Le CSO Interchange est l’occasion de sonder chaque année un petit panel de professionnels de la sécurité afin de mieux cerner leurs préoccupations du moment et l’évolution de la profession. Bien qu’il n’y ait aucune prétention scientifique à cet exercice, il permet souvent de dégager des tendances instructives.

Nous avons cette année interrogé les participants sur sept thèmes :

• Leur perception de la « cyber-intelligence »  (effet de mode ou besoin réel ?)
• Leur pratique de la veille sur les nouveaux usages IT (et les risques associés)
• Leur pratique de la surveillance continue du SI
• L’évolution de leurs compétences professionnelles (à quel rythme doivent-ils acquérir de nouvelles compétences ?)
• L’évolution de la fonction RSSI au sein de l’entreprise
• Leur collaboration avec les autres fonctions de l’entreprise
• Leur avis quant aux projets de réglementation européennes en matière de sécurité du SI

La cyber-intelligence

Pour les participants au CSO Interchange, la cyber-intelligence est avant tout lié à la veille traditionnelle. Pour une majorité d’entre eux (44%), il s’agit d’une évolution du concept de la veille. Seuls 27% y voient une approche totalement différente.

Ils sont une minorité à ne pas y croire. Pour 22% des sondés la cyber-intelligence n’est que le nouveau nom de la veille stratégique classique, et pour 7% il s’agit d’un buzzword sans substance.

Le marché, toutefois, a toutes les chances de décoller malgré tout : seuls 10% des participants ne voient aucune utilité pour de la cyber-intelligence dans leur quotidien. Ils sont en revanche 61% à y voir une utilité concrète dès aujourd’hui, et 29% disent ne pas avoir de besoin actuels mais se poser tout de même la question pour l’avenir.

Veille et nouveaux usages

Comment les RSSI prennent-ils en compte l’irruption dans l’entreprise de nouvelles pratiques ou de nouveaux outils grand public pouvant présenter des risques inédits ?

Une grande majorité d’entre eux (68%) pratique une veille active de ces nouveaux usages, afin d’évaluer les nouvelles menaces qu’ils peuvent faire peser sur l’entreprise.

Lorsqu’une telle veille existe, elle a été majoritairement initiée sous l’impulsion de la SSI (34%), suivie de la Direction Générale (26%) et de la Direction Marketing ou innovation (23%). La DSI n’est que peu souvent initiatrice de tels projets (17%) et paradoxalement la Direction des Risques est totalement absente de ce processus (0%)

Nous avons ensuite tenu à demander aux participants quelle est leur réaction face aux pratiques que la presse leur présente comme étant de nouvelles tendances alors qu’ils ne voient encore rien dans leur entreprise (le BYOD ou le Cloud par le passé, le Big Data aujourd’hui). Dans leur grande majorité (88%), les participants se disent curieux par défaut. Les autres (12%) se disent neutres : ce n’est qu’un composant de leur veille parmi d’autres. Aucun en revanche ne s’estime sceptique par défaut (et tous dire lire la presse pour suivre ces questions)

La surveillance continue

Autre pratique émergente, la surveillance continue du SI, une vérification en temps réel des contrôles de sécurité, des évènements et des changements subits par le système d’information. Une telle approche fait le lien entre des projets de SIEM, de gestion automatisée des vulnérabilités, de mise en conformité et introduit des processus humains pour la réaction aux alertes 24/7.

Sans surprise, le sujet intéresse la totalité des participants. Ils sont 71% à dire avoir mis en place une forme de surveillance continue du SI, tandis que les autres ne l’ont pas encore fait mais s’y préparent.

Pour ceux qui disposent d’une telle surveillance continue, seuls 33% l’ont cependant mise en oeuvre sur l’ensemble de leur périmètre. La majorité (38%) n’y sont pas encore mais en étudient la faisabilité. Les autres (28%) ne voient pas la nécessité d’étendre la surveillance continue à l’ensemble de leur périmètre.

Les compétences de la SSI

Il semble évident qu’un professionnel des technologies de l’information se forme de manière continue tout au long de sa carrière. Mais pour nos participants, le rythme d’acquisition des nouvelles compétences s’est accru au cours des trois dernières années.

Ils sont ainsi 78% à reconnaitre avoir du acquérir plus de nouvelles compétences durant ces trois dernières années que ce qui leur avait été demandé jusqu’à présent (dans tous les domaines : communication, technique, management, business…).

Pour 20% d’entre eux cette accélération n’a pas été visible : ils estiment avoir certes du acquérir de nouvelles compétences afin de rester attractifs, comme tout professionnel des technologies de l’information, mais pas plus qu’avant.

