Reconnaître les signes pour apaiser les tensions entre DSI et RSSI

Les DSI et RSSI opèrent dans des environnements stressants, ce qui peut parfois mettre à rude épreuve leurs relations et les empêcher d’obtenir des résultats positifs.

Ayant été moi-même à la fois CIO et RSSI, j’ai une expérience directe de cette question des deux côtés. En particulier pour les RSSI, qui relèvent souvent du CIO, il est difficile d’atténuer cette situation et de créer une relation pratique, saine et respectueuse pour les deux parties. Cela nécessite de comprendre les pressions et les priorités du rôle du partenaire, ainsi que la manière dont il se comporte.

Des relations sujettes aux tensions

Pour comprendre pourquoi il existe des frictions entre les DSI et les RSSI, nous devons considérer les pressions et les priorités de chaque poste.

Le rôle du CIO comporte de nombreuses activités qui méritent l’attention et la reconnaissance de la direction et du conseil d’administration. Les conseils d’administration et les équipes de direction recherchent un CIO qui soit au top de toutes les questions informatiques.

Ce défi, la raison d’être du CIO, est de réaliser la transformation et la croissance de l’entreprise grâce à l’utilisation de la technologie. Les principales parties prenantes au sein des entreprises recherchent une transformation technologique et une meilleure satisfaction des clients grâce à ces plateformes. Les DSI seront mis au défi non seulement sur leur capacité à fournir ces nouvelles solutions numériques, mais également sur leur capacité à minimiser l’impact des interruptions et des pannes de service sur les processus métier.

D’autre part, la mission du RSSI est de protéger l’entreprise des menaces extérieures. Certes, les DSI sont intéressés par cette problématique, mais ils subissent également la pression des acteurs économiques lorsqu’il s’agit des arbitrages nécessaires à la protection de l’entreprise.

Ces compromis sont des défis qui recoupent le travail du RSSI et mettent en évidence les priorités contradictoires des deux parties. Au fil du temps, ces situations, et la manière dont elles sont traitées et résolues, peuvent provoquer de réelles frictions entre les deux parties. Ces frictions peuvent être publiques ou cachées, par exemple par les collègues et le DSI/RSSI lui-même.

Facteurs de pression courants pour les DSI et les RSSI

Les entreprises matures n’ont d’autre choix que d’accepter le risque et de reporter pour le moment les mesures correctives. La correction des vulnérabilités est un exemple de la tension entre le DSI et le RSSI.

Dans le cas d’une vulnérabilité exploitée très critique, le RSSI voudra qu’elle soit corrigée immédiatement, et le CIO sera probablement d’accord sur l’urgence. Cependant, pour les correctifs modérés, les DSI peuvent faire pression sur l’organisation pour qu’elle retarde l’impact sur les systèmes de production, demandant aux RSSI d’attendre une semaine, voire des mois avant d’appliquer le correctif.

Des tensions similaires existent avec les programmes qui ont un impact sur l’expérience client numérique. Par exemple, les nouvelles capacités d’authentification multifacteur peuvent nécessiter des contacts supplémentaires avec les clients et éventuellement une interruption temporaire des canaux, ce qui peut être difficile à accepter pour les entreprises.

Alternativement, le DSI et l’équipe d’ingénierie peuvent collaborer avec l’entreprise pour offrir de nouvelles fonctionnalités destinées aux clients via une plate-forme API. Du point de vue d’un RSSI, ces API doivent être correctement gérées et même testées en termes de pénétration pour garantir qu’elles n’entraînent pas de perte de données inattendue. Alors que les RSSI exigent des contrôles plus stricts, les DSI doivent répondre aux attentes des parties prenantes en acceptant le principe tout en garantissant que les fonctionnalités sont fournies, souvent dans des délais courts.

La gestion des incidents est un autre domaine où des tensions sont susceptibles de surgir. Lorsqu’une cyberattaque majeure ou une interruption d’activité se produit, les RSSI doivent faire preuve de leadership et servir souvent de messagers pour annoncer les mauvaises nouvelles. Bien entendu, les DSI souhaitent être informés immédiatement, mais les détails restent souvent flous. À ce stade précoce, le RSSI peut faire mauvaise impression sur le CIO, car celui-ci a souvent plus de questions que de réponses.

Le cinquième exemple est DevOps. De nombreux DSI, dont moi-même, préconisent une livraison rapide et continue. Malheureusement, peu de DSI préconisent DevSecOps pour intégrer les tests de cybersécurité dans le processus. Cela est probablement dû à la pression exercée par les parties prenantes de la direction pour publier une nouvelle version du logiciel et accepter le risque que certaines corrections soient nécessaires si elle n’est pas parfaite. D’un autre côté, peu de RSSI ont une formation de développeur de logiciels, ils sont donc souvent réticents à s’impliquer et à remettre en question ce processus.

Comment les différences typiques entre CIO et RSSI entrent en jeu

Les frictions ci-dessus n’ont rien à voir avec la personnalité des DSI et des RSSI. De plus, cette incompatibilité peut provoquer davantage de tensions dans la relation.

Les DSI et les RSSI ont probablement accédé à leur poste par des parcours professionnels différents et peuvent avoir des approches différentes de leur travail. Certaines des figures archétypales qui en résultent coopèrent naturellement les unes avec les autres, tandis que d’autres finissent par entrer en conflit.

Mon conseil ici est de réfléchir attentivement à la façon dont l’autre partie opère, de comprendre son style naturel et de changer la façon dont vous abordez les points de pression potentiels. Par exemple, les DSI orientés business et les DSI orientés partenaires mettent l’accent sur l’engagement des parties prenantes comme la clé du succès. Lors d’un partenariat entre un RSSI orienté technologie et un RSSI orienté transformation, il peut y avoir une différence d’approche.

Comment gérer cette tension

Si vous sentez que les tensions entre le DSI et le RSSI augmentent ou si vous remarquez des différences naturelles d’approche, soyez conscient de ce problème et réfléchissez à la manière de concilier les différences.

Dans ces situations, la meilleure chose à faire est de s’asseoir et de discuter de la manière dont vous pouvez travailler ensemble, en gardant à l’esprit les objectifs commerciaux de chacun. Les principes à considérer comprennent :

• Maintient une attitude axée sur l’entreprise.
• Comprendre les avantages commerciaux de toute action proposée.
• Agir sur la base des faits.
• Soyez transparent, honnête et jamais agressif.
• Recherchez des solutions gagnant-gagnant.

Cette approche risque de ne pas fonctionner si les deux parties ne s’engagent pas à apporter des changements. Dans de tels cas, une réinitialisation peut être nécessaire, comme faire appel à un tiers ou embaucher un coach indépendant pour assurer le bon fonctionnement de la relation. J’espère que cette réinitialisation fonctionnera sans qu’aucune des parties n’abandonne ou ne se retire, et avec seulement quelques modifications mineures.

Une tension modérée est bénéfique au travail quotidien des DSI et RSSI. Il faut toutefois gérer cette situation de manière à ce qu’elle ne dégénère pas en conflit et ne crée pas une situation contreproductive. Sinon, ce sera une perte pour les deux parties et le résultat ne sera pas bon pour l’entreprise dans son ensemble.