L’évolution du climat sécuritaire a enfin placé le responsable sécurité (RSSI) sous les feux de la rampe. Pour autant, ces mêmes évènements portent la remise en cause de leur rôle et de leur profil…
Si l’on reprend les grandes vagues de cyberattaques qui ont défrayé la chronique ces derniers mois, le bilan n’est pas très glorieux pour les entreprises. Nombre d’entre elles ont été victimes d’attaques dont on connaît les modes opératoires depuis des années, qui exploitent des failles qui avaient été corrigées plusieurs mois avant, ou étaient largement dépendantes d’un Windows XP dont la date de fin de vie était… 2014 !
Pour la plupart de ces entreprises, la question de l’investissement dans la sécurité n’est pas la seule à mettre en avant. Elles dépensent des millions d’euros chaque année dans leurs solutions de sécurité. Mais cette dernière continue de ne pas être une priorité clairement énoncée du plus haut de la hiérarchie.
C’est peut-être là qu’est la bonne question, l’entreprise et ses dirigeants ont-ils pris la mesure de la menace et de ceux qui les protègent ? Autrement dit, le RSSI est-il suffisamment entendu ? L’intérêt récent des dirigeants et du Codir pour les sujets de la cybersécurité et pour le RSSI démontrent le contraire. Le RSSI a trop souvent milité dans son coin, écouté seulement par son DSI…
Voilà un point de vue qui mérite notre attention car il porte sur deux profils du RSSI : le technicien et le manager. Et sur la transformation culturelle de l’entreprise. Le rôle technologique du RSSI est évident, comme le montre la question du déploiement des correctifs. Mais ce n’est qu’un problème informatique, serions-nous tentés d’affirmer.
La maîtrise de la technologie est un argument rationnel, et la majorité des RSSI en sont issus, ou tout du moins en sont fortement colorés. Mais est-ce suffisant ? Contrairement à ce que veulent laisser croire la majorité des fournisseurs de solutions de sécurité, la réponse est négative. La technologie, même avec une forte compétence et une quantité d’expériences, ne suffit pas.
D’ailleurs, ne reproche-t-on pas souvent au RSSI de ne pas parler le langage de l’entreprise ? Pour le parler, il faut que le RSSI soit issu de celle-ci, ou tout du moins qu’il n’ait pas qu’une vision technologique. A l’ère de l’entreprise numérique, du cloud, des apps et API économies, et de la transformation digitale, le RSSI doit avoir une vision transverse de l’entreprise.
Le succès de certaines cyberattaques récentes, mais également l’explosion des menaces contre lesquelles plus personne n’est à l’abri, et l’inconscience de certains métiers - comme le montrent le développement et l’usage de l’IoT avec des équipements non ou mal sécurisés - rendent la fonction sécurité non pas indispensable, elle l’était déjà, mais plutôt stratégique.
Alors nous répondrons positivement à la question « Faut-il mettre en cause le RSSI ? ». Mais attention, ce n’est pas la fonction qu’il faudrait mettre en cause, mais son profil. Le RSSI est plus que jamais indispensable, mais il doit être présent aux côtés du chef d’entreprise et de son conseil, et surtout il doit être écouté.
Pour cela, le RSSI doit changer d’attitude, abandonner une partie de son image de technicien pour devenir un manager, exploiter les faits et se concentrer sur sa communication, choisir ses batailles et frapper au bon moment pour convaincre les bonnes personnes. Un nouveau RSSI ? A vous côtoyer régulièrement, je vous confirme que vous êtes déjà nombreux à suivre cette voie…
Et vous, qu’en pensez-vous ?
Image d’entête 857349230 @ iStock VectorStory