Comment le RSSI s’est mué en responsable politique

Les analystes de Gartner répètent depuis longtemps que les RSSI doivent d’abord comprendre l’entreprise, avant de comprendre la sécurité. Mais le dilemme persiste : les responsabilités du RSSI devraient-elles se concentrer sur les connaissances en ingénierie de la sécurité, ou sur la gestion du risque informatique et les politiques ? – des compétences plus générales.

En fait, alors que les préoccupations au sommet de la hiérarchie renforcent l’attention accordée à la visibilité sur les menaces et aux processus de protection des données dans de nombreuses grandes entreprises, le rôle du RSSI change.

« Selon mon expérience, un plus grand nombre de RSSI vient du monde des politiques », relève Adam Rice, RSSI de Cubic Corp. « Mais s’ils n’ont pas un bon architecte sécurité dans leur équipe, il leur manque la moitié du puzzle. Je dirais que le parfait RSSI est quelqu’un avec beaucoup d’expérience, se présentant comme un ingénieur en sécurité titulaire d’un MBA ».

Selon James Christiansen, vice-président d’Optiv Security en charge de la gestion du risque informationnel, les RSSI d’aujourd’hui doivent être sensibles aux questions relatives à la gestion d’une entreprise : « ils doivent pouvoir se rendre à une réunion du conseil d’administration et articuler les risques qu’ils observent pour les expliquer à tous ceux qui rapportent à direction. Ce qui implique qu’ils aient à changer leur langage, à changer la manière dont ils présentent, et qu’ils ont besoin d’être de bons orateurs ».

L’assertion de Gartner implique-t-elle qu’une entreprise du Fortune 500 évoluant dans un secteur d’activité ne devrait jamais embaucher le RSSI d’une entreprise d’un autre secteur ? Cela pourrait s’avérer délicat, alors que la ressource est limitée et que les compétences requises sont étendues. Pour Christiansen, le rôle du RSSI évolue vers celui de « Directeur en charge du risque informationnel », ou Chief Information Risk Officer, du fait de responsabilités qui s’étendent au-delà du périmètre de l’entreprise.

Et il ne se réfère pas là qu’à des questions de conformité réglementaire, cet autre sujet délicat. Mike Chapple, directeur sénior en charge de la fourniture des services IT de l’Université de Notre Dame, le connaît bien. Il a été amené à gérer bon nombre de services Cloud. Et dans un centre de calcul local, respecter les contraintes réglementaires de localisation géographique des données est assez aisé. Mais avec le Cloud, le sujet est bien plus complexe. Chapple recommande d’ailleurs d’ailleurs aux entreprises d’étudier le modèle de responsabilité partagée, et de se réserver le droit d’auditer les fournisseurs en fonction des réglementations applicables. Mais quel que soit les services Cloud adoptés, il n’est pas, selon lui, possible d’externaliser la responsabilité pour la sécurité de l’information.

Qui est donc responsable de la gestion des questions de conformité telles que la localisation géographique ou l’évaluation du risque lorsque les services sont décentralisés ? Il s’agit généralement du RSSI. Le besoin d’expertise tant technique que réglementaire exige des RSSI qu’ils absorbent un vaste éventail de connaissances dans des domaines qui ne les concernaient pas il y a seulement deux ans.

Mais pour Rice, rester sur le terrain et disposer d’une expérience de la sécurité à l’échelle de systèmes d’entreprise complexes continue d’être une exigence majeure : « si vous devenez simplement une personne de la réglementation ou de la conformité, vous ne prendrez pas les bonnes décisions sur les menaces ; vous devez savoir comment réagit à une APT. Vous pouvez réussir un audit ISO 27001, accrocher le certificat au mur et sabrer le champagne… pendant que des pirates quittent les lieux discrètement avec toutes vos données ».

Adapté de l’anglais.