Qu'est-ce qu'un RSSI ?

Qu'est-ce qu'un responsable de la sécurité des informations ? Quelle est sa fonction ? Qu'attend-on d'eux ?

Dès le début, la gestion des risques s'est appuyée sur les meilleures informations possibles pour fournir le meilleur service possible. Le rôle du RSSI en tant que gestionnaire des risques est ainsi fondamental. Ses missions tournent alors invariablement sur les données, la technologie, les charges de travail et les questions liées au domaine numérique. Mais quelles sont-elles réellement ?

Quel est son rôle ?

Le rôle du RSSI n'est pas encore totalement défini - un paradoxe, étant donné son importance dans l'entreprise moderne ; et une préoccupation, étant donné les attentes placées dans les RSSI. Les problèmes commencent dès le recrutement. À moins que la personne chargée du contrôle du RSSI ne soit un autre RSSI, il y aura toute une série de perceptions sur ce que le rôle implique. Le RSSI peut dépendre du DSI, qui recherche un conseiller technique. Le rôle peut également varier en fonction de l'activité principale de l'entreprise.

Cette confusion n'est pas un constat anodin. Les RSSI qui se trouvent soumis à ce niveau de stress sont plus susceptibles de changer de poste, ce qui entraîne une rotation régulière du personnel et un manque de continuité au sein de la fonction de sécurité. La solution est de donner plus d'autonomie et de responsabilités au RSSI, ce qui lui permettra de devenir une ressource stratégique plus libre d'innover et d'apporter de la valeur ajoutée. Si les lignes hiérarchiques n'excluent pas nécessairement cette possibilité, si les RSSI relèvent d'un responsable technique, dans la pratique, cela limite leur marge de manœuvre pour définir les exigences ou présenter des analyses de rentabilité indépendantes basées sur le risque.

Par exemple, de nombreuses équipes DevOps subissent des pressions qui leur sont propres, notamment la nécessité de diffuser des expériences numériques dans la nature à un rythme rapide. La description de poste du DSI peut être étroitement liée à la productivité de l'équipe de développement logiciel. En tant que responsable de la gestion des risques, le RSSI peut considérer les déploiements rapides de logiciels comme un problème, mais si l'équipe DevOps et lui-même dépendent du DSI, le signal d'alarme du responsable de la sécurité peut être atténué par le DSI pour des raisons de productivité.

Changement de culture

Cela dilue la valeur. L'exemple de DevOps n'est qu'un exemple parmi tant d'autres que le RSSI peut rencontrer. Il doit être en mesure de défendre son point de vue en tant qu'agent autonome - habilité, voire encouragé, à défier les DSI et autres chefs de service au nom d'une gestion robuste des risques. Dans le sillage des mandats de conformité tels que le RGPD, la sécurité ne doit plus être subordonnée aux parties prenantes qui privilégient l'acceptation des risques pour répondre aux exigences des projets informatiques agiles.

Cette nouvelle autonomie du RSSI s'accompagne d'un changement de culture implicite où la sécurité est une fonction qui appartient à tous. De même que tout employé devrait être encouragé à faire des suggestions pour améliorer sa productivité, chacun d'entre eux devrait être formé à assumer la responsabilité de son propre comportement en matière de risque et à signaler les divergences de politique lorsqu'il en voit. En s'appuyant sur cette culture, le RSSI devrait idéalement rédiger sa propre description de poste - où les compétences générales et techniques se rencontrent sur un pied d'égalité - et l'utiliser pour recruter son propre remplaçant.

La maturité comme norme

Un bon RSSI doit avoir une idée précise de la place de la sécurité dans la stratégie de l'entreprise. Selon le secteur d'activité, la sécurité peut être au cœur du modèle économique ou constituer une fonction de support technique. Quelle que soit la catégorie dans laquelle la sécurité s'inscrit, le RSSI doit faire partie intégrante de la maturité opérationnelle de l'organisation, car elle affecte tous les risques, que ces normes soient liées à la conformité ou non. Il doit savoir comment concevoir un plan complet de réponse aux incidents. Il doit jouer un rôle central dans la définition des processus et des politiques sensibles aux risques. Et ils devraient être une force motrice dans tous les achats de technologies et l'acquisition de compétences. En fait, ils devraient être habilités à s'assurer que les compétences et la technologie se complètent, en donnant la priorité à l'automatisation pour réduire les efforts manuels, et en favorisant la détection et la réponse assistées par l'IA.

Donnez au RSSI les outils et regardez la maturité des risques de l'entreprise monter en flèche. L'alternative est une usine rabougrie d'expériences numériques risquées et de processus à peine conformes. Et à l'ère moderne, cela ne peut tout simplement pas durer.