« Vous dépensez de plus en plus d’argent pour la sécurité, mais vous n’avez pas la sensation d’être mieux protégés pour autant », a lancé Art Coviello, le patron de RSA, à l’assemblée des professionnels de la sécurité venus l’écouter ce matin lors de la RSA Conference Europe, à Londres. Et le patron de RSA d’appuyer son argument par des chiffres : en 2001, 1,5% des investissements IT concernaient la sécurité, contre 3% en 2006 et, projette-t-il, 5% l’année prochaine.

Pour Art Coviello, ce paradoxe est le signe que les entreprises prennent le problème à l’envers : « Elles se contentent encore trop souvent d’investir dans la sécurité en réaction aux incidents, et pas assez à la suite d’une analyse de risque », poursuit Art Coviello. Mais gérer le risque, dans la vision de RSA, n’est pas nécessairement l’apanage d’un Risk Manager, terme très à la mode actuellement et source de débat sans fin chez les RSSI. « Chez EMC, nous avons un responsable de la sécurité, mais nous n’avons pas de Risk Manager. Toutefois, nous avons un comité exécutif, dont je fais partie, qui réunit les managers de haut niveau des différentes branches, et qui a pour responsabilité d’évaluer les risques », nous confiait en aparté Art Coviello après sa présentation.

Mais pour Art Coviello, la gestion du risque n’est qu’une étape : elle permet certes de prendre de meilleures décisions en terme d’investissement sécurité, mais il ne s’agit pas d’une fin en soi. L’objectif à long terme – et là, le patron de RSA semble enfoncer des portes ouvertes – doit être d’aligner la sécurité avec les métiers. « La sécurité a d’abord été poussée par la peur, et ça ne marche pas. Aujourd’hui, elle est poussée par la règlementation, et ça ne marche pas vraiment non plus. Il est peut-être temps de réaliser qu’elle ne peut, et ne doit, être qu’au service du business », assène Art Coviello.

Et c’est ici que la vision du patron de RSA se dessine : « Pour servir le business, la sécurité doit être tournée vers la protection de l’information (‘information centric’), mue par la notion de risque contre gains, être globale et répétable (pilotée par des process, ndlr) ».

Et pour guider tout ça, Art Coviello voit toujours le spécialiste de la sécurité. Sauf que ce dernier doit évoluer. « Le RSSI doit nouer des alliances, gagner la confiance des métiers, créer son réseau et parler le même langage que le business. Et il doit en outre devenir un expert du risque. Ce n’est qu’ainsi qu’il sera capable de juger les choix du business en fonction du risque encouru et des gains espérés. S’il ne comprend pas les métiers, il ne pourra pas estimer des gains potentiels face aux risques » explique le patron de RSA.

Enfin, Art Coviello voit aussi une telle implication du RSSI dans le métier comme un garde-fou salutaire. Lors d’un entretien particulier avec LesNouvelles.net à l’issue de sa présentation, il a fait le parallèle avec les récentes affaires de traders fous dans le monde bancaire. Selon lui, il s’agit d’un très bon exemple de l’incapacité de la direction à se rendre compte que ses politiques sont totalement décorrélées des outils et des pratiques quotidiennes des métiers. Et il voit ici parfaitement le RSSI comme un facilitateur entre ces deux mondes.

A condition bien entendu de lui en donner les moyens, mais c’est là une autre histoire !