Qualys Security Community dévoile les résultats de l'enquête menée auprès d'un panel de 54 RSSI issus de grands comptes français lors du CSO Interchange. Celle-ci révèle la nette évolution du poste de responsable de la sécurité du SI vers un rôle de stratège. Ces trois dernières années, le RSSI a acquis de nouvelles compétences dans des domaines variés tels que la communication, la technique, le management et le business. Une profession désormais plus ouverte aux autres fonctions de l'entreprise.
La cyber-intelligence
D'après l'enquête la cyber-intelligence est avant tout liée à un exercice de veille traditionnelle. Pour une majorité des RSSI (44%), tandis que 7% d'entre eux pensent qu'il s'agit d'un buzzword sans substance. Seuls 10% des participants ne voient aucune utilité à la cyber-intelligence dans leur quotidien, contre 61%. Tandis que 29% déclarent que si il n'ont pas de besoins actuels, ils se posent toutefois la question de son développement dans leur activité.
Veille et nouveaux usages
Comment les RSSI prennent-ils en compte l'irruption dans l'entreprise de nouvelles pratiques ou de nouveaux outils grand public pouvant présenter des risques inédits ? Une grande majorité d'entre eux (68%) pratique une veille active de ces nouveaux usages, afin d'évaluer les nouvelles menaces pouvant peser sur l'entreprise.
Lorsqu'une telle veille existe, elle a été majoritairement initiée sous l'impulsion de la SSI (34%), suivie de la Direction Générale (26%) et de la Direction Marketing ou innovation (23%). La DSI est peu souvent à l'initiative de tels projets (17%) et la Direction des Risques est totalement absente de ce processus (0%).
La surveillance continue
Autre pratique émergente, la surveillance continue du SI, une vérification en temps réel des contrôles de sécurité, des événements et des changements subits par le système d'information. Une telle approche fait le lien entre des projets de SIEM, de gestion automatisée des vulnérabilités, de mise en conformité et introduit des processus humains pour la réaction aux alertes 24/7.
Ils sont 71% à déclarer avoir mis en place une forme de surveillance continue du SI, tandis que les autres ne l'ont pas encore fait mais s'y préparent. Pour ceux disposant d'une telle surveillance, seuls 33% l'ont cependant mise en oeuvre sur l'ensemble de leur périmètre. La majorité (38%) en étudie la faisabilité, tandis que 28% des répondants ne voient pas la nécessité d'étendre la surveillance continue à l'ensemble de leur périmètre.
Les compétences de la SSI
Pour les RSSI sondés, le rythme d'acquisition des nouvelles compétences s'est accru au cours des trois dernières années. Ils sont ainsi 78% à reconnaître avoir dû acquérir de nouvelles compétences durant ces trois dernières années, en particulier dans les domaines : communication, technique, management, business.
Le nouveau profil du RSSI
L'accélération de l'acquisition de ces nouvelles compétences pourrait s'expliquer par les profonds changements opérés dans la fonction même. Ainsi les RSSI présents définissent leurs différents rôles dans l'entreprise, par ordre d'importance (de la plus importante à la moins importante) :
- Un stratège
- Un communiquant
- Un expert
- Un politique ("influenceur") de l'entreprise
- Un manager
- Un gestionnaire de contrats
Le RSSI est devenu l'homme-orchestre dont la direction attend un ensemble de compétences très varié.
La fin de l'isolement dans l'entreprise
Une très grande majorité des participants (97%) estime ainsi que la profession est aujourd'hui largement plus ouverte aux autres fonctions de l'entreprise. A la question de savoir avec quelles fonctions de l'entreprise le RSSI collabore le plus, les RSSI sondés répondent (par ordre de fréquence) :
- La DSI
- Le juridique
- Le risque
- La DG
- Les achats
- La qualité
- La finance
- Le marketing
La SSI est encore très liée à la DSI, qui arrive en tête de ce classement. Mais l'irruption du juridique en seconde place confirme l'évolution de la fonction RSSI vers un rôle de support et de conseil auprès de nombreux acteurs de l'entreprise.
Peu de collaboration avec la finance – la SSI peut être active dans le cadre de la lutte contre les fraudes, y compris internes – et le marketing qui aurait, selon certains RSSI interrogés, trop souvent tendance à lancer des opérations, des mini-sites et autres collectes de données personnelles sans les consulter.
Durant la collaboration, le RSSI est majoritairement vu par les autres fonctions comme un expert, une force de proposition dont l'avis compte (48%). Ils ne sont toutefois que 13% à se sentir considérés comme véritable partenaire.
Près d'un tiers (30%) s'estime considérés comme une contrainte nécessaire : on n'apprécie pas forcément qu'ils soient associés aux discussions mais l'on peut tenir compte de leur avis.
L'Europe
Les RSSI semblent bien accueillir les nouveaux projets européens de réglementation de la SSI, notamment en matière de protection des données à caractère personnel. Il s'agit "plutôt d'une bonne chose" pour une majorité des sondés (58%) tandis que beaucoup "attendent de voir à l'usage" (42%), laissant à Bruxelles le bénéfice du doute. Aucun d'entre eux n'évoque "une contrainte inutile".
En revanche les personnes interrogées semblent persuadées que l'intérêt grandissant de l'Europe pour la SSI forcera nécessairement la profession de RSSI a évoluer. Mais là encore, ils sont une majorité (70%) à penser que cette évolution sera pour le bien (meilleur encadrement des pratiques, responsabilisation…) tandis que 8% l'estiment pour le pire (perte d'autonomie, contrôles plus rigides, responsabilité juridique inutilement accrue…). Enfin, 22% d'entre eux estiment que cela ne changera strictement rien à leur quotidien
Par ailleurs, les professionnels de la SSI interrogés ne semblent pas favorables à un diplôme de RSSI, une formation, potentiellement européenne, qui autoriserait l'exercice du métier. Ils sont 65% à refuser une telle idée, contre à peine plus d'un tiers (35%) à y être favorables.
Source (Qualys)
Espace CHSCT, plateforme N°1 d'information CHSCT, édité par son partenaire Travail & Facteur Humain, cabinet spécialisé en expertise CHSCT et formation CHSCT
