Le CISO Office, centre de service idéal de la filière Cyber

Gouvernance Risques et Conformité
Le CISO Office, centre de service idéal de la filière Cyber
Le recours aux centres de services partagés (ou shared services center) n’est pas une pratique nouvelle. Mettre en place une structure qui assure des travaux opérationnels pour plusieurs entités d’un même groupe est une approche souvent retenue lorsque l'on recherche des économies d'échelle et des gains d'efficacité. De nombreux métiers comme par exemple les RH ou certains volets de la DAF y ont recours régulièrement… Chez Advens nous sommes convaincus que la filière Cyber a tout intérêt à se pencher sur cette approche. Voici comment mettre en place ce que nous appelons le CISO Office, le centre de services partagés pensé pour la Cyber.
 
 

Une vraie approche Service

Une lapalissade pour commencer ? Dans “centre de service”, il y a “service”. Il est important de le souligner car le succès du CISO Office passe par cette approche Service. Le centre de service ne vise pas à staffer la filière Cyber ou à remplacer des ressources qui manqueraient en interne. Il répond à des objectifs clairement définis dans une logique d’engagements de résultats, et non pas de moyens. Renforcer le processus de gestion des risques, se doter d’une fonction de production et de restitution des KPI sécurité, intégrer la sécurité dans les projets, gérer les tickets du SOC… il faut donc identifier les besoins à couvrir et construire un catalogue de services… qui devra vivre au fil du temps.
 
Le CISO Office
 

Trois bénéfices concrets du CISO Office

  • Ajuster rapidement et finement sa capacité à faire et la mesurer de façon objective
Le centre de service vise à opérer un processus de sécurité ou produire un livrable, en se détachant d’une approche “ressource”. Il permet ainsi de répondre aux pics de charge mais aussi aux périodes creuses. Le client sait ce qu’il paie, et dispose d’une réponse adaptée (intervenants, séniorité, taille, etc.) via une logique comparable (chaque item du catalogue est cadré et répétable).
  • Optimiser les budgets et faire des gains sur les opérations récurrentes
Les travaux récurrents, nombreux dans la sécurité, sont essentiels pour maintenir le juste niveau de qualité. Pour en maîtriser les coûts, le CISO Office industrialise ces opérations (centralisation, standardisation).
  • Homogénéiser les pratiques, créer une communauté et permettre une innovation réelle et pérenne 
Au-delà du gain financier et du gain d’efficacité, on vise également une harmonisation des pratiques, dont les gains sont nombreux. La filière Cyber se rassemble autour des mêmes façons de faire. Le temps gagné sur les travaux récurrents peut être consacré à l’amélioration continue. Et toute innovation sur une pratique du CISO Office profite immédiatement et durablement.
 
 

Les 4 ingrédients à ne pas rater

Pour réussir le déploiement et la gestion quotidienne d’un centre de services Cyber, nos équipes ont identifié quatre facteurs clés de succès.
  • 1. Polycompétences
Le CISO Office s’appuie sur un large spectre de compétences, des plus fonctionnelles aux plus techniques, à l’image des problématiques à traiter. Mais attention, il ne s’agit pas de collectionner d’hypothétiques moutons à 5 pattes, introuvables sur un marché aussi tendu que celui de la Cyber. Gérer ces compétences et les mettre à disposition du centre de services requiert agilité, capacité à paralléliser et maîtrise du mode forfait.
  • 2. Flexibilité
Le CISO Office doit devenir une extension naturelle des équipes en place et un relai de la toute la filière Cyber. Il faut donc s’adapter à ses modes de fonctionnement ainsi qu’à la culture de l’organisation. En un mot il faut se mettre dans les baskets du client… De la création du centre de service jusqu’au run jour après jour, il faut toujours se remettre en question, faire face à l’imprévu et viser un maximum de réactivité.
  • 3. Utilité
Voici un ingrédient qui peut sembler aussi évident… que la farine dans le pain ?! Les services rendus par le CISO Office doivent être utiles et apporter une valeur très concrète à l’organisation. Quelle que soit la problématique traitée, de la création d’une procédure à une investigation en cas d’incident, toute intervention doit être reliée à un objectif clairement défini. En apportant du concret, et tout en s’intégrant aux modes de fonctionnement de l’entreprise, le centre de services prend tout son sens.
  • 4. L’ingrédient secret
Chaque chef a son petit secret pour réussir sa spécialité. Pour nous, l’ingrédient secret pour le CISO Office, c’est un savant mélange de bonne humeur, de pédagogie, de créativité et de leadership. Il faut fédérer les équipes clientes du centre de service, donner envie de travailler ensemble, apporter des nouveautés et des simplifications. Beaucoup d’humains, car pour le moment le centre de services ne tourne pas avec des robots et des algorithmes !
 
Notre recette
 

Par où commencer ? 

La mise en place un centre de service doit être traitée en mode projet, avec une phase de construction puis une phase de gestion quotidienne. Le CISO Office proposé par Advens s’appuie sur un catalogue de services et des modalités d’organisation prêts à l’emploi pour gagner du temps et partir d’une base existante.
Pour accélérer la phase de personnalisation, il est possible de démarrer par l’identification des processus et des tâches récurrentes, volumineuses et facilement industrialisables. Cela permet de poser les bases d’un catalogue de services, qu’il faudra mettre à jour régulièrement. Suite à cela, il faut identifier les clients internes qui deviendront les clients du centre de service, et initier la grille des différentes prestations dont le CISO Office sera chargé.
Enfin, lors du lancement officiel, et à chaque temps fort, il faut communiquer et valoriser le centre de service, ce qui va permettre de diffuser les possibilités offertes au plus grand nombre - et profiter ainsi des économies d’échelle associées.
 
Benjamin Leroux, Innovation & Marketing, Advens