Cybersécurité : entre le RSSI et les métiers, le Biso fait le lien
Depuis quelques années, les grands groupes et certaines entreprises de taille intermédiaire recrutent des business information security officer (Biso). Métier émergent de la cybersécurité provenant des Etats-Unis, le Biso est chargé de "jouer un rôle d'interface entre l'équipe très technique du responsable de la sécurité des systèmes d'information et les métiers qui ont leur propre langage", résume Olivier Daloy, chief information security officer in residence chez Zscaler. En clair : il est l'ambassadeur du RSSI auprès des métiers pour adapter la fourniture de biens et services de cybersécurité à leurs propres besoins. "Ce métier est de plus en plus essentiel" et gagne en importance, selon Guillaume Vacher, Biso dans un groupe du CAC 40.
"Un Biso fait le job qu'un RSSI aurait toujours dû faire"
"Au fil du temps, la fonction de RSSI s'est vue cantonnée à des aspects purement techniques de la cybersécurité, ce qui l'a coupé des métiers. Il s'est donc dit que ce serait bien qu'il y ait quelqu'un qui l'aide à discuter avec les métiers", observe Olivier Daloy. Paul Gompel, Biso auprès des métiers liés à l'eau chez Suez, partage le même constat : "L'émergence du Biso révèle les limites de la conception purement technique du métier de RSSI". "Avec le Biso, on retrouve donc la moitié perdue du RSSI", ajoute François Ehly, RSSI externe chez Almond, qui précise qu'il s'est toujours senti Biso.
"Un Biso fait le job qu'un RSSI aurait toujours dû faire. Un Biso doit être capable de faire comprendre aux différents métiers d'une entreprise, aux dirigeants, au conseil d'administration, etc. le coût du risque cyber afin de rendre possible une prise de décision collective sur le traitement de ce risque. Le Biso c'est l'huile dans les rouages." Et pour cause, "il est chargé de traduire les besoins des métiers d'une entreprise en un langage compréhensible par les équipes techniques en charge de la cybersécurité".
Sans sa présence, la gestion du risque cyber de l'entreprise peut se révéler inadaptée à l'ensemble des métiers, selon Paul Gompel : "Moi, par exemple, je suis Biso pour l'ensemble des métiers relatifs à l'eau, pour la France, chez Suez. Cela me permet d'avoir une proximité avec ces métiers et une connaissance de leurs problèmes. Le rôle du Biso est d'apporter de la nuance", dans la stratégie de cybersécurité globale d'une entreprise.
Toutefois, il doit être capable de filtrer les demandes exprimées par les métiers et qu'il transmet au RSSI et à ses équipes, alerte Olivier Daloy : "Le Biso doit comprendre la stratégie du RSSI pour être à même de répondre aux métiers qui lui expriment leurs demandes en les acceptant ou non. Pour cela, il doit comprendre le mode de raisonnement du RSSI, sa politique de sécurité et donc les réglementations et les standards auxquels celle-ci doit être conforme".
Enfin, il doit aussi prendre en compte les impératifs budgétaires de l'entreprise dans son arbitrage des besoins qu'il transmet au RSSI : "Un Biso qui sert bien les métiers doit leur proposer des solutions raisonnables en termes de coûts. Celles-ci doivent donc respecter la recherche d'un équilibre entre ce que coûterait le risque s'il se réalisait et le coût de l'investissement pour l'éviter. Il doit contribuer au bon fonctionnement des métiers tout en ne perdant pas de vue le besoin de rentabilité de l'entreprise." C'est pourquoi, il prend généralement part, avec la direction des systèmes d'information, aux négociations sur le budget alloué à la cybersécurité de l'entreprise.
Qui peut devenir Biso ?
Le métier de Biso nécessite d'avoir acquis "au minimum cinq ou six ans d'expérience", selon Paul Gompel. Et de préférence dans le domaine de la cybersécurité : "Il doit avoir la capacité d'entrer dans les détails techniques. Pour moi, ce métier correspond bien à des profils qui ont de l'expérience dans le monde de la cybersécurité sans vouloir entrer dans les détails des opérations d'un RSSI." De son côté, Olivier Daloy pense qu'il est préférable que le Biso ait fait ses premières armes dans l'entreprise qu'il sert. Et pour cause : "Il doit connaître la jurisprudence technologique de l'entreprise afin qu'il connaisse les décisions qui peuvent ou non être validées par le RSSI."
"Il doit aussi faire preuve de pragmatisme et de souplesse, d'empathie vis-à-vis des métiers pour les accompagner au mieux", ajoute Paul Gompel. En outre, il doit se tenir informé de l'actualité du marché des solutions de cybersécurité pour proposer les plus adaptées aux besoins de son entreprise et de ses métiers, estime Olivier Daloy.