5 questions qu’un RSSI devrait se poser avant de prendre un nouveau poste
"Vous prenez la pilule bleue et tout s'arrête, pour que vous puissiez faire de doux rêves et vous lancer sans préparation dans votre nouveau rôle de RSSI. Vous prenez la pilule rouge, restez au pays des merveilles et descendez avec le lapin blanc pour voir jusqu'où le terrier du RSSI s'étend." – Morpheus, probablement.
Dans le domaine de plus en plus complexe de la cybersécurité, le rôle de Directeur de la Sécurité de l'Information est plus crucial que jamais. Cependant, même si la rémunération est généralement généreuse (jamais suffisante !), il est crucial de poser les bonnes questions avant d'accepter un nouveau poste. Voici ce que chaque RSSI devrait considérer pendant sa recherche d'emploi.
Pourquoi l'entreprise a-t-elle besoin d'un RSSI ?
Comprendre pourquoi une entreprise cherche à embaucher un RSSI peut offrir des perspectives profondes sur sa maturité en matière de cybersécurité et ses intentions. Le besoin d'un nouveau RSSI peut survenir suite à un départ précédent, une violation récente des données, ou peut-être s'agit-il de la première initiative de l'entreprise pour marquer son ambition dans le domaine cybersécurité. La raison de cette embauche peut indiquer si le rôle est stratégique ou simplement en réaction à un événement ou un simple besoin de conformité.
La culture de cybersécurité de l'entreprise correspond-elle à la vôtre ?
Pour favoriser une culture de cybersécurité forte dans une entreprise, il est crucial de commencer par un "pourquoi" convaincant. Lorsque les employés comprennent les raisons derrière la nécessité de la sécurité informatique — comme la manière dont les bonnes pratiques permettent le travail à distance et protègent contre les menaces cybernétiques — ils sont plus susceptibles de s'engager et d'adopter les changements de comportement nécessaires. Les histoires illustrant les conséquences réelles des violations de données peuvent rendre les risques tangibles et pertinents. Par conséquent, bien qu'il soit important de détailler les changements nécessaires et la manière de les mettre en œuvre, inspirer les employés avec un "pourquoi" solide est la première étape dans la construction d'une culture de cybersécurité efficace. Ensuite, bien sûr, le "quoi" et le "comment" du programme de cybersécurité de l’entreprise sont également importants.
La vision de la cybersécurité de l'entreprise est-elle en accord avec la vôtre ?
Des attentes non alignées sur les stratégies de cybersécurité peuvent entraîner des défis significatifs à long terme. Il est crucial d'investiguer si l'approche de l'entreprise est en accord avec la vôtre. Cela aide non seulement à évaluer si vous pourrez travailler efficacement, mais aussi si vous aurez le soutien nécessaire pour implémenter votre vision.
Avec qui allez-vous travailler ?
La force et la composition de l'équipe de cybersécurité existante peuvent être un facteur décisif. Comprendre qui compose l'équipe de cybersécurité aidera à évaluer comment vous pouvez collaborer, communiquer et diriger efficacement. Il est essentiel d'évaluer la maturité, la stabilité et les capacités non seulement de l'équipe, mais aussi de votre équipe élargie. Il s'agit d'évaluer si vous aurez le bon mélange de professionnels internes et externes. Ce mélange est important pour permettre à une organisation d'être agile, proactive et robuste dans sa gestion et sa mitigation des cybermenaces, tout en favorisant une culture d'apprentissage et d'amélioration continue.
Rapporter au PDG ou non, telle est la question ?
La question de savoir si un Directeur de la Sécurité de l'Information doit rapporter au Directeur Général (PDG) ou au Directeur des Systèmes d'Information (DSI) est significative. Cette configuration, bien qu'elle soit différente, n'est pas nécessairement négative mais offre une méthode alternative pour gérer et atténuer les risques au sein d'une entreprise. Tous les rôles de RSSI n'offrent pas une véritable autorité de niveau Comex, ce qui rend difficile pour les RSSI d'être reconnus à la juste place au sein de leurs organisations. Il est crucial de déterminer si la position permet un accès direct au conseil d'administration et à la direction exécutive, car cela influence grandement la capacité à impulser le changement. Le raisonnement est le même pour les autres fonctions qui ne sont pas représentées au Comex et cela n’est pas une fin en soi.
Les considérations clés pour les RSSI dans de telles structures incluent le contrôle de leur budget (idéalement 10%-15% du budget IT total), la flexibilité du DSI et le nombre de rapports directs au DSI, ce qui peut influencer l'influence et la visibilité du RSSI.
Le rôle d'un RSSI n'est pas une petite responsabilité, et les enjeux sont élevés non seulement pour l'entreprise mais aussi pour votre carrière. Prendre le temps d'évaluer soigneusement les employeurs potentiels et les défis spécifiques du rôle peut conduire à une meilleure satisfaction professionnelle et à un mandat plus réussi. N'oubliez jamais, un entretien est une rue à double sens; il s'agit autant de trouver la bonne adéquation organisationnelle pour vous que pour l'entreprise de trouver le bon candidat.
Always remember, an interview is a two-way street; it’s as much about your finding the right organizational fit as it is about the company finding the right candidate.