Cet article fait partie de notre guide: Sécurité : où sont les projets ?

Le numérique, une révolution en marche pour les RSSI

La nouvelle révolution du numérique, portée par la consumérisation, le Cloud, les réseaux sociaux, l’interconnexion croissante des systèmes d’information, entre autres, commence à transformer radicalement le métier des RSSI.

Une fois de plus, les Assises de la Sécurité, qui se déroulaient la semaine dernière à Monaco, ont été l’occasion de dresser un état des lieux de la fonction SSI (sécurité des systèmes d’information) au sein des entreprises. Et la mutation du numérique, entraînée par la consumérisation, le Cloud, et les réseaux sociaux, notamment, semble bien là. Caroline Apffel, consultante chez Spencer Stuart, relève ainsi, selon les résultats d’une étude conduite par le Cercle Européen de la Sécurité auprès de 300 RSSI, que les impacts de cette mutation, s’ils restent naissants, n’en sont pas moins réels. Les notions de service et d’élasticité gagnent ainsi en importance, avec «une attente plus importante sur le niveau de service que doit apporter l’entreprise» à ses collaborateurs. Surtout, la dépendance à la disponibilité, à l’intégrité et à la confidentialité des informations va croissante. Alors même que la surface d’attaque potentielle ne fait que s’étendre.

Olivier Daloy, Ciso du groupe LVMH, ne contredit pas ces tendances. Pour lui, le point clé tient au «passage d’un risque technique à un risque lié aux données et à l’identité des utilisateurs.» C’est la fin de la sécurité périmétrique et le début d’un recentrage sur «la donnée elle-même.» Ce qui ne manque de faire ressortir des défis peut-être un peu ignorés par le passé : «cela a un impact humain sur l’entreprise. La sensibilisation et la communication sont plus que jamais nécessaires avec les utilisateurs, car c’est là que se concentre le risque pour l’entreprise.» Mais l’enjeu dépasse la sécurité et touche à l’activité même de l’entreprise, souligne-t-il, précisant qu’il est devenu important «de montrer l’efficacité de ses processus de protection de données à ses clients.» De quoi donner au RSSI une nouvelle dimension, lui permettant de se positionner comme véritable facilitateur de l’activité économique de l’entreprise.

Amir Belkhelladi, directeur conseil technologique chez Accenture, va plus loin, relevant que «l’entreprise numérique est devenue, pour certaines organisation, un coeur de métier», «un enjeu important de l’activité», même si les niveaux de maturité varient sensiblement d’une entreprise à l’autre.

Piquant, Pierre-Luc Refalo, ancien du cabinet Hapsis devenu récemment directeur de l’activité conseil en sécurité de Sogeti France, souligne la futilité d’une résistance à des tendances de fond appelées à s’amplifier. Et de prendre l’exemple du BYOD : «aujourd’hui, le discours anti-BYOD, je ne sais pas à quoi ça rime et pourtant on l’entend encore beaucoup.» Reste que, selon lui, tout cela contribue à construire de «l’instabilité» dans la fonction SSI, voire même DSI. Ce qu’estiment d’ailleurs deux tiers des professionnels sondés dans le cadre de l’étude. 72 % des sondés assurent en outre revoir leurs approches de la sécurité pour se recentrer sur la protection des informations stratégiques, quand 68 % d’entre eux renforcent leurs efforts sur le contrôle des risques et la conformité.

Mais cette instabilité n’est pas si mauvaise. Caroline Apffel relève ainsi qu'unanimement, les RSSI sondés estiment que leur fonction ressort confortée, sinon renforcée. Beaucoup auraient ainsi gagné en indépendance. Et dans les grands groupes, la question de la sécurité des systèmes d’information aurait tendance à s’inviter au conseil d’administration, s’émancipant du comité de direction. Ce qui n’est toutefois pas sans créer de nouveaux défis, rendant «la fonction plus complexe» et exigeant un effort d’adaptation de la communication, comme le relève Olivier Daloy. Pour lui, le RSSI gagne bien en visibilité, intéressant désormais le PDG. Mais cela impose de savoir «lui parler de ce qui le concerne, de ce qui l’empêche de dormir la nuit.»

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close