En tant que vCISO, vous êtes responsable de la stratégie de cybersécurité et de la gouvernance des risques de votre client. Cela intègre plusieurs disciplines, de la recherche à l’exécution en passant par le reporting. Nous avons récemment publié un manuel complet pour les vCISO, « Vos 100 premiers jours en tant que vCISO – 5 étapes vers le succès »qui couvre toutes les phases impliquées dans le lancement d’un engagement vCISO réussi, ainsi que les actions recommandées à entreprendre et des exemples étape par étape.
Suite au succès du manuel et aux demandes reçues de la part de la communauté MSP/MSSP, nous avons décidé d’approfondir certaines parties spécifiques du reporting vCISO et de fournir plus de détails et d’exemples. Dans cet article, nous nous concentrons sur la manière de créer des récits convaincants dans un rapport, ce qui a un impact significatif sur la proposition de valeur globale du MSP/MSSP.
Cet article présente les points saillants d’un récent atelier guidé nous avons organisé une réunion consacrée à ce qui fait un rapport réussi et à la manière dont il peut être utilisé pour améliorer l’engagement avec vos clients en matière de cybersécurité.
L’atelier a été organisé en partenariat avec Jesse Miller, co-auteur du manuel First 100 Days et fondateur de PowerPSA Consulting et le PowerGRYDJesse est un CISO/vCISO et stratège de longue date en matière de sécurité de l’information qui s’est donné pour mission d’aider les fournisseurs de services à déchiffrer le code pour des profits vCISO premium. Vous pouvez regarder l’intégralité du webinaire, avec plus de détails et des exemples concrets ici.
La valeur cachée du reporting
Selon Miller, « c’est une chose de faire un excellent travail, mais c’en est une autre que votre client le perçoive de cette façon ». C’est sur ce point que le reporting doit se concentrer. Un processus de reporting rigoureux est la cerise sur le gâteau d’un parcours connecté pour le client dans un programme vCISO réussi.
Cependant, comme le souligne Miller, le but premier des rapports n’est pas de présenter les activités que le vCISO effectue pour le client, ce qui est une idée fausse courante. La véritable valeur réside plutôt dans le fait de faire du client le héros de son parcours de sécurité. Par conséquent, les rapports vCISO doivent se concentrer sur les objectifs du client et de son organisation, et non sur les activités du vCISO. L’objectif ultime de tout rapport est de permettre une discussion sur la stratégie commerciale qui tourne autour de la sécurité.
Avantages des rapports vCISO
En approfondissant l’objectif susmentionné, les rapports vCISO offrent de multiples avantages à la fois pour le vCISO et pour le client :
Pour le vCISO –
- S’assurer que le vCISO est en phase avec les attentes du client
- S’assurer que le client comprend sa position en matière de sécurité et de conformité
- Créer une vision partagée entre le vCISO et le client
- Créer un consensus sur une voie d’amélioration (plutôt que de simplement imposer des recommandations de manière unilatérale)
- Ancrer les initiatives dans les résultats commerciaux
- Stimuler la fidélisation et les ventes
Pour le client –
- Contrôler leur destin sécuritaire
- Concevoir leur parcours de sécurité en fonction des résultats commerciaux et leur permettre de maîtriser le risque associé à leurs décisions et actions
- Prise de décision simplifiée
- Réduction de bruit
- Bande passante et échelle
- Obtenir des boutons et des ressources faciles pour l’exécution tactique
- S’assurer qu’ils perçoivent le retour sur investissement élevé fourni pour leur investissement vCISO
4 sections essentielles d’un rapport vCISO
Pour découvrir tous les avantages énumérés ci-dessus, il est recommandé de créer un rapport qui couvre quatre sections :
- Section 1 : Récapitulatif général – Le résumé, les mesures de niveau supérieur et tous les éléments « brûlants ».
- Section 2 : Revue tactique – Comment fonctionnent les contrôles, les « histoires » de données et la préparation du terrain pour les recommandations et initiatives à venir dans les sections suivantes.
- Section 3 : Revue stratégique – Une révision de la feuille de route, la tenue d’une discussion dirigée par l’entreprise, des recommandations et la cartographie du RCT (ressources, engagement, temps) pour les prochaines étapes.
- Section 4 : Initiatives futures – Travaux en cours, protection contre les risques et développement de l’entonnoir de vente.
Plongeons maintenant dans chacun d’eux.
Section 1 : Récapitulatif général
La première section du rapport fournit un aperçu et un résumé, des teasers pour le reste du rapport et des indicateurs de haut niveau. C’est également là que les points les plus brûlants peuvent être abordés. Par exemple, informer sur l’avancée d’un attaquant et répondre à toutes les questions ouvertes.
