Pour se faire entendre des membres du conseil d’administration, les RSSI doivent non seulement apprendre leur vocabulaire, mais aussi traduire le risque cyber dans le langage des affaires.
S’engager auprès du conseil d’administration ne fera peut-être pas la carrière d’un RSSI, mais c’est une compétence de plus en plus importante, d’autant plus que les membres des instances dirigeantes, inquiets des risques, recherchent des informations stratégiques sur la sécurité. Le défi ne consiste pas seulement à présenter des informations techniques, mais aussi à aligner la cybersécurité sur les priorités et objectifs commerciaux du conseil d’administration.
Cependant, les RSSI peuvent avoir du mal à déchiffrer les signaux des conseils d’administration, comprendre ce qu’ils veulent ou ne veulent pas entendre. Mais il existe des moyens de décoder leurs attentes.
Trouver un allié au sein du conseil d’administration
Trouver un partisan au sein du conseil peut aider le RSSI à aligner ses rapports sur les exigences de cette instance et à améliorer son engagement auprès de celle-ci. Stephen Bennett, RSSI du groupe Dominos, lance : « trouvez un champion au sein du conseil d’administration qui vous aidera à identifier exactement ce que le conseil veut entendre ». Les RSSI peuvent passer beaucoup de temps à essayer de déterminer ce que souhaite le conseil d’administration et à créer toutes sortes de rapports différents dans l’espoir d’y parvenir. Aller directement à la source évite de gaspiller trop d’énergie dans la recherche de cet alignement.
Stephen Bennett s’est associé à un membre de son conseil d’administration. Selon lui, cela l’avait aidé à affiner son approche en matière de rapports à présenter. Il s’est ainsi rendu compte qu’il était nécessaire d’avoir une vision plus stratégique et de haut niveau. Ce dialogue lui a aussi permis d’identifier les informations techniques qui doivent être expliquées aux administrateurs qui n’ont pas de connaissances spécifiques en matière de cybersécurité. « J’ai été surpris de constater que le conseil d’administration ne comprenait pas très bien certains termes que nous utilisons régulièrement, tels que endpoint, pare-feu ou framework NIST », explique-t-il.
Il s’est rendu compte qu’il devait combler ce fossé et a ainsi élaboré un glossaire et un livre blanc expliquant les cadres et les normes de conformité applicables à l’organisation. De quoi fournir des informations de base et s’assurer que tout le monde utilise le même langage. « L’idée est que ces deux documents changent rarement parce que les exigences de conformité et les pratiques de gestion des risques sont relativement identiques au fil des évaluations de maturité », précise-t-il.
Les bases étant posées, le RSSI a pu utiliser ses rapports réguliers pour faire le point sur la manière dont il atténue les risques pour l’organisation, mettant en évidence la valeur de l’investissement dans la cyber. « J’explique où nous en sommes du point de vue de la maturité cyber, ce que nous avons fait l’année dernière, ce que nous devons faire l’année prochaine et le type de budget dont nous avons besoin », détaille-t-il.
Cette expérience l’a aidé à modifier son approche et à passer de rapports qui ressemblent à un registre exhaustif des risques à une évaluation stratégique des risques exprimée dans le langage des affaires. Un changement de ligne hiérarchique – Stephen Bennett dépend aujourd’hui du directeur financier – l’a également aidé à élaborer des rapports orientés business. « Ce n’est que lorsque vous rendez compte à quelqu’un qui n’est pas impliqué dans la technologie que vous appréhendez combien vous parlez en jargon et que vous êtes loin de parler la langue de l’entreprise », reconnaît le RSSI.
Décoder ce que le conseil d’administration attend des RSSI
Les responsables de la cybersécurité doivent avoir des contacts réguliers avec les conseils d’administration afin de se familiariser avec cette instance et de mieux la comprendre. Sans cela, un manque de clarté peut conduire à partager trop de détails techniques ou à ne pas fournir suffisamment de contexte stratégique.
Paul Connelly, ancien RSSI devenu conseiller, administrateur indépendant et mentor, estime que de nombreux RSSI se concentrent trop sur les KPI, alors que le conseil d’administration recherche des informations plus stratégiques. Cette instance n’a pas besoin de connaître les résultats de votre test d’hameçonnage, illustre Paul Connelly. Les conseils d’administration se concentrent sur les risques auxquels l’organisation est confrontée, les stratégies pour y faire face, les progrès réalisés, les obstacles et l’allocation des moyens aux sujets qui comptent réellement.
« Je conseille aux RSSI d’étudier leur conseil d’administration, de lire leur biographie, de comprendre leurs antécédents et d’appréhender la responsabilité fiduciaire d’un conseil d’administration », ajoute-t-il. L’objectif : décoder la composition du conseil et ses priorités, et mieux canaliser ses métriques en matière d’analyse des risques et des menaces pour l’entreprise.
