RSSI : vers des stratégies de sécurité proactives
Si la fonction du RSSI a été légèrement dévalorisée pendant plusieurs années, il reprend aujourd'hui pleinement un rôle stratégique.
Les responsables de la sécurité des systèmes d’information (RSSI) sont dans une position difficile. Les entreprises sont prises en étau entre la cybercriminalité, les nouvelles exigences de conformité, et les technologies de dernière génération qui compromettent la confidentialité des données personnelles et la stabilité. L’équipe en charge des opérations de défense joue un rôle de plus en plus crucial dans la survie à long terme des entreprises qui vendent, utilisent ou produisent des technologies de l’information, c’est-à-dire à peu près toutes. Mais que savons-nous réellement des RSSI et de leur façon d’opérer ?
Plusieurs études traitent du salaire et des perspectives de carrière des RSSI, mais au-delà de ces interrogations, essayons de bien comprendre en quoi consiste le travail quotidien de ces derniers. Le rapport intitulé «The Evolving Role of CISOS and Their Importance to the Business*», met l’accent sur des aspects clés, comme la maîtrise des budgets, le degré d’influence au sein de l’entreprise, le processus décisionnel et la méthodologie stratégique. Autrement dit, comment les RSSI mènent-ils à bien leur mission et quel pouvoir exercent-ils ? Et quels sont leur parcours et leur expérience, tant en termes de compétences techniques que de sens des affaires.
Des faits alarmants
Les programmes de sécurité sont «réactifs»: selon 60% des RSSI interrogés, les violations de données majeures et les exploits sont les principaux facteurs de changement des stratégies de sécurité. Seuls 22% indiquent que la fonction de sécurité est intégrée aux autres fonctions métiers de l’entreprise. Plus inquiétant encore, seulement 51% des répondants déclarent que leur entreprise dispose d’une stratégie de sécurité informatique, laquelle est examinée, approuvée et soutenue par les cadres supérieurs dans 43% des cas seulement.
Des résultats encourageants
77% des RSSI affirment que leurs opérations de sécurité informatique sont en phase avec les opérations informatiques, même si un nombre moins important d’entre eux (60%) disent avoir aligné les opérations de sécurité informatique sur les objectifs métiers.
De plus, concernant les responsabilités quotidiennes des RSSI, des tendances prometteuses se dessinent. La plupart des RSSI (67%) estiment pour que l’élaboration de la stratégie de sécurité devrait leur incomber et ont en général une influence sur la gestion des risques de cybersécurité de leur entreprise - 65% d’entre eux étant placés sous l’autorité des cadres dirigeants (soit pas plus de trois échelons en dessous du PDG sur l’organigramme). Plus de la moitié (61%) définissent la mission de sécurité et sont chargés d’informer l’entreprise des nouvelles menaces, technologies, pratiques et exigences de conformité (60%). En cas d’incident de sécurité majeur, plus de la moitié (60%) sont en contact direct avec le PDG.
Bref le RSSI reprend un rôle prépondérant au sein de l'entreprise mais il reste encore du travail pour qu'il devienne le véritable stratège de la sécurité de l'entreprise.* Etude menée conjointement par l’institut de recherche Ponemon et F5 Networks incluant près de 70 questions, posées aux RSSI de 184 entreprises réparties dans sept pays.