Les compétences du RSSI ne se limitent plus au système d'informations
De gestionnaire de parc informatique à véritable manager au sein des organisations le rôle du RSSI évolue. Passage en revue des attentes portant sur ces profils tant convoités
Le 30 octobre dernier, la Securities and Exchange Commission (SEC), organisme de régulation des marchés financiers aux États-Unis, a engagé des poursuites contre l’entreprise SolarWinds ainsi que son Responsable de la Sécurité des Systèmes d'Information (RSSI) pour actes présumés de fraude et de défaillance dans le contrôle interne liés à la cybersécurité. Cette affaire met en évidence les responsabilités élargies du RSSI dont le rôle ne se limite plus à la simple gestion d’un parc informatique.
Des cyberattaques sophistiquées aux conséquences désastreuses
Une étude de 2022 a révélé que plus d’une entreprise sur deux ont été touchées par au moins une attaque en 2021. Parmi ces attaques, le rançongiciel est une des techniques favorites des cyberattaquants. L’ANSSI (Agence nationale de la sécurité des systèmes d'information) indique que 40 % des incidents en lien avec des rançongiciels en 2022 ont été signalés par des TPE, PME et ETI, 23 % par les collectivités et 10 % par les établissements de santé. Les cyberattaques touchent donc tout type de structures et leurs conséquences peuvent être désastreuses : un rapport d'IBM de 2023 dévoile que le coût moyen d'une violation de données a considérablement augmenté, s'élevant à 4,45 millions de dollars, soit une augmentation de 15 % en 3 ans.
Dans ce contexte, les équipes de cybersécurité subissent un stress permanent. En première ligne face à des cyberattaquants organisés qui, la plupart du temps, ont une longueur d’avance, elles ont conscience de l’impact qu’une cyberattaque aboutie pourrait avoir sur l’organisation et sont souvent tenues pour seul responsable en cas d’intrusion.
Des équipes de cybersécurité sous haute pression
En 2023, 63 % des décideurs et des praticiens de la sécurité interrogés ont déclaré avoir souffert d'épuisement professionnel, et 80 % estiment que leur charge de travail s'est alourdie. Ce taux élevé souligne le stress incessant et le surmenage auxquels sont confrontés les experts de la cybersécurité. Pour nombre d’entre eux, ces conditions de travail sont insoutenables à moyen et long terme.
Une enquête de 2022 a révélé que 73 % des employés des équipes de cybersécurité ont démissionné en raison de burn out. Autre donnée préoccupante, celle de mars 2022 du cabinet Gartner qui vient corroborer ce phénomène : 50 % des responsables en cybersécurité interrogés à l'échelle mondiale envisageraient de quitter leur poste d'ici 2025 en raison du stress trop élevé. Une mauvaise nouvelle pour ce secteur déjà en tension qui peine à recruter des talents.
RSSI : un rôle amené à évoluer
En 2023, 53 % des organisations déclarent éprouver des difficultés à se conformer aux exigences cyber, alors que plus de 10 000 entités en France sont soumises à des réglementations cyber européennes amenées à devenir plus strictes en 2024 (NIS 2). Malgré ces défis, les organisations ne priorisent pas la cybersécurité dans leur budget qui ne représente en moyenne que 6,1 % ; si un incident arrive, et qu’il n’est pas fatal à l’organisation, celle-ci augmente le budget à 13 % à sa suite. On ne peut qu’imaginer les difficultés et la pression subies par les équipes de cybersécurité pour effectuer un travail si crucial à la pérennité des organisations avec si peu de ressources. 48 % des RSSI redoutent d’ailleurs que leur responsabilité personnelle soit engagée en cas de faille de sécurité.
Et pourtant, il faut s’attendre à ce que cette pression subie ne fasse qu’augmenter car le RSSI n’est aujourd’hui plus perçu comme un simple expert technique, mais comme un véritable manager de l’organisation. En plus de solides compétences techniques, il doit acquérir des compétences transverses en leadership, en communication interne et externe, mais également des compétences managériales afin de gérer les équipes à construire pour faire face à l’évolution des menaces. Il doit également se tenir au courant des dernières évolutions réglementaires et législatives et être en capacité de comprendre et de gérer le budget dédié à la cybersécurité, ainsi que de manager ses équipes.
Cette transformation du rôle du RSSI ne pourra se faire sereinement si ces derniers ne bénéficient pas de davantage de ressources, qu’elles soient matérielles, à l’aide d’outils adaptés à l'analyse et la prise de décision, et humaines. Des échanges entre la direction et le RSSI devront être mis en place pour aligner la stratégie de cybersécurité avec la stratégie de l’entreprise.