À l’aide de ces informations, les RSSI peuvent élaborer une présentation de leur programme alignée sur l’activité. « C’est un récit de haut niveau – étayé par des mesures – que les conseils d’administration veulent entendre, et non un ensemble de KPI sur les courriels malveillants, les correctifs critiques ou les menaces effrayantes du type Chicken Little », explique Paul Connelly. Cependant, il ne s’agit pas d’une interaction à sens unique, et de nombreux RSSI travaillent avec des conseils d’administration qui n’ont pas les compétences et la compréhension nécessaires pour favoriser des discussions fructueuses sur les cybermenaces. « Très peu de conseils d’administration disposent d’une véritable expertise en matière de technologie ou de cyber », reconnaît l’ancien RSSI.
Selon une étude de 2024 du Diligent Institute, seulement 5 % des entreprises comptent des experts en cybersécurité au sein de leur conseil d’administration, ce qui laisse supposer que la majorité de ces instances ont du mal à superviser ce sujet. Bien que la technologie soit une composante clef de l’innovation et de la croissance, et que les risques associés soient parmi les plus importants et les plus complexes auxquels sont confrontées la plupart des entreprises, de nombreux conseils d’administration n’ont pas les compétences nécessaires pour s’attaquer à ce sujet. « Ils approuvent sans discussion ce que leur présente la direction ou posent les cinq questions principales qu’ils ont lues dans un article de McKinsey, mais ne sont pas en mesure d’approfondir les réponses qu’ils obtiennent », dit Paul Connelly.
Il suggère aux RSSI d’inclure de brèves vidéos de formation, d’organiser des exercices sur table pour le conseil d’administration ou encore d’inclure des documents de vulgarisation supplémentaires dans les documents remis chaque trimestre au conseil d’administration. « Tout ce qui peut aider à combler le manque d’expertise », selon l’ancien RSSI.
Aller au-delà des questions de type oui ou non
Il existe un décalage important entre la vision qu’ont les RSSI des priorités en matière de cybersécurité et celle de leurs conseils d’administration. Et ce, dans un certain nombre de domaines. Selon une étude de l’éditeur Splunk, les RSSI sont plus enclins à penser que la profondeur des connaissances est une compétence importante, alors que les conseils d’administration souhaitent que les RSSI soient plus aptes à communiquer et qu’ils aient un meilleur sens des affaires. En outre, les conseils d’administration sont plus enclins que les RSSI à insister sur les tests de validation des contrôles de cybersécurité existants et à penser que la conformité est un gage de réussite.
Ce manque de compréhension de la cybersécurité peut laisser les administrateurs mal équipés pour tirer le meilleur parti de l’expertise de leur RSSI. « Il faut savoir que certains membres du conseil d’administration seront très intéressés par la cybersécurité et d’autres pas du tout. Il faut parfois présenter un rapport à l’ensemble des membres du conseil d’administration, certains voulant une infinité de détails, tandis que d’autres aimeraient simplement savoir si tout va bien ou pas », résume Stephen Bennett, le RSSI de Dominos.
Pour aller au-delà des questions de type oui ou non et fournir au conseil d’administration des informations contextuelles et des orientations stratégiques, les RSSI ne doivent pas se contenter de cocher des cases. Stephen Bennett a constaté que le recours à des sources d’information supplémentaires est un moyen efficace d’analyser les risques réels et leurs implications pour l’entreprise. « Je ne me contenterai pas de dire : ‘Voici les risques’. Je leur fournirai un contexte pour les aider à comprendre les choses plus en profondeur », explique le RSSI.
Les articles de presse sur les incidents de sécurité peuvent ainsi être reliés aux contrôles de sécurité effectués, à la manière dont le budget est dépensé et à ce que cela signifie pour le niveau de risque de l’organisation et sa capacité de réaction si elle est confrontée au même type de menace. « Au lieu de donner des chiffres, je leur montrerai comment notre investissement a fonctionné. Par exemple, comment nous sommes passés d’un état où il fallait trois jours à cinq membres de l’équipe pour résoudre un incident à une situation où quatre heures suffisent, et avec une visibilité totale », illustre Stephen Bennett.
Trouver des occasions de dialoguer avec les membres du conseil d’administration en dehors des réunions officielles est un autre moyen efficace pour les RSSI d’améliorer leur niveau d’échanges avec les membres de cette instance. Qu’il s’agisse de participations à des comités ou de réunions individuelles ad hoc, ces efforts contribuent à développer les relations avec les membres du conseil, souligne le rapport 2025 State of the CISO de l’IANS, institut spécialisé dans la cyber et fournissant conseils et formations.
Paul Connelly estime qu’il s’agit d’un autre facteur important pour une relation de travail fructueuse entre le RSSI et son conseil d’administration. Lorsqu’il était RSSI, il était invité à des dîners du conseil d’administration et a ainsi appris à connaître les membres du comité d’audit. « Ce niveau d’accès et de confort a facilité de bonnes discussions au cours desquelles les membres du conseil d’administration n’hésitaient pas à poser des questions », explique-t-il.