RSSI et DSI transigent avec la sécurité, et ce n’est pas du goût de tout le monde

DSI et RSSI seraient-ils négligents ? Pas nécessaire, mais une étude de Censuswide pour Tanium, pointe des comportements qui interpellent. Selon celle-ci, il n’est ainsi pas rare que ces responsables fassent des « compromis » avec la sécurité ; ils sont même 9 sur 10 à le reconnaître parmi les sondés français. C’est un peu moins que pour l’ensemble de l’échantillon : en tout, 94 % des sondés indiquent faire des compromis avec la sécurité pour éviter d’affecter l’activité de l’entreprise.

Mais de quels compromis parle-t-on ? De renoncement à l’application de correctifs, par exemple : 81 % des sondés indiquent ainsi s’être déjà abstenus de déployer une mise à jour « importante », et 52 % de l’avoir fait à plusieurs reprises.

La première raison invoquée est la pression pour ne pas affecter le fonctionnement de l’entreprise et éviter des indisponibilités. Mais ce n’est pas tout : un peu plus d’un quart des sondés évoque des contraintes liées aux systèmes patrimoniaux, et 23 %... les jeux politiques internes.

Pour Tanium, DSI et RSSI apparaissent tenaillés entre des priorités internes multiples et variées. Près de la moitié des sondés indiquent ainsi peiner à se faire entendre des métiers parce que ceux-ci ne comprennent pas l’importance de la résilience IT. Et 40 % des sondés déplorent que les métiers fassent passer leur travail lié aux clients avant les protocoles de sécurité.

Ces résultats ne surprendront probablement pas grand monde. Le rôle, la place et les moyens du RSSI sont l’objet de débats récurrents, comme pouvait notamment l’illustrer l’édition 2016 des Assises de la Sécurité. Lors d’une table ronde organisée lors de l’événement, Jamal Dhamane, RSSI groupe d’Essilor estimait ainsi que le RSSI doit « parler avec les métiers de leurs problèmes ; prendre de la hauteur ; changer de langage, de vocabulaire ». Concrètement, il suggérait de « parler de perte de chiffre d’affaires, de déficit d’image. Là, vous aurez leur oreille ».

Dans un commentaire publié sur LinkedIn, Michel Juvin, RSSI et membre du Club des experts de la sécurité informatique et du numérique (Cesin), n’apparaît pas goûter l’idée véhiculée par les résultats de l’étude commandée par Tanium. Pour lui, « le RSSI doit présenter une analyse de risques au métier qui prend la décision. Si le RSSI estime que le risque n’est pas acceptable et met en danger l’entreprise […], il y a un vrai problème de gouvernance dans le système de management de l’entreprise ».

Pour Michel Juvin, dans un tel contexte, il revient au RSSI de « prendre une décision courageuse qui pourra être de rompre son contrat de travail ». Avant peut-être qu’une brèche ne lui coûte son poste et ne vienne ternir sa propre image personnelle, comme c’est parfois le cas. Frédéric Gouth, consultant en cybersécurité, s'inscrit sur une ligne comparable : « non, les RSSI ne transigent pas avec la sécurité. Mais tant qu'ils seront rattachés aux DSI, ils seront pieds et mains liés par celui-ci. C'est pour cela que beaucoup démissionnent et n'acceptent plus que des postes rattachés à la direction ».

Au total, pour son étude, Censuswide a interrogé 504 DSI et RSSI d’entreprises de plus de 1000 collaborateurs en Allemagne, aux Etats-Unis, en France, au Japon et au Royaume-Uni, durant le quatrième trimestre 2018. Le nombre exact de sondés dans l’Hexagone n’est pas précisé.