Il est de tradition à l’occasion du CSO Interchange d’interroger les RSSI sur leur quotidien, leurs projets et l’évolution de leurs fonctions. D’une année sur l’autre leurs réponses permettent de mieux saisir les contraintes et les responsabilités mouvantes de la profession.

L’an dernier nous nous étions penchés, entre autres, sur la carrière, la veille et la collaboration avec les autres fonctions de l’entreprise.

Cette année nous nous sommes intéressés à la responsabilité pénale du RSSI, à ses projets de sensibilisation, à sa prise en compte des projets métiers innovants et à sa vision de la GRC.

Sur le volet de la sensibilisation, l’on observe que c’est encore la SSI qui est majoritairement à l’initiative de ces projets (57,1%). De telles initiatives ne proviennent donc encore que trop rarement des directions elles-même, alors que leur soutien est pourtant capital à leur succès.
La Direction Générale (10,7%) et la DSI (10,7% aussi) sont malgré tout plus souvent à l’initiative du programme que les directions métier (7,1%).

Mais malheureusement, 14,3% des entreprises interrogées n’ont pas mis en oeuvre de plan de sensibilisation.

Un point intéressant : parmi les participants qui disposent d’un plan de sensibilisation, un quart d’entre eux (25%) vont même jusqu’à prévoir un programme spécifique destiné aux dirigeants, reconnaissant par là les besoins spécifiques de cette population à risque. Et 21,4% font intervenir, dans ce cadre, des experts externes spécifiquement pour sensibiliser la direction.

Mais si avoir un programme de sensibilisation est une bonne chose, être en mesure d’en évaluer la performance est encore mieux. Et sur ce point il reste encore du travail à réaliser. Ainsi seulement 19,2% des participants estiment avoir les moyens de mesurer de manière efficace les résultats de leur programme de sensibilisation (qu’ils soient bons ou mauvais, l’essentiel est d’abord d’avoir confiance en ses métriques !). Une majorité d’entre eux (42,3%) y travaille, tandis que 38,5% ne mesurent tout simplement pas les résultats de leur programme de sensibilisation.

Et à l’heure des résultats seulement 32% des participants estiment que leurs actions de sensibilisation délivrent les résultats attendus en fonction des budgets engagés, tandis que les autres (68%) se disent incapables de mesurer si les budgets consacrés à la sensibilisation sont utilisés de manière optimum.

L’on note ainsi, au delà des besoins de sensibilisation, un véritable manque de gouvernance de ces actions.

La gouvernance, justement, parlons-en ! Sur le volet de la GRC les avis sont presque équitablement partagés entre les participants qui estiment avoir une idée claire de ce que signifie ce terme (35,7%), ceux qui pensent tout ignorer de la GRC et ceux qui se disent voir « à peu près » de quoi il s’agit (environ 32% dans les deux cas). Bref, les professionnels de la GRC a encore du pain sur la planche pour sensibiliser les professionnels de la SSI aux bénéfices de leur activité !

La GRC, c’est évidemment de la gouvernance, de la gestion du risque et de la mise en conformité. Et lorsqu’on leur demande laquelle de ces trois activités leur semble prioritaire par rapport aux deux autres, une majorité de participants (46,4%) estime que les trois axes sont aussi primordiaux les uns que les autres.

Pour 35,7% d’entre eux cependant, c’est la gestion des risques qui prime. On retrouve ici bien entendu une vision très SSI de la chose, ce qui n’est guère surprenant puisque nous sommes dans le cadre d’un événement consacré aux RSSI et à leurs équipes.

Enfin, la mise en conformité, qui selon nous devrait être le produit des deux autres et non une finalité en soi, est malgré tout l’axe le plus important pour 14,3% des participants, tandis que la gouvernance elle-même, loin du quotidien du RSSI qu’elle est, n’est jugée primordiale que par 3,6% des participants. Les résultats sont ici très logiques, mais ne reflètent en fin de compte qu’une vision SSI de la GRC.