En fournissant une brève section initiale axée sur les résultats, les vCISO peuvent partager de manière concise l’histoire qu’ils racontent. Cela permet également aux cadres et aux chefs d’entreprise de se joindre à la première partie du rapport pour un aperçu, laissant aux praticiens le soin d’approfondir les détails plus granulaires par la suite.
Par exemple, dans cet exemple de rapport de Cynomi, nous pouvons voir la première partie du récapitulatif général, montrant le score de posture, accompagné d’une brève explication de ce que cela signifie et faisant allusion au risque.
Section 2 : Revue tactique
La deuxième section permet de raconter des histoires à partir des données. Comme il existe une grande variété de données pouvant être intégrées aux rapports, il est important de s’assurer que les bonnes données sont utilisées. Cela permettra de créer la bonne histoire.
N’oubliez pas que l’idée est de faire du client le héros, en lui montrant comment obtenir ce qu’il veut pour l’entreprise grâce à son programme de sécurité.
Par exemple, un public très technique peut accéder aux détails précis des programmes de sécurité. Cependant, un décideur de haut niveau ne sera pas en mesure de comprendre l’histoire à partir des mêmes données. Par conséquent, il est recommandé d’automatiser la collecte de données, puis de regrouper et d’élaguer les données en fonction du type de client auquel elles sont présentées.
Cette section peut également afficher les progrès et les recommandations adaptées aux différents décideurs, les incidents de sécurité et la manière de les résoudre, les actions recommandées pour soutenir les processus métier (comme les fusions et acquisitions), et bien plus encore.
Par exemple, dans cette section d’un exemple de rapport de Cynomi, le vCISO peut analyser en détail l’état des différentes politiques et domaines qui doivent être mieux sécurisés. Plus tard, le rapport affiche également les résultats de l’analyse qui servent de preuve à cette analyse.
Section 3 : Examen stratégique
La section d’analyse stratégique vise à créer un parcours de sécurité priorisé. Pour construire ce récit, il est important de relier l’évaluation des risques, la feuille de route de sécurité et les recommandations. Cela signifie créer un système dans lequel l’évaluation des risques de haut niveau détecte les défaillances dans les contrôles de sécurité, comme la gestion des vulnérabilités, le contrôle des logiciels malveillants ou la réponse aux incidents. Ensuite, le rapport de recommandation doit indiquer clairement les solutions à déployer et la feuille de route doit énumérer les priorités, c’est-à-dire créer un parcours.
Conseils de pro :
- Ne répandez pas de fausses croyances. Adoptez plutôt une approche « sandwich de compliments », en commençant et en terminant par un retour positif.
- Avant de demander aux clients de dépenser de l’argent, montrez-leur comment les recommandations et les actions leur permettent d’économiser de l’argent et de soutenir l’entreprise.
- Utilisez la cartographie RCT (ressources, coûts, temps) pour aider les clients à prendre une décision.
Par exemple, dans ce rapport Cynomi, le vCISO peut afficher l’état de conformité et en tirer parti pour les recommandations et la feuille de route.
Section 4 : Initiatives futures
Enfin, il est temps de discuter des initiatives futures. Les clients ne disposant pas de ressources illimitées, cette section permet de mettre en file d’attente les tâches et de les hiérarchiser en fonction d’un consensus mené par l’entreprise.
Cette section permet également de protéger le client et le vCISO contre les risques. Par exemple, afficher les progrès d’un mois à l’autre permet de montrer aux auditeurs et aux organismes de réglementation que le client fait preuve de la diligence requise. Cela protège à la fois le vCISO et le client.
Enfin, cette section crée une responsabilisation parmi les clients. Le vCISO montrant clairement les résultats commerciaux de l’acceptation des recommandations proposées, le client peut prendre une décision commerciale et assumer le risque de cette décision.
Et après?
Le reporting fait partie d’une approche holistique du vCISO qui crée une relation de confiance avec le client. En faisant du client le héros, vous lui montrez que vous avez à cœur ses intérêts. Lorsque cela est vérifié par le biais de rapports, cela favorise l’évolution et la croissance du vCISO, ce qui contribue au succès de votre entreprise.
Pour plus d’explications et d’exemples, regardez l’intégralité atelier ici.
Pour plus de conseils professionnels et de pratiques éprouvées pour vCISO, lisez le guide « Vos 100 premiers jours en tant que vCISO – 5 étapes vers le succès ».
Pour des informations quotidiennes sur la façon de dynamiser vos bénéfices vCISO, Suivez Jesse Miller sur LinkedIn ou rejoignez le Communauté PowerGRYD.