom Cybersecurity", un nouveau manuel

Note de l'éditeur:Lisez également "Rewiring Boardroom Cybersecurity", un nouveau manuel qui présente des actions concrètes pour les conseils d'administration afin de renforcer la cyber-préparation et de protéger les organisations contre les menaces actuelles et émergentes.

Les conseils d'administration réalisent rapidement que la cybersécurité n'est plus un sujet de discussion occasionnel, mais un problème qu'ils ne peuvent pas se permettre d'ignorer. La pression des investisseurs, des régulateurs et des consommateurs, ainsi que la recrudescence des cyberattaques au fil des ans, propulsent également une nouvelle vague de cadres auparavant inexploités à prendre en considération pour un siège au conseil d'administration : des cadres ayant une formation en cybersécurité, tels que des RSSI, des directeurs généraux de la cybersécurité, d'anciens militaires, entre autres. Mais sont-ils prêts pour le service au conseil ?

Pour combler l'écart entre le désir et la capacité de siéger à un conseil d'administration, les aspirants membres du conseil d'administration avec un pic sur la cybersécurité devront se lancer dans un voyage de transformation.

Pour tout dirigeant, assumer un rôle de gouvernance nécessite deux choses fondamentales : unchangement de mentalitéde l'exécution à la surveillance et unensemble plus large de compétences que votre domaine d'intérêt principal. Étant donné que les cyber-experts, tels que les RSSI, ont rarement été considérés pour des postes au sein du conseil d'administration dans le passé, ils ne correspondent pas nécessairement au moule typique d'un administrateur de conseil d'administration. Peu ou pas d'exposition au conseil d'administration, aux structures hiérarchiques organisationnelles et à l'accent mis uniquement sur les problèmes de cybersécurité et d'informatique sont quelques-uns des obstacles qui ont empêché la plupart d'entre eux de développer une vision commerciale élargie au fil des ans, entravant leur capacité à assumer un rôle d'administrateur d'entreprise. Pourtant, ils occupent l'un des postes les plus difficiles d'une organisation, étant en service 24 heures sur 24, 7 jours sur 7 et tenus pour responsables, voire licenciés, lorsque des incidents importants se produisent.

Les cadres ayant une formation en cybersécurité veulent monter au conseil d'administration, et de plus en plus d'opportunités se présenteront au fil du temps, d'autant plus que les réglementations exigent de plus en plus une expertise supplémentaire et que la menace d'une cyberattaque plane sur chaque entreprise. S'appuyant sur notre expérience de travail avec des conseils d'administration et des responsables de la cybersécurité au fil des ans, ce manuel offre des informations pratiques pour améliorer votre préparation à décrocher votre premier siège social.

Tout d'abord, obtenez une exposition au conseil d'administration. Si vous êtes un CISO ou un cadre travaillant sur des questions de cybersécurité, il existe plusieurs façons de le faire. L'une consiste à plaider auprès de votre superviseur direct, et en particulier du PDG, pour l'hébergement de simulations de cyberattaques et d'exercices sur table au sein du conseil d'administration de votre entreprise. La Cybersecurity & Infrastructure Security Agency propose un ensemble complet de modules d'exercices sur table et d'outils pour aider les RSSI et les professionnels de la cybersécurité à mener l'exercice. Ces activités profitent à l'entreprise en améliorant la préparation et la résilience en cas d'attaque éventuelle et aident à maintenir les lignes de communication ouvertes entre vous et le conseil d'administration. De plus, vous devez présenter régulièrement à l'ensemble de votre conseil d'administration les questions de cybersécurité, au-delà du comité des risques que vous connaissez peut-être mieux. En vous tenant devant les membres et en vous exposant à leur façon de penser et aux questions qu'ils posent, vous contribuerez à façonner votre propre état de préparation lorsque le service au conseil se présentera.

Les conseils d'administration n'embauchent pas de candidats pour un seul problème. Si vous avez été peu exposé au conseil d'administration de votre entreprise et que vous sentez souvent que vous manquez de perspicacité dans la stratégie commerciale, puisez dans votre curiosité intellectuelle. Réfléchissez stratégiquement à la manière dont la cybersécurité et la stratégie sont liées et à ce que cela signifie pour votre rôle alors que votre entreprise cherche à se développer, à innover et à mener ses activités de la manière la plus sûre possible. Cartographiez les cadres avec lesquels vous allez commencer à vous engager et recherchez une intelligence économique. Avoir ces conversations de haut niveau sur une base continue vous donnera non seulement une vision plus large de la direction que prend l'entreprise, mais incitera d'autres cadres à inclure et à rechercher vos idées sur ces conversations d'affaires. Nous savons que de nombreuses entreprises ont du mal à trouver une structure de reporting optimale pour leurs responsables de la cybersécurité, à savoir les RSSI : certaines relèvent de la technologie, d'autres des opérations ; d'autres ne sont même pas au C-Suite, mais au niveau du directeur, mais puiser dans votre curiosité intellectuelle et avoir ces conversations vous permettront de mieux connaître l'entreprise.

