Communiquer sur la sécurité : un exercice toujours difficile

La diversité des publics, au sein des organisations, ne facilite pas la tâche des RSSI lorsqu’il s’agit de communiquer sur leurs initiatives. En décembre dernier, une étude réalisée par Dimensional Reasearch pour CyberArk, le soulignait encore : plus de la moitié des dirigeants prennent leurs décisions sans tenir compte de la cybersécurité. Et pour cause : plus d’un tiers d’entre eux ne sont pas régulièrement informés par leurs équipes chargées du sujet. En fait, selon une étude réalisée par Goldsmiths, de l’université de Londres, pour Tanium et Nasdaq, une large majorité de dirigeants semble tout simplement ne rien comprendre aux problématiques de cybersécurité.

Dans un note d’information à l’intention de ses clients, Gartner relève que les RSSI peinent souvent à communiquer sur leurs initiatives ou stratégies de sécurité « à des publics différenciés, tels que d’autres dirigeants, le conseil d’administration, des entreprises tierces ou même leur propre personnel ». Et cela parce que « les communications de haut niveau au sujet de la sécurité des informations peuvent être intrinsèquement compliquées ». Loin de dédouaner complètement les RSSI, le cabinet estime que ces derniers ont en outre « tendance à créer involontairement la confusion ou la contestation » du fait de « messages trop chargés » ou impliquant des « détails inappropriés pour la plupart du public ». En somme, les RSSI semblent souvent peiner à s’abstraire suffisamment de la technique pour délivrer des messages audibles.

Pour sortir de cet écueil, Gartner recommande l’utilisation de « la structure de prédiction, prévention, détection et réponse (PPDR) comme méthode pour apporter de la clarté aux communications stratégiques des RSSI ». Le cabinet explique utiliser ce modèle pour décrire la stratégie relative à la sécurité du système d’information, estimant qu’il « trouve particulièrement écho auprès des publics techniques et des dirigeants » du fait d’une importante concision et parce qu’il « rappelle aux publics que la sécurité ne s’arrête pas à la seule prévention ». Comme son nom l’indique, ce modèle couvre en effet le cycle complet de la protection contre les menaces, depuis « l’évaluation proactive des expositions » jusqu’à l’enquête et l’analyse des preuves, en passant par la prévention et la détection des incidents, ainsi que leur confinement.

Pour Gartner, ce modèle permet notamment d’aider à la création d’une « compréhension et d’une reconnaissance instantanées », mais également de « réduire la complexité ». Dans le cadre de son utilisation, le cabinet recommande le recours à une forme de marketing, en s’appuyant sur des signaux visuels qui « fournissent un ancrage psychologique auquel vous pouvez attacher des idées », mais également en soulignant les « affinités » pour emporter l’attention des publics visés.

Surtout, Gartner multiplie les exemples pratiques et insiste sur l’importance de la concision : « une trop grande quantité de détails a tendance à engendrer de la distraction et de la contestation. Les détails spécifiques sont plus faciles à disséquer et à remettre en question qu’un récit percutant. En outre, pratiquement tous ceux avec lesquels vous essayez de communiquer croulent sous de multiples priorités ».