Le rôle du chef de la sécurité de l’information s’est démocratisé et a acquis une importance stratégique au cours des dernières années. Bien que son mandat varie d’une organisation à l’autre, ses fonctions ont connu une importante évolution; d’abord axées sur l’aspect technologique, elles comportent désormais un volet d’affaires et de gestion des risques.
De plus en plus de chefs de la sécurité de l’information se rapportent directement au chef de la direction ou au chef de la gestion des risques, voire au chef de la direction informatique. Et ils relèvent souvent fonctionnellement de la direction juridique ou de conformité réglementaire ou travaillent en étroite collaboration avec ces équipes. Plusieurs sont directement imputables pour les risques de sécurité; aussi doivent-ils constamment veiller à la protection et au traitement sécurisé des données sensibles, tout en s’assurant de la continuité des affaires dans un environnement sécuritaire.
Dans le cadre du travail de CGI auprès de nombreuses organisations, nous avons remarqué que les chefs de la sécurité de l’information les plus performants s’avèrent de solides leaders qui assurent l’harmonisation entre les besoins d’affaires et les ressources de sécurité opérationnelles.
Voici quelques-uns de leurs attributs.
- Ils sont pleinement concernés par la stratégie d’affaires, ce qui leur permet de bien comprendre les risques de sécurité et les exigences juridiques ainsi que leur incidence sur l’ensemble des processus d’entreprise et de la chaîne d’approvisionnement. Ils maintiennent une perspective stratégique et s’assurent que les activités opérationnelles demeurent axées sur les objectifs d’affaires stratégiques.
- Ils sont présents, physiquement et de façon régulière. Il est difficile d’imaginer comment de telles fonctions pourraient être exercées de façon virtuelle. Une telle entreprise apparaît d’ailleurs risquée. Les chefs de la sécurité de l’information performants prennent le pouls de leur organisation de façon régulière, en étant présents et en entretenant des liens avec les propriétaires des fonctions d’entreprise.
- Ils élaborent et maintiennent une stratégie pragmatique d’atténuation des risques qui aborde les budgets de façon réaliste et qui assure l’équilibre entre les risques et les coûts.
- Ils sont en mesure d’intégrer les connaissances sur la sécurité à chaque fonction d’entreprise, ce qui leur permet de maintenir une stratégie globale plutôt que proposer des solutions ponctuelles ou propres à chaque service.
- Ils s’assurent que les politiques et les normes d’éthique sont comprises par les employés dès leur embauche ainsi que de façon continue grâce à des processus de gestion de la performance mis en place au sein de tous les marchés géographiques.
- Ils ne font pas cavalier seul, mais partagent les risques avec des partenaires de confiance. À cet effet, ils exigent que les vérifications diligentes requises soient stipulées dans les ententes de gestion déléguée des services de sécurité, de services-conseils et d’audit. Puisque les partenaires œuvrent généralement dans plusieurs domaines, les chefs de la sécurité de l’information doivent assurer la mise en place de mesures de sécurité permettant d’offrir une solution cohérente. Ils expriment à ces partenaires les résultats qu’ils souhaitent atteindre plutôt que de constamment tenter de tout réaliser à l’interne et de procéder à des embauches à répétition pour y parvenir.
- Ils savent démontrer la valeur des technologies et des partenaires sélectionnés grâce à des résultats mesurables. Pour ce faire, ils doivent bénéficier d’une visibilité étendue, notamment en ayant accès à des tableaux de bord de gestion et à des rapports sur la conformité, les menaces contrées et les économies réalisées grâce à la prévention des pannes de réseau et des pertes de productivité.
- Ils s’adaptent constamment à l’évolution des exigences, des menaces et des technologies.
Les chefs de la sécurité de l’information détiennent d’immenses responsabilités et se voient confier des mandats d’envergure, mais ce qui distingue les plus performants d’entre eux est leur enthousiasme palpable pour leur travail. Les défis et les occasions surviennent à un rythme dynamique et stimulant. Pour eux, il est passionnant d’être en mesure d’améliorer et de protéger leur organisation et d’avoir une incidence au sein de leur marché, tout en étant habilité à réagir aux attaques de façon proactive. L’importance de ce rôle renforce l’enthousiasme lié à l’exercice de ces fonctions et c’est pourquoi plusieurs chefs de la sécurité de l’information choisissent comme partenaires des experts et des organisations partageant la même vision, tels que CGI, et qui démontrent un enthousiasme et une détermination de cette nature.