Maintenant que vous devenez un autodidacte commercial et que vous avez une idée plus claire de ce que la cybersécurité signifie pour les objectifs de votre entreprise, il est temps de vous engager avec les différents départements de l'entreprise. Impliquez-vous avec les chefs de produit pour comprendre les aspirations commerciales sous-jacentes pour un nouveau produit. Commencez à assurer la liaison avec l'équipe marketing pour comprendre le consommateur et le positionnement de la marque sur le marché. Rechercher de manière proactive les connaissances nécessaires pour bien connaître le monde des affaires et la dynamique concurrentielle de l'entreprise. Les candidats "à un problème" ne sont pas nommés aux conseils d'administration, alors assurez-vous de participer également aux aspects de gouvernance et de stratégie de l'entreprise.

Alors que vous naviguez dans d'autres départements et comprenez leur portée, il est maintenant temps d'appliquer ces informations à vos opérations quotidiennes. Un responsable de la cybersécurité performant agira en tant que catalyseur de l'innovation tout en assurant la sécurité de toutes les personnes impliquées. Par exemple, si le marketing souhaite interagir avec les clients utilisant des données, vous les encouragerez à le faire tout en garantissant un haut niveau de sécurité. Il y a une autre couche que vous devez implémenter ici : l'empathie pour les collègues. Vous agirez comme un joueur d'équipe dont l'objectif est de garder une longueur d'avance sur la concurrence, mais si un projet présente un risque de sécurité important, vous agirez avec empathie pour comprendre l'objectif commercial ultime et développer la solution optimale tout en assurant la sécurité de l'entreprise et de son écosystème.

La cybersécurité peut devenir très technique très rapidement. Une grande partie de votre travail consiste à défendre le problème de manière simple et à motiver les employés à adopter une bonne hygiène numérique et à agir en tant que pare-feu humain de l'entreprise. Pour réussir à améliorer la préparation à la cybersécurité, vous devez être dynamique et avoir les compétences en matière de narration pour inspirer les gens à être les gardiens individuels des actifs et des systèmes numériques de l'entreprise. Appliquez votre créativité et votre inventivité pour développer des moyens convaincants de former et de garder les gens hyper conscients des cyber-risques tout en gardant les choses simples. Il en va de même pour la salle de réunion : les administrateurs n'ont pas besoin de connaissances techniques en matière de cybersécurité. Leur travail consiste à assurer la continuité des activités en cas d'incident, à minimiser les perturbations, à se conformer à la réglementation et à protéger les intérêts des investisseurs en tant que fiduciaires. Les conseils d'administration ont moins besoin des aspects techniques et davantage des implications de ne pas accorder suffisamment d'attention à la cybersécurité. En fin de compte, les humains apprécient les histoires qui sont relatables, convaincantes et qui ont un message qui résonne. L'application de la narration dans votre travail quotidien vous aidera à vous diriger vers la salle de conférence.

La prochaine étape de votre cheminement vers la préparation du conseil d'administration consiste à étendre votre réseau au-delà de l'entreprise. Vous avez construit des relations solides en interne. Il est maintenant temps de sortir de votre entreprise et d'établir de manière proactive des relations dans l'écosystème plus large. Galvanisez vos pairs dans l'industrie pour partager des informations et devenir plus intelligents ensemble. Par exemple, après la faille de sécurité chez Target en 2014, de grands détaillants comme Macy's, Kohls et d'autres ont été constamment touchés par les mêmes cybergangs. Les RSSI du commerce de détail ont réalisé qu'ils avaient besoin de former un consortium pour échanger des informations. Il s'agissait de l'un des premiers groupes de RSSI à se réunir et à partager des informations. En rejoignant une cohorte de leaders comme vous, et en ayant ces discussions productives et importantes, vous pouvez également avoir un aperçu de ce à quoi pourrait ressembler une dynamique de conseil d'administration.

Une partie de l'amélioration du profil de votre conseil d'administration consiste à devenir conseiller auprès d'autres entreprises. Maintenant que vous êtes passé d'un expert axé sur la cybersécurité à un cadre plus holistique à l'esprit commercial, il est temps d'utiliser vos compétences au profit d'autres organisations également. Siéger à des conseils consultatifs sera une partie importante de votre parcours de développement ici. Cela générera une exposition commerciale supplémentaire et vous aurez plus d'informations au niveau macro sur ce à quoi les autres industries sont confrontées.

Après avoir suivi les étapes ci-dessus, il est temps de lancer votre recherche de siège au conseil d'administration. S'appuyant sur notre travail avec plus de 600 conseils d'administration chaque année, Egon Zehnder a développé The Path to the Boardroom, un guide du monde réel pour vous aider à trouver votre premier poste d'administrateur d'entreprise. Du début de votre recherche à l'entretien pour un poste d'administrateur, en passant par un bon départ en tant que nouveau membre du conseil d'administration, ce guide vous préparera à prendre place en toute confiance à la table du conseil d'administration.

Gardez à l'esprit qu'il s'agit de suggestions pratiques que vous pouvez intégrer à votre routine en tant que professionnel de la cybersécurité, mais aucun chemin vers la salle de conférence ne ressemble à l'autre. Chaque dirigeant est confronté à un ensemble unique de défis et d'expériences qui rendent son parcours au conseil d'administration unique. Egon Zehnder est là pour accompagner les dirigeants et les organisations à chaque étape du processus. En savoir plus sur notre travail en cybersécurité.