Enfin, seulement 2% affirment n’avoir fait qu’entretenir leurs compétences existantes.

Le nouveau profil du RSSI

L’acceleration de l’acquisition de ces nouvelles compétences (ci-dessus) pourrait s’expliquer par les profonds changements opérés dans la fonction même. Lorsque l’on demande aux RSSI présents de classer par ordre d’importance leurs différents rôles dans l’entreprise, le résultat montre combien le RSSI est devenu un homme-orchestre dont l’on attend un ensemble de compétences très varié.

Voici selon les participants les fonctions du RSSI dans l’entreprise, classées par ordre d’importance (de la plus importante à la moins importante) :

• Un stratège
• Un communiquant
• Un expert
• Un politique (« influenceur« ) de l’entreprise
• Un manager
• Un gestionnaire de contrats

Il y a quelques années de cela, sous l’impulsion des offres Cloud, on pouvait lire que les RSSI craignaient de perdre en responsabilités et devenir de simples « gestionnaires de contrats » des solutions qu’ils externaliseraient. Mais l’on constate désormais exactement le contraire : l’on retrouve en tête du classement une fonction plus complète, plus riche – celle de stratège – tandis que celle de gestionnaire de contrat se retrouve en bas de classement. Les RSSI semblent ainsi se considérer aujourd’hui comme des atouts pluri-disciplinaires.

La fin de l’isolement dans l’entreprise

Si le RSSI pouvait jadis sembler être isolé dans l’entreprise, cette époque semble révolue. Une très grande majorité de nos participants (97%) estime ainsi que la profession est aujourd’hui largement plus ouverte aux autres fonctions de l’entreprise qu’il y a encore cinq ans.

A la question de savoir avec quelles fonctions de l’entreprise le RSSI collabore le plus, nos participants répondent (par ordre de fréquence) :

• La DSI
• Le juridique
• Le risque
• La DG
• Les achats
• La qualité
• La finance
• Le marketing

Sans surprise la SSI est encore très liée à la DSI, qui arrive en tête de ce classement. Mais l’irruption du juridique en seconde place confirme l’évolution de la fonction RSSI vers un rôle de support auprès de nombreux acteurs de l’entreprise.

L’on peut cependant regretter le peu de collaboration avec la finance (la SSI peut être active dans le cadre de la lutte contre les fraudes, y compris internes) et le marketing (qui aurait, selon certains RSSI interrogés, trop souvent tendance à lancer d’elle-même des opérations, des mini-sites et autres collectes de données personnelles sans les consulter…)

Durant la collaboration, le RSSI est majoritairement vu par les autres parties comme un expert, une force de proposition dont l’avis compte (48%). C’est encourageant, mais ils ne sont toutefois que 13% à se sentir considérés comme un véritable partenaire, un égal.

Moins flatteur en revanche : près d’un tiers d’entre eux (30%) s’estiment considérés comme une contrainte nécessaire : on n’apprécie pas forcément qu’ils soient associés aux discussions mais l’on peut tenir compte de leur avis le cas échéant. Et enfin, ils sont 10% à se considérer comme une obligation politique, présents pour la forme mais sans que l’on ne tienne compte de leur avis.

L’Europe

Les RSSI semblent bienveillants face aux projets européens de réglementation de la SSI, notamment en matière de protection des données à caractère personnel. Il s’agit « plutôt d’une bonne chose » pour une majorité de nos participants (58%) tandis que beaucoup « attendent de voir à l’usage » (42%), laissant à Bruxelles le bénéfice du doute. Pour aucun d’entre eux, en tout cas, ce n’est pour l’instant « une contrainte inutile ».

En revanche nos participants semblent persuadés que l’intérêt grandissant de l’Europe pour la SSI forcera nécessairement la profession de RSSI a évoluer. Mais là encore, ils sont une majorité (70%) à penser que cette évolution sera pour le bien (meilleur encadrement des pratiques, responsabilisation…) tandis que 8% estiment que ça sera pour le pire (perte d’autonomie, contrôles plus rigides, responsabilité juridique inutilement accrue…). Et enfin 22% d’entre eux estiment que cela ne changera strictement rien à leur quotidien.

Enfin, les professionnels de la SSI interrogés ne semblent pas favorables à un diplôme de RSSI, une formation, potentiellement européenne, qui autoriserait l’exercice du métier. Ils sont 65% à refuser une telle idée, contre à peine plus d’un tiers (35%) à y être favorables. La parution de notre dernier Poisson d’Avril consacré à l’existence d’un tel projet en a-t-elle effrayé plus d’un ?