Trop concentrée sur la maitrise des coûts, la direction financière affaiblit les programmes de sécurité. C'est pourquoi il n'est pas bon que le RSSI rapporte au DAF.
A qui rapporte le RSSI ? Ils sont quatre à se partager cette responsabilité, la direction générale, le directeur financier, le DSI et le Conseil d'administration. Et la question est d'importance, car selon celui qui le croque, le RSSI n'obtient pas la même efficacité.
Vers qui va le RSSI ?
Le responsable de la sécurité informatique rapporte le plus souvent au DSI, sans que ce soit majoritaire. Le reste se partage entre la direction générale et la direction financière. Une situation qui n'a guère changée depuis le début de la décennie.
- 40 % - DSI - CIO
- 22 % - DG – CEO/COO
- 8 % - DAF – CFO
- 6 % - Conseil d'administration
La sécurité serait-elle une question de ressources ?
Il existe une constante en matière de sécurité, comme dans bien des domaines d'ailleurs : la force ou la faiblesse d'un projet ou d'une solution se résume très (trop !) souvent à l'allocation des ressources. Une allocation faible se traduit par un programme faible.
Nous avons rencontré nombre de RSSI lors des Assises de la Sécurité, et nous leur avons posé la question des moyens mis à leurs disposition. Vous allez découvrir leurs réponses dans les prochains jours, nous commençons en effet à diffuser les vidéos que nous avons réalisées sur place (lire notre rubrique Interviews). Ce qui ressort de nos entretiens, c'est bien sûr que tous se satisferaient de plus de moyens financiers, mais qu'en général ils sont de mieux en mieux considérés et entendus, ce qui se répercute sur leurs budgets. Qui cependant sont généralement insuffisants, ce qui oblige le RSSI à faire preuve d'imagination, et de cela il ne s'en plaint pas.
Ce qui apparaît, en revanche, c'est que si le RSSI (CSO ou CISO) rapporte au DAF (CFO), le programme de sécurité se révèle plus faible que les RSSI qui dépendent d'autres fonctions. La cause en est double :
- Les directeurs financiers, préoccupés par leur gestion des dépenses, se montrent moins généreux envers la sécurité. Celle-ci est alors considérée comme un 'coût d'obsession', et le DAF se montre plus enclin à abandonner les projets et ainsi réduire les dépenses de l'entreprise en ce domaine.
- Les solutions de sécurité reposent sur le système d'information de l'entreprise. Or, il semblerait que les dysfonctionnements des systèmes de sécurité ne dépassent pas le DSI/CIO, qui intercepte les messages et ne les transmets pas, ce qui participe à une sous-information du DAF et à sa propension à considérer la sécurité comme un 'coût d'obsession'.
Les grands défis de la cybersécurité
Le résultat est que le RSSI qui rapporte au DAF se trouve dans une position inconfortable. Et les moyens accordés à la sécurité de l'entreprise s'en trouvent impactés.
Pour inverser la situation, et obtenir du DAF de prendre en compte le cyber-risque et d'en assurer le financement adéquate, quatre grands défis se présentent tant au RSSI qu'au DSI :
- Manque de concentration sur les prévention
Les moyens alloués à la réponse aux incidents sont trop faibles, la détection des violations intervient trop tard, et met en péril les actifs critiques à risque.
- La sécurité n'est pas qu'un problème informatique
C'est une vision qui circule depuis trop longtemps, la sécurité trop souvent considérée comme n'étant qu'un problème informatique, c'est pourtant une question existentielle dont l'audience doit être élargie.
- Le coup par coup n'est pas une posture de sécurité
Les systèmes de sécurité sont par trop un empilement de produits de sécurité déployés ponctuellement et au coup par coup. Ils sont très éloignés du cycle de vie des cyber-attaques et se révèlent ainsi insuffisants.
Face aux milliers d'attaques quotidiennes, les équipes de sécurité sont encore soumises à des processus et étapes manuelles qui entravent la prévention et ne peuvent être mis à l'échelle.
Des solutions existent pour contourner le manque de considération et son corolaire le manque de moyens. L'une des plus prometteuse concernant la prise de décision est de créer des comités de risques qui intègrent CFO, CIO, CSO, CRO, CPO, les RH, le juridique, les RP, les achats, et les responsables métiers. Une équipe trans-organisationnelle se réunissant au moins mensuellement pour s'informer, évaluer, coordonner, communiquer, tant sur les questions de sécurité que de confidentialité.
Source : Georgia Tech Information Security Center
Image d'entête iStock @ Best-Shop