Dans un SI qui doit de plus en plus prendre en compte la transformation numérique et de la cybersécurité, le rôle du responsable de la sécurité des systèmes d’information (RSSI) évolue d’un contenu technique à celui pour devenir plus managérial et collaboratif.

C’est l’idée centrale qui ressort de l’étude réalisée par le cabinet PAC intitulée « What It Takes to Be a CISO: Success and Leadership in Corporate IT Security ». La tendance actuelle à la transformation numérique a ouvert les économies, les entreprises et les systèmes d’information, les rendant plus agiles et connectés, mais aussi plus vulnérables et plus exposés aux menaces. Face à ces risques croissants, la cybersécurité est devenue un catalyseur-clé de la transformation numérique, protégeant l’entreprise et ses écosystèmes, mais aussi permettant cette transformation. « Pour relever ces défis, le rôle du responsable de la sécurité des systèmes d’information est également en train de se transformer », commente Mathieu Poujol, responsable de la cybersécurité chez PAC.

Le RSSI selon l’ANSSI

Ayant généralement une expérience professionnelle de plusieurs années, le RSSI définit la politique de sécurité du système d’information et veille à sa mise en application. Il joue un rôle de conseil, d’assistance, d’information, de formation et d’alerte auprès de la direction. Selon la taille de l’entité, il joue un rôle opérationnel dans la mise en œuvre de la politique de sécurité ou encadre une équipe composée d’experts techniques et de consultants. Il propose à l’autorité compétente la politique de sécurité du SI et veille à son application.

Le RSSI peut intervenir en matière de SSI sur tout ou partie des systèmes informatiques et télécoms de son entité, tant au niveau technique qu’organisationnel. Il effectue un travail de veille technologique et réglementaire sur son domaine et propose les évolutions qu’il juge nécessaires pour garantir la sécurité du système d’information dans son ensemble. Il est l’interface reconnue des exploitants et des chefs de projets, mais aussi des experts et des intervenants.

(Source : les métiers de la sécurité du numérique – ANSSI)

Le rôle des RSSI interrogés au sein de leurs entreprises respectives peut être caractérisé en fonction des indicateurs de performance clés qu’ils utilisent, du service pour lequel ils travaillent et de leurs tâches les plus importantes. Ces indicateurs de performance reflètent les priorités du RSSI : protéger l’entreprise des cybermenaces et de leur impact, réduire les vulnérabilités, résoudre les problèmes de conformité et maintenir les budgets sur la bonne voie.

Si l’on examine la manière dont les performances des RSSI sont mesurées, on peut observer des différences significatives entre les indicateurs de performance, en fonction de la durée de la fonction de RSSI. Il est intéressant de constater que les RSSI en poste depuis peu de temps, sont moins bien notés pour tous les indicateurs de performance clés. Les différences entre les régions géographiques sont importantes.

Au sein des RSSI qui pensent ne pas être suffisamment impliqués dans les décisions métiers, 9% sont moins souvent évalués en fonction de l’incidence des infractions graves et 10% en fonction des antécédents de conformité. Cela semble refléter le plus faible niveau d’implication des RSSI dans les décisions commerciales au sein de l’entreprise.

Participation du RSSI au sein du comité exécutif

En considérant la place prépondérante que prend la cybersécurité dans l’entreprise, on s’attendrait à ce qu’un responsable de la sécurité des systèmes d’information fasse partie des cadres dirigeants. Et pourtant, un quart seulement des RSSI interrogés font partie du comité exécutif et assistent à toutes les réunions.

Avoir un RSSI au niveau exécutif n’est généralement une réalité que pour les entreprises hautement numérisées, très sensibles, ainsi que pour les très grandes organisations. Ceci est souvent synonyme de maturité élevée en matière de cybersécurité. Cependant, 58 % des RSSI interrogés dans le cadre de l’étude pensent être suffisamment impliqués dans la prise de décision.

De même, seuls 25% des RSSI interrogés ne faisant pas partie du comité exécutif pensent qu’ils devraient en faire partie. Les autres sont satisfaits du poste qu’ils occupent actuellement. En Europe, 41 % des RSSI qui ne font pas partie du comité exécutif pensent qu’ils devraient y être.

Autre conclusion de l’étude, une grande majorité des RSSI ne se voient pas comme des dirigeants métiers, ce qui est normalement un élément clé d’un rôle au niveau CxO, mais plutôt comme des experts du domaine. Les responsables de la cybersécurité font partie des rôles les plus techniques de l’entreprise et sont évalués en ce sens.

Par contre, les RSSI qui souhaitent renforcer leur implication dans les activités métiers sont plus souvent sollicités par le comité exécutif que les RSSI qui ne le souhaitent pas. De plus, les RSSI qui ont un bon réseau au sein de leur organisation et qui sont les plus prêts à s’impliquer dans les activités de leur entreprise sont plutôt perçus comme une source de conseils plus précieuse que leurs pairs sans ce niveau d’engagement.