Quand l'informatique devient stratégique : une nouvelle responsabilité à intégrer au sein des entreprises
Alors que les risques de rançongiciels et de cyberattaques s'accentuent pour les entreprises, le rôle de responsable de la sécurité du système d'information devint critique au sein des organisations.
Depuis la crise de la Covid, la généralisation du télétravail et l’essor spectaculaire du e-commerce, les systèmes d’information des entreprises se sont largement ouverts, s’exposant par-là à une multiplication des risques de piratage et d’hameçonnage. Face à ces menaces complexes et récurrentes, comment les entreprises peuvent-elles consolider la sécurisation de leurs systèmes d’information ?
Assurer la nécessaire continuité de l’exploitation
D’après le Baromètre de cybersécurité en entreprise (CESIN 2022), 54% des entreprises françaises ont été attaquées en 2021. Parmi elles, des structures autrefois réputées inaccessibles comme les grands groupes, les banques ou les mutuelles de santé, sont désormais victimes des cyberattaquants. Au-delà des dommages causés au sein des réseaux et systèmes d’information, ce type d’attaques entraîne régulièrement une paralysie économique. Dans le cas d’une société ayant une plateforme e-commerce, plusieurs heures d’inactivité ou de maintenance pour réparation sont autant de chiffre d’affaires perdu.
RSSI : une fonction essentielle qui s’affirme
De plus en plus de dirigeants s’entourent alors d’une nouvelle fonction devenue indispensable : le Responsable de Sécurité des Systèmes d’Information (RSSI). En un mot, sa mission est de garantir le bon fonctionnement d’une entreprise en la prémunissant contre les attaques. Un piratage pouvant aller jusqu’à la mise à l’arrêt des productions industrielles ou des opérations commerciales, le RSSI se voit confier une mission hautement stratégique : il a la possibilité et la responsabilité d’anticiper l’arrêt des systèmes des entreprises. Aux côtés de l’équipe dirigeante, il assure une prévention complexe avant le point de non-retour. C’est à lui qu’incombe d’appuyer sur le bouton rouge au plus vite, en prenant toute la mesure de ses actes.
Les dirigeants semblent le comprendre. Une étude d’Heidrick & Struggles parue en septembre 2022 révèle que 88% des RSSI sont aujourd’hui en lien direct avec le Conseil d’Administration de l’entreprise, attestant par-là de l’importance croissante de leur rôle. Le RSSI œuvre ainsi au plus proche de la stratégie de l’entreprise, et met son expertise technique au service de l’ensemble des activités. Suppléé par des spécialistes IT, il coordonne un plan d’action clair, dispense les consignes et supervise la bonne mise en place des procédures garantissant la sécurisation des systèmes. De nos jours, avoir un responsable qui, au Conseil d’Administration, peut gérer ce défi est une donnée essentielle.
La délicate pérennisation d’une fonction stratégique
Pour autant, comme toute fonction récente, les contours du RSSI sont encore mouvants d’une entreprise à l’autre. Les systèmes d’information étant autrefois assimilés à une fonction-support relative aux activités de back-office comme la facturation, leur responsable ne dispose pas automatiquement du niveau de responsabilité nécessaire à la conduite efficace de sa mission. La marge de manœuvre que lui attribue l’entreprise varie encore beaucoup selon son niveau de maturité sur les problématiques de cybersécurité, confirmant par-là un processus d’institutionnalisation progressif du métier.
A l’inverse, d’autres entreprises ont pris la pleine mesure de l’importance du rôle du RSSI. L’envolée des salaires proposés à ces profils convoités atteste de l’engouement des dirigeants pour le métier, tout en traduisant l’accentuation de la pression qui pèse sur eux en interne. L’étude d’Heidrick & Struggles montre par exemple que 48% des RSSI interrogés évoquent des risques d’épuisement professionnel compte tenu des enjeux critiques liés à leur poste. Ces pressentiments d’épuisement professionnel entraînent un fort taux de rotation sur les postes, rendant difficile la fidélisation des RSSI au sein des entreprises. Pourtant, ces derniers sont soucieux de leur plan de carrière et nul doute qu’ils continueront de s’affirmer comme des ressources précieuses.
Prenons la mesure de l’enjeu. « IT is the business ». Charge aux entreprises de le sécuriser avant qu’il ne soit trop tard.