|
L'apparition du poste de Directeur
Sécurité - ou Chief Security Office (CSO),
en particulier dans l'industrie du logiciel et dans la
finance, selon une étude du Giga Group,
correspond à l'imposition d'un métier jusqu'ici
cantonné au cercle fermé des entreprises
ultra-sensibles.
Phénomène
relativement récent
Plusieurs sondages confirment l'engouement des entreprises
pour ce nouveau 'monsieur sécurité'. Le
cabinet Booz Alen Hamilton s'est intéressé
spécifiquement, en janvier dernier, à
72 sociétés dont le chiffre d'affaires
dépasse le milliard de dollars : dans 54 %
des cas, celles-ci comptaient un responsable sécurité
dans leurs rangs. Même son de cloche pour le site
CSO.com, qui réalisait un sondage en ligne au
mois de juillet 2002 : 60 % des 1009 enteprises
ayant souhaité répondre disposaient du
poste, occupé dans 32 % des cas par des
Senior Manager. La profession tend donc à devenir
monnaie courante, surtout dans les grandes entreprises.
Le
phénomène est relativement récent :
selon le Giga Group, la plupart des CSO américains
et européens ont pris leurs fonctions ces deux
dernières années. Une observation confirmée
par CSO.com : les responsables sécurité
ont en moyenne 2 ans et demi d'expérience dans
le domaine de la sécurité - presque
tous sont passés par une firme de consulting.
Plus intéressant encore : les responsables
sécurité ont de plus en plus tendance
à disposer d'un statut assez élevé
dans la hiérarchie de l'enteprise. Leur tâche
devient même exclusive : 60 % d'entre
eux se concentrent à temps complet sur les problématiques
de sécurité.
Métier
multiforme
Un constat rassurant puique la majorité
des cabinets de consulting recommandent chaudement l'embauche
d'une personne à temps plein à ce poste,
notamment pour la raison suivante: une personne jugée
sur ses seuls résultats en matière de
sécurité aura intérêt à
ne rien laisser au hasard. Mais
aussi pour éviter de mêler deux fonctions
relativement incestueuses : un DSI est jugé
sur son aptitude à mettre en place de nouvelles
infrastructures rapidement et économiquement,
et peut donc faire passer les problématique sécuritaires
au second plan.
Le
métier de CSO est complexe et multi-forme. Il
nécessite des compétences techniques -
afin de qualifier les dangers et de leur trouver un
remède - ainsi que des aptitudes managériales :
un bon CSO doit définir une politique de sécurité,
et surtout la mettre en application en bousculant l'organisation
de l'entreprise. Plus
important encore : l'aptitude à la communication.
Le CSO doit sensibiliser les employés aux problématiques
de sécurité - ce qui requiert beaucoup
de doigté - et leur apprendre à éviter
certains écueils, parmi lesquels figure évidemment
le social engineering. Autant
de qualités que l'on trouve rarement dans un
profil modeste.
Des responsabilités
croissantes
La plupart des responsables sécurité n'ont
pas encore l'envergure ou le statut qui leur permettrait
de mener à bien leur mission. Mais les choses évoluent
très rapidement outre-Atlantique, en partie sous
la pression des instances de régulation :
les agences fédérales ont réhaussé
leurs exigences en matière de sécurité
dans le domaine de la finance et de la santé. Mais
de façon générale, de nombreuses
entreprises gagneraient à faire de même.
En particulier celles qui produisent et stockent des données
sensibles, ainsi que celles dont toute la production serait
immobilisée par l'indisponibilité du système
informatique. Quant aux autres, elles peuvent se contenter
de parer au risque le plus visible, qui a déjà
coûté cher à de nombreuses enteprises :
les virus.
|
[