Quel que soit l’axe prioritaire, cependant, pour 50% des participants la GRC demeure un objectif, une approche utile qui leur semble certes difficile à concrétiser mais sur laquelle ils souhaitent travailler.

Mais pour y travailler, encore faut-il avoir des outils ! Et pour une majorité de participants ayant un programme de GRC au sein de leur entreprise (48,1%) l’outil principal de la GRC n’est pas à chercher très loin : c’est le bon vieux tableur Excel ! La bonne nouvelle, ici, c’est que l’on peut donc entamer un programme de GRC sans réclamer un budget solutions important !

Passons maintenant aux projets innovants de l’entreprise, et en particulier à leur validation sécurité. Une majorité (52,4%) des participants dit avoir mis en place un processus d’identification formel des projets métiers par la SSI afin de leur appliquer une évaluation des risques avant leur mise en production. Et c’est par ailleurs un chantier en cours dans un tiers des entreprises présentes. Seulement pour une minorité d’entre elles (14,3%) rien n’a été fait de manière formelle.

Mais que l’on mis en place un processus ou non, 38,1% des RSSI reconnaissent que, certes, des projets ont échappés à leur vigilance, mais cela demeure malgré tout marginal. Quel est leur secret ? Outre des processus lorsqu’ils existent, il s’agit surtout d’un solide réseau « d’amis » parmi les métiers, et des correspondants chez les chefs de projet… Bref, du relationnel !

Mais tous les projets ne sont pas nés égaux. Si les processus d’identification fonctionnent bien pour le tout venant, certains sont plus agiles que d’autres et nécessitent un temps de réponse plus court de la part de la SSI : si le processus de validation habituel leur est appliqué, à sa mise sur le marché le projet n’aura plus rien d’innovant… Mais heureusement, nos RSSI sont créatifs !

Ainsi la moitié des entreprises ayant déjà formalisé l’identification des projets métiers dit avoir aussi mis en place des exceptions pour traiter les projets à cycle de développement rapide. Et c’est un projet en cours pour 40% d’entre elles. Finalement, quand on est un bon élève, on l’est jusqu’au bout !

Nous nous sommes enfin intéressés au statut du RSSI vis-à-vis de sa responsabilité, et notamment pénale. Et il semble que le sujet mérite que l’on s’y intéresse de près au sein des entreprises tant rien n’a été fait. Ainsi pour 63,6% des participants le sujet de la délégation de la responsabilité pénale de l’entreprise à son RSSI n’a tout simplement jamais été abordé ! (mais il faut dire que dans 22,7% des entreprises présentes la délégation est sur le DSI et non sur le RSSI). Pire : pour 9,1% d’entre eux la délégation existe bien, mais seulement de manière tacite, sans aucune formalisation.

Au total seulement 4,5% des participants disent avoir reçu une délégation formelle, bien encadrée, de la part de leur entreprise.

Mais attention : ce n’est pas tout de vouloir déléguer. Pour qu’une délégation de responsabilité soit effective, il existe des pré-requis. Notamment, pour le RSSI, une indépendance effective et la présence de moyens (matériels, humains, techniques et financiers) suffisants pour mener à bien sa mission. Or pour 66,7% des participants ces conditions ne sont pas réunies au sein de leur entreprise, ce qui rend une délégation au mieux impossible et au pire dangereuse pour le RSSI.

Et pourtant, en dépit de ces difficultés, la question mérite vraiment d’être abordée. Car lors de notre sondage aucun des participants n’a pu dire si son entreprise avait anticipé la mise en cause pénale de son RSSI dans le cadre d’un plan de continuité d’activité. Autrement dit si, durant une crise, son responsable de la sécurité pourra être à la manoeuvre et non pas en détention.

C’est la première fois dans l’histoire du CSO Interchange que nous obtenons 0% à une réponse de notre sondage. Dans le détail, une majorité des participants (68,2%) sait que cela n’a pas été pris en compte et le reste (31,8%) ne sait pas répondre. Autrement dit, la délégation pénale du RSSI dans son entreprise, et l’impact que cela pourrait avoir dans le cadre d’une attaque ou d’une crise majeure, demeure un sujet important et non-traité.