Alliancy

La chronique du Cesin : do you speak RSSI ?

RSSI Thierry Autret-une

– Hello, Akihiro, Helmut, Paola, Ashley… welcome to our monthly CISO conference call.

On parle souvent du RSSI, comme un professionnel à multi-facettes qui doit naviguer de la technologie à la communication, en passant par le juridique et parfois un peu de politique. C’est déjà un métier difficile quand on l’exerce dans un seul pays, mais que dire quand il s’agit de le faire au-delà de nos frontières.

Disons déjà que le RSSI devient le CISO (Chief Information Security Officer) d’un groupe international qui a l’impression de ne jamais totalement achever un projet. En effet, un projet terminé dans un pays ne l’est pas forcément dans d’autres. Non pas qu’il y ait de la mauvaise volonté, mais simplement parce que le rythme d’intégration d’un projet peut largement dépendre de la culture du pays et, beaucoup le savent, du dialogue avec le management des équipes locales :

– Mickael, what a good job you’ve done here!…

Suite à cette approche diplomate, il s’agit d’expliquer maintenant à Mickael qu’il a tout à refaire. Hypocrite ? peut-être mais qui fait gagner beaucoup de temps lorsqu’une critique directe aurait bloqué le dialogue pour longtemps.

La réussite dans une gouvernance de la sécurité à l’échelle d’un groupe international repose sur la compréhension des cultures et du code de conduite à tenir dans chaque pays : aux USA, il faut toujours positiver, valoriser et féliciter avant de chercher à améliorer. En Asie, il faut s’assurer que le « Oui » est réellement un accord et vaut engagement. En Afrique, il faut commencer par la relation presque « amicale » avant de parler professionnel. En Allemagne il n’y a pas d’implicite, tout ce qui n’est pas spécifiquement dit n’est pas compris comme devant être fait.

Beaucoup de difficultés s’ajoutent à la culture et en premier le décalage horaire et la langue.…

Prenons deux exemples :

      • La mise en place d’une charte : De sa rédaction à sa mise en œuvre, il convient de tenir compte des pratiques dans chaque pays, des lois et de la culture du pays. En France, il faut plus d’une année pour mettre en place une charte quand dans d’autres pays deux mois suffisent. Les points de vigilance sont nombreux : quelle partie de la charte doit être commune à tous les pays ? Quelle partie laisser aux ressources locales pour les adapter aux exigences réglementaires domestiques ? Dans quelle(s) langue(s) faudra-il la traduire, quel processus à suivre pour la publier ?

Autre exemple récent :

      • La gestion d’une attaque de type Ransomware WannaCry du 12 Mai 2017. Dès la première alerte quelque part dans le monde, il faut analyser, comprendre et communiquer dans plusieurs langues. Pour un CISO d’un groupe international commence la gestion d’une crise sur la base « follow the sun », pour s’assurer que la prise en compte des consignes est bien en place mondialement, la nuit est souvent courte !

Outre les outils habituels d’un CISO, il est primordial de connaitre la culture du pays où il doit agir. Gérer les risques de manière uniforme partout dans le monde ne peut être efficace sans tenir compte de l’exposition plus forte de certaines régions aux risques environnementaux, sociaux ou encore politiques : Il est plus facile de parler des risques sismiques à un japonais que des erreurs humaines qu’il considèrera peu probables. Mais lorsque « vous » l’avez compris, il faut aussi le faire comprendre à votre équipe rapprochée sinon en votre absence elle risque de casser ce lien de confiance que vous aurez bâti.

La perception même de la fonction RSSI / CISO n’est pas la même d’un pays à l’autre : elle est perçue comme génératrice de contraintes et plutôt technique dans certains pays et « Business enabler » dans d’autres.

Au-delà des aspects culturels, les environnements applicatif, réglementaire ou juridique sont également à prendre en compte. Dans une charte qui parle des réseaux sociaux ar exemple il faut savoir qu’en Chine une seule application regroupe l’équivalent de Facebook, Twitter, Snapchat, Uber. Dans beaucoup de pays le seul fait de parler de « charte IT », n’a pas de traduction car il n’y a pas de cadre RH et juridique équivalent au nôtre. Que dire ensuite de l’évaluation des performances dans des pays où les politiques salariales, parties fixe/variable/bonus dans le calcul de la rémunération sont différentes. A cela s’ajoutent, même si cela s’éloigne du métier, les tracasseries administratives que sont une consolidation et un arbitrage budgétaire plus compliqué (les US commençant l’exercice budgétaire en avril, alors que la France le termine en décembre).

Mais toutes ces différences sont aussi des enrichissements car ce qui marche chez les uns peut aussi marcher chez les autres quitte à l’adapter. Pour les aspects opérationnels, il faut tirer profit de l’approche « follow the sun » afin d’améliorer la réactivité des actions de protection sur le SI global.

Rubrique rédigée avec les expériences vécues de Mahmoud Denfer, Jamal Dahmane et Eric Singer, membres du CESIN.

MAINTENANT C’EST À VOUS ET VOICI QUELQUES RECOMMANDATIONS PRATIQUES QUI ONT FAIT LEURS PREUVES

  • S’informer, s’adapter et manager par influence sont clés de réussite ;
  • Comprendre l’interlocuteur et sa culture et éviter les « facteurs de blocage» : se faire des guides ou des manuels qui serviront aux collaborateurs directs ;
  • Trouver des champions locaux : par exemple un expert sur l’antivirus peut expliquer aux autres comment le déployer ;
  • Comparer les niveaux de sécurité entre pays et éviter les règles générales : ne pas imposer les choses partout de la même manière (ex : PSSI) mais faire partager les objectifs et adapter les processus en fonction de la taille et de la maturité des organisation locales, définir des axes d’amélioration et des plans d’actions ;
  • Tenir compte des aspects juridiques locaux, du rôle de la RH, du positionnement du RSSI local et de son niveau d’influence sur la hiérarchie et les équipes opérationnelles ;
  • Organiser annuellement des réunions des RSSI internationaux pour partager les expériences et assurer un team building avec des « social events» ;
  • Organiser des simulations de crise dans une approche « follow the sun».

Liens utiles :

A lire aussi : La chronique du Cesin : l’enfer des mots de passe

Quitter la version mobile