Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Quelle place pour le RSSI dans l’entreprise ?

auteur de l'article Jerome Saiz , dans la rubrique Carrière

Débat éternel que celui de la position du RSSI dans la hiérarchie de l’entreprise ! Doit-il être rattaché à la Direction Générale ou, comme le fait remarquer un membre de SecurityVibes, n’est-ce là que pure vanité de la part du RSSI ? Est-il judicieux de faire dépendre la SSI de la DSI, ou est-ce que la sécurité de l’information ne dépasse finalement pas le cadre des seuls informaticiens ? Autant de questions que les membres de SecurityVibes débattent à bâtons rompus dans les forums !

Et si le débat n’en finit pas, c’est parce que la donne change en permanence. « Aujourd’hui les choses ne sont pas aussi simples que le rattachement à la DSI dans les années 90 » observe à juste titre un membre de Securityvibes. Et pour cause : à l’époque le pilotage de la sécurité par le risque était largement moins répandu qu’aujourd’hui. Entre temps le poste de gestionnaire des risques (Risk Manager) a été créé et il vient parfois empiéter sur certaines prérogatives traditionnelles du RSSI. « Le Risk Manager intègre en plus des problématiques du RSSI celles de l’assurance, de la continuité d’activité, de la conformité règlementaire. Et il en parle de manière dépassionnée, avec des termes compréhensibles pour une instance dirigeante« , analyse un autre membre de SecurityVibes.

Le gestionnaire des risques comme courroie de transmission entre le RSSI et la Direction Générale ? L’approche semble désormais courante, en tout cas chez les entreprises les plus mûres en terme de sécurité ! « Le RSSI d’une structure de plusieurs milliers de personnes, ou dans un secteur plutôt mûr sur le sujet (banque/assurance par exemple), sera probablement rattaché à une Direction des Risques. Mais une telle direction n’existe tout simplement pas dans une PME classique« , précise un intervenant au débat. On retrouve ici l’éternel clivage entre petites et grandes structures, qui définit deux métiers radicalement différents pour un même nom. Au risque de caricaturer à l’extrême, les petites et moyennes entreprises se dotent d’un responsable de la sécurité informatique tandis que les autres nomment un responsable de la sécurité de l’information.

Pour ce dernier, généralement peu technique, il sera alors nécessaire de pouvoir compter sur des relais opérationnels au sein des métiers et de la DSI, une « ingénierie sécurité » comme l’appelle à juste titre un membre de SecurityVibes. « Je rattacherais le RSSI traditionnel, c’est à dire informatique, à une fonction de sûreté informatique, transverse au sein de l’informatique, avec des méthodes proches de la qualité et une forte compétence technique. Et il y aurait une autre fonction, plus proche des métiers, qui traiterait des risques sur l’information au sens général du terme et non plus seulement ceux manipulés par l’outil informatique. Ce serait à la charge de ce profil là de fournir au RSSI technique les entrées nécessaires à l’établissement d’un budget de sécurité technique réellement en relation avec les risques métiers de l’entreprise« , résume parfaitement un participant.

Un fork() de RSSI ?

On le voit en filigrane de ce débat : la fonction RSSI s’oriente de plus en plus vers une double compétence incompatible avec une casquette unique. Faudra-t-il alors bientôt deux postes pour assurer la mission sécurité ? « Le RSSI recouvre trop de métiers différents pour être sous la casquette d’un seul individu; parfois les caractéristiques psychologiques et intellectuelles nécessaires sont diamétralement opposées d’un profil à l’autre« , poursuit un membre de SecurityVibes.

Qu’il s’appelle gestionnaire des risques (Risk Manager) ou responsable de la sécurité de l’information, le profil le moins technique est appelé à occuper un poste de supervision, plus transversal et plus proche des directions métiers, voire de la Direction Générale (pour l’aspect réglementaire notamment). Toutefois une telle position, en ce qui concerne la proximité avec les métiers notamment, n’est pas exempte de risque : « Mettre le RSSI au niveau du métier n’est pas mieux en termes d’indépendance que de dépendre de la DSI. En effet, le métier cherche lui aussi régulièrement à limiter les coûts (donc la sécurité), et fait preuve d’un esprit d’innovation parfois difficilement compatible avec la sécurité (pensez aux technologies récentes comme l’iPad ou les applications de trading sur Blackberry)« , met en garde un autre participant.

L’homme idéal, ce mutant

Une alternative à ce duo de RSSI est proposée par un autre membre, lui-même « Group Information Security Officer » d’un acteur industriel mondial. Pour lui, il est dépassé de parler encore de RSSI. Mais il est encore précoce de vouloir partager la casquette du RSSI. Plutôt que de scinder le rôle en deux, il préconise de le faire évoluer. « Le terme de Responsable est réducteur. S’il sait corriger les erreurs (mais c’est souvent trop tard), son vrai rôle est surtout d’anticiper. L’analyse de risque est donc son plan directeur. C’est un Process Owner au même titre que les autres. Il couvre de manière transverse la sécurité de l’information dans toutes les fonctions de l’entreprise. D’ailleurs, son salaire est celui d’un BPO ; ce qui lui permet de leur parler d’égal à égal. Il est technique et effectue des investigations dans tous les secteurs de l’entreprise suivant son analyse de risque (s’appuyant sur les cellules de contrôle et/ou d’audit interne, ou bien des experts externes du domaine de risque à couvrir). Il est sur le terrain mais il est aussi capable d’éveiller la Direction sur les risques d’un défaut de gestion de la sécurité de l’information. Et puis il est aussi un visionnaire qui sait prendre en compte l’évolution de la société pour comprendre le schéma de flux de l’information, pour en déduire là où l’information va être vulnérable« , décrit notre membre.

Mais combien de RSSI actuels voudront, ou pourront, correspondre à un tel profil ? Et combien d’entreprises pourront s’offrir une telle perle rare ? Pour beaucoup d’entre elles nous en revenons alors probablement à la séparation des pouvoirs entre un « patron » sécurité plus technique et un responsable des risques plus proche des métiers et de la Direction.

Alors oui, pour les entreprises qui peuvent se le permettre, ou dont l’activité s’y prête, il n’est pas étonnant de voir le rôle du RSSI scindé en deux profils bien différents. La prépondérance de l’analyse des risques et l’implication plus forte des métiers dans son évaluation (ce sera d’ailleurs le sujet d’une table ronde lors de notre prochain CSO Interchange à Paris) le justifie. Pour les autres, en revanche, l’homme-orchestre est toujours de mise. Mais ce n’est pas une nouveauté, et ce n’est pas propre à la fonction sécurité !

Et vous, de qui dépend le RSSI dans votre entreprise ? Quels en sont les avantages ou les inconvénients ? Venez enrichir le débat dans nos forums !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Une réponse à Quelle place pour le RSSI dans l’entreprise ?

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.