Autrefois, les entreprises étaient gérées par de petites équipes d’encadrement dirigées par un directeur général, lui-même sous responsabilité d’un président ou d’un conseil d’administration. On trouvait également des cadres intermédiaires qui possédaient une connaissance solide de leur domaine, mais bien peu du reste. Ils étaient souvent vus comme des hyper-spécialistes.
De nos jours, le paysage des entreprises est différent. La direction est épaulée par des adjoints qui sont experts dans leur domaine spécifique tout en possédant une compréhension de la stratégie de développement de l’entreprise. Depuis peu, cette équipe dirigeante a été rejointe par un nouveau membre : le Responsable de la sécurité des systèmes d’information (RSSI).
Un RSSI est chargé d’instaurer et de faire respecter les processus protégeant les actifs et les technologies de l’entreprise. Sur la dernière décennie, sa présence en entreprise s’est généralisée, en raison notamment de l’accroissement de l’attention médiatique portée aux failles de sécurité. Pourtant, si les entreprises prennent peu à peu conscience de leurs besoins en cyber sécurité et plébiscitent la présence d’un RSSI dans leur équipe, ce poste est instable. Selon une récente étude, un RSSI reste en moyenne en poste pendant 18 mois[1].
Le casse-tête du RSSI, entre défis technologiques et politiques internes, sans compromis sur la sécurité
RSSI est un rôle relativement nouveau et ceux-ci ne possèdent pas encore de cartographie professionnelle. En plus, ses missions varient d’une entreprise à l’autre, parfois très techniques, parfois stratégiques. Trouver sa place peut alors devenir très compliqué.
Lorsque les RSSI font partie du conseil d’administration, les défis auxquels ils sont confrontés se répartissent globalement en deux domaines : le premier – que nous pourrions appeler « lost in translation » – est le résultat d’une différence de langage entre le RSSI et le reste du conseil d’administration. Les ingénieurs ont généralement une façon de penser particulière ; ils sont focalisés sur leurs tâches et processus spécialisés. Avant d’atteindre le niveau du conseil d’administration, il leur a souvent manqué l’opportunité de pouvoir s’impliquer réellement dans une entreprise, même s’ils ont de l’expérience en tant qu’informaticiens. Cependant, le rôle du RSSI requiert un fort équilibre entre compréhension de l’entreprise, capacité de négociation et connaissances techniques.
Le deuxième défi du RSSI réside dans le choix des fournisseurs appropriés pour les solutions aidant à la gestion de ses domaines. Le marché est inondé de fournisseurs en sécurité, de solutions dédiées, et il n’est pas facile pour une entreprise de sélectionner ceux qui lui correspondent le mieux. De plus, il ne s’agit pas seulement de mettre en place une solution spécialisée. Les services d’experts et l’assistance sont également une partie très importante de la sécurité informatique d’entreprise. Du fait de la complexité de la tâche, plus les solutions et fournisseurs impliqués sont nombreux, plus il est difficile pour le RSSI de développer et réaliser une stratégie de sécurité informatique vraiment fiable. Cette pression peut également expliquer pourquoi certains RSSI ne conservent leur emploi que 18 mois. Cette période coïncide avec le cycle complet du processus d’acquisition et de mise en place d’une solution informatique, dont les résultats peuvent prouver si le RSSI a pris la décision stratégique correcte ou non. Ainsi, choisir les partenaires adéquats apparaît comme crucial pour la survie du RSSI.
Quelques conseils pour les RSSI
Si votre objectif de carrière est de devenir un RSSI, les étapes suivantes devraient vous y aider :
• Rappelez-vous de négocier un budget de sécurité. La décision d’acquérir une solution de sécurité ne doit pas être uniquement basée sur les coûts, mais sur une analyse qualitative des besoins de l’entreprise, sur la conformité aux règlements, sur le paysage des cyber-menaces et sur les risques informatiques.
• Devenez un conseiller de confiance dans votre entreprise. Soyez conscients des risques de sécurité encourus par les données de l’entreprise, et soyez capables d’identifier et suivre les tendances de l’industrie. Prenez des décisions stratégiques : vous ne pouvez pas seulement vous focaliser sur la résolution de quelques problèmes, vous devez posséder une vue d’ensemble de tous les problèmes, au même moment. Ceci implique également de choisir un fournisseur informatique approprié qui fournit des solutions, pas seulement des produits.
• Gardez à l’esprit que votre organisation est une cible. Il y a de fortes chances, et pas une simple probabilité, qu’elle sera attaquée. Vous devez posséder une stratégie de sécurité globale bien établie. Celle-ci doit couvrir toute l’infrastructure de l’entreprise ; envisagez les changements nécessaires d’infrastructure dans le temps et appuyez-vous sur les renseignements d’experts de la sécurité pour fournir une défense efficace.
• Soyez préparé à trouver un terrain d‘entente avec les membres du conseil. Vous aurez besoin de communiquer efficacement sur les questions touchant aux risques informatiques et à la manière dont ils pourraient affecter l’entreprise, sa stratégie et son avenir.
• Soyez humain. La mission d’un RSSI est de guider le personnel sur le chemin d’un futur sécurisé. Rappelez-vous que les technologies ne peuvent fonctionner sans comportement humain approprié. Investissez dans l’éducation des employés autant que dans les technologies. Autre point important, le processus de renforcement de la sécurité ne doit pas avoir d’impact négatif sur les employés ou les empêcher de travailler efficacement ; soyez donc attentif à leurs inquiétudes et mettez en place des processus pour les aider.
[1] May 2013 State of Software Security Report by Veracode
_________
Tanguy de Coatpont est diirecteur Général de Kaspersky Lab France et Afrique du Nord
@T_de_Coatpont