Réduire les tensions DSI-RSSI nécessite d’en reconnaître les signes

Ces compromis sont des points de tension qui recoupent la mission du RSSI, mettant en évidence des priorités contradictoires pour les deux parties. Au fil du temps, de telles situations – et la manière dont elles sont gérées et résolues – peuvent conduire à de réelles frictions entre les deux parties. Ces frictions peuvent être manifestes, éclatantes en public, ou secrètes, lorsqu’elles sont plus cachées aux autres collègues ou au DSI/RSSI lui-même.

Points de pression courants entre DSI et RSSI

Dans toute entreprise mature, les risques doivent être acceptés pour le moment et les mesures correctives différées. La correction des vulnérabilités est un exemple où des tensions peuvent survenir entre le DSI et le RSSI.

Dans le cas de vulnérabilités hautement critiques qui ont été exploitées, le RSSI souhaitera que les correctifs soient appliqués immédiatement, et le CIO est probablement aligné sur cette urgence. Mais pour les correctifs de niveau moyen, le DSI peut être sous pression pour reporter ces perturbations sur les systèmes de production, et peut repousser le RSSI pour qu’il attende une semaine, voire des mois, avant d’appliquer les correctifs.

La même tension existe pour les programmes qui ont un impact sur l’expérience client numérique. Par exemple, la nouvelle fonctionnalité d’authentification multifacteur nécessite de nouvelles communications avec les clients et peut-être une interruption à court terme du canal, ce qui peut être difficile à accepter pour l’entreprise.

Le CIO et l’équipe d’ingénierie peuvent également travailler avec des unités commerciales pour faciliter les nouvelles fonctionnalités client via une plate-forme API. Du point de vue du RSSI, ces API doivent être gérées correctement, et même testées en termes de pénétration, pour garantir qu’elles ne créent pas un vecteur de perte de données inattendu. Le RSSI souhaitera que davantage de contrôles soient appliqués, mais le CIO, tout en étant d’accord sur le principe, doit également satisfaire les parties prenantes en garantissant que la fonctionnalité est livrée, souvent dans un délai court.

La gestion des incidents est un autre sujet de tension. Le RSSI a un rôle de leadership à jouer en cas de cyberincident grave ou de perturbation des activités, et il est souvent le « messager » qui partage les mauvaises nouvelles. Bien entendu, le CIO souhaite être informé immédiatement, mais les détails sont souvent rares et comportent de nombreuses inconnues. Cela peut donner une mauvaise image du RSSI aux yeux du CIO, car il y a souvent plus de questions que de réponses à ce stade précoce.