Poste de DSI : 7 idées pour bien communiquer avec le CA

Le poste de DSI (Directeur des Systèmes d’Information) implique de nombreuses responsabilités, notamment en matière de cybersécurité. S’il existe, pourtant, une instance centrale dans la gestion des cyberrisques, c’est bien le conseil d’administration. Celui-ci manipule trop de données confidentielles pour négliger d’aborder ce thème. La communication avec le CA doit donc s’imposer dans votre quotidien de DSI. Voici quelques pistes pour bien s’y prendre, et taper dans le mille quand vous vous adressez aux administrateurs.

1 / S’assurer que la cybersécurité est au cœur des préoccupations du CA

Quand une nouvelle personnalité intègre le poste de DSI, ou “Directeur.rice des Services Informatiques”, sa priorité relève souvent de l’opérationnel. Dans sa communication avec le conseil d’administration, pourtant, la meilleure stratégie consiste à communiquer d’emblée sur l’aspect sécuritaire de ses comportements informatiques. Les CA manipulent effectivement des données sensibles, mais ont encore souvent des comportements dangereux en ligne.

Ces vulnérabilités humaines – envoi d’emails via sa boîte personnelle, utilisation de messageries instantanées non-sécurisées, perte d’appareils mobiles – menacent la sécurité informatique de l’entreprise. Elles relèvent donc aussi de vos responsabilités, et impliquent un important travail d’échange.

Rentrez dès le départ dans le vif du sujet, en abordant :

• Les risques liés aux vulnérabilités humaines ;
• Les cyberattaques sur le cloud ou via les messageries instantanées ;
• L’avantage des outils de collaboration cryptés.

La communication interne du CA doit occuper le cœur de vos échanges, dès vos premiers jours en tant que DSI.

2 / Créer un axe de communication dénué de problèmes techniques

Pour garder le contrôle sur le contexte informatique de l’entreprise, le nouveau DSI se doit d’impulser les sujets de discussion qui lui tiennent à cœur. Il faut donc sortir d’une logique de communication basée uniquement sur la résolution des incidents informatiques. Le poste de DSI implique de nombreuses obligations. Les administrateurs trouvent donc normal que vous fassiez des propositions dans votre domaine.

Il convient donc de vous présenter comme un des acteurs principaux de la transformation digitale et de la dématérialisation de votre conseil. Vous pouvez, pour ce faire, lui proposer les solutions digitales que vous jugez les plus appropriées à son travail. Pour vous guider, intéressez-vous à :

• Ses modalités de gouvernance ;
• Ses spécificités par rapport aux autres CA ;
• Les expériences d’autres conseils et d’autres DSI.

Diligent a d’ailleurs édité un guide sur la transformation digitale du CA, qui rassemble une grande partie de ses informations. Ce guide relève d’une collaboration avec Atout DSI, une communauté de DSI.

3 / Comprendre les besoins du Conseil

Pour réussir à votre poste de DSI, le secret réside dans une communication ciblée selon vos publics. Si vous vous adressez au CA dans sa globalité, il va donc falloir identifier sa priorité. Dans un premier temps, vous ne risquez cependant pas de trembler de suspens. La plupart des conseils d’administration espèrent d’abord savoir si leurs comportements informatiques et les logiciels qu’ils utilisent représentent un cyberrisque.

Une communication transparente avec les administrateurs constitue une base solide pour une étude d’opportunité rondement menée. Dans un précédent article destiné aux services métiers, nous insistons d’ailleurs sur le fait que les différents départements d’une société doivent également faire un effort de communication avec la DSI pour bien travailler en mode projet.

4 / Éviter le jargon de technicien, même au poste de DSI

Les mots techniques que vous manipulez toute la journée à votre poste de DSI n’ont pas forcément de résonance dans le quotidien des administrateurs. En les abreuvant de notions qu’ils maîtrisent mal, vous risquez de rater votre objectif : attirer l’attention pour faire passer votre message.

Pour que votre discours “parle” véritablement aux administrateurs, plusieurs solutions. Intéressez-vous, dans un premier temps, à chaque membre du conseil et à ses missions. Dans votre discours, vous intégrez ainsi des exemples qui parlent au quotidien de chacun.

Dans notre article sur les outils de collaboration en ligne pour le conseil d’administration, nous donnons d’ailleurs des exemples de thèmes adaptés à chaque administrateur : le ROI et des chiffres clés sur le budget pour le directeur financier, un gain de productivité pour le secrétaire de conseil, un gain de temps pour le président du CA.

Pour que vos auditeurs vous reçoivent cinq sur cinq, pensez aussi à miser sur une communication visuelle. Des graphiques, des schémas, des plans et pourquoi pas des vidéos ! Les membres du CA ont des emplois du temps souvent saturés, et leurs minutes d’écoute sont précieuses. À vous de bien jouer pour conserver leur attention.

5 / Former tous les utilisateurs de l’entreprise à la cybersécurité

Parce que vous occupez le poste de DSI, vous incarnez la personnalité la plus à même de prendre en charge la vulgarisation des thématiques technologiques. Vous avez aussi la charge de vous assurer que tous les collaborateurs comprennent les enjeux liés à la sécurité des systèmes informatiques de la société, et qu’ils identifient les comportements à risques.

En ce qui concerne le CA, sa formation relève de la priorité. La formation du conseil d’administration fait effectivement partie des recommandations du code Afep-Medef. Tout parti-pris qui va dans ce sens porte donc le sceau de la légitimité. Vous pouvez notamment proposer de participer au programme d’intégration des jeunes administrateurs, pour lesquels les formations tournent volontiers autour du digital et des technologies de l’information (IT).

6 / Vérifier que le CA utilise les bons outils

Si la communication fait partie des priorités des DSI en 2021, c’est aussi le cas de la recommandation technologique. Votre rôle de DSI relève effectivement aussi de la gestion du parc logiciels.

Avec les confinements liés à la crise sanitaire en cours, les cyberrisques augmentent et gagnent en sophistication. Les DSI se doivent par conséquent de dépasser les stades de la communication et de la formation, pour faire de réelles recommandations en faveur de nouveaux outils. Objectif : s’assurer de détecter les cybermenaces, et de savoir y réagir. C’est en tout cas le conseil de notre partenaire, David Laniado, DSI du groupe LGM, à propos de la cybersécurité.

7 / Superviser le plan de gestion de crise en cas de cyberattaque

Si votre entreprise devait subir une cyberattaque, vous auriez bien sûr un rôle primordial dans sa gestion. Le conseil d’administration a, lui aussi, de grandes responsabilités dans la gestion de ce type de situation de crise. Encore faut-il qu’il les mesure, et que chacun des administrateurs connaisse sa mission face à la cybermenace.

Pour anticiper cette situation, posez-vous comme acteur central de la politique de sécurité de l’entreprise, et donc de l’édition du plan de gestion de crise liée aux cyberattaques. Définissez avec le conseil les administrateurs à prévenir en cas de faille, par ordre de priorités. Attribuez des missions à chacun, selon différents scénarios.

Le rôle du CA  face à une cyberattaque se définit très clairement. Il faut donc que le plan de crise reprenne toutes les responsabilités qui lui incombent :

• s’assurer d’être informé en cas de cyberattaque avec un système de détection des failles opérationnel ;
• monter et mobiliser, le cas échéant, une cellule de crise ;
• veiller à ce que la menace soit écartée et le risque réduit à néant ;
• prévenir les parties prenantes de l’entreprise ;
• rassurer l’opinion publique :
• évaluer la façon dont les différents services ont géré la crise.