Nous avons soumis à la question les RSSI et personnels opérationnels présents lors du CSO Interchange 2011 à Paris. De la protection des données personnelles en passant par les budgets, les projets ou les idées reçues, notre sondage express met en lumière le quotidien des RSSI.

Protection des données personnelles : c’est tout ou rien.

Face à la nomination d’un Correspondant Informatique & Libertés, il n’y a pas de juste milieu : les participants interrogés sont soit attentistes (« nous n’avons pas de CIL et pourtant nous sommes concernés« , pour 42,3%) soit en avance (« nous avons un CIL depuis plusieurs années déjà« , pour 30,8% d’entre eux). En ajoutant à ce dernier chiffre les RSSI qui font déjà office de CIL (3,8%) et les entreprises qui viennent tout juste d’en nommer un (7,7%), on obtient en définitive un certain équilibre entre les celles « qui font » et celles qui attendent.

Cette situation très tranchée s’explique probablement par le fait que la loi concernant la nomination du Correspondant Informatique & Liberté n’est pas encore appliquée, et les contrôles de conformité à la loi actuelle plutôt rares (79,6% des participants interrogés reconnaissent n’avoir jamais subi de contrôle sur place de la CNIL)

A l’heure actuelle le fait d’avoir ou non un CIL dans l’entreprise semble essentiellement lié à la sensibilité de la Direction Générale à ce sujet. A la question de savoir si la DG se préoccupe ou non de la protection des données personnelles, l’on retrouve une majorité de DG sensibilisées : 43,9% d’entre elles se sont inquiétées depuis longtemps de savoir comment leur entreprise protège les données personnelles qu’elle héberge et 17,5% l’ont fait récemment. Seules 38,6% des Directions Générales ne se sont pas encore préoccupées du sujet à ce jour.

Enfin l’impact des dernières grandes affaires de vol de données (Sony, Epsilon, etc…) est limité : pour la grande majorité des participants (75,4%) celles-ci n’ont rien changé à leur mission quotidienne. Certains toutefois en ont tout de même profité (nouveaux budgets et nouvelles missions pour 10,5% d’entre eux), tandis que d’autres en ont souffert (nouvelles missions, nouvelles responsabilités, mais sans nouveaux budgets pour 14% des participants).

Mobilité : les smartphones gagnent la partie, mais Android fait peur.

Une grande majorité (70,9%) des entreprises présentes disent autoriser ou supporter les smartphones sur leur réseau. Autant dire que les jeux sont faits. Les tablettes, en revanche, doivent encore faire leurs preuves : 50% des RSSI interrogés les autorisent sur le réseau.

Cependant tous les smartphones ne sont pas nés égaux aux yeux des RSSI. A la question de savoir quel système d’exploitation mobile ces derniers trouvent le plus difficile à contrôler, Android arrive en tête avec 26,4% des votes. Il est suivi par iOS ou Symbian, tous deux à quasi-égalité (21,5%). Arrive ensuite Windows Mobile (18,8%). Et sans grande surprise, le BlackberryOS de RIM arrive bon dernier : il s’agit donc du système le plus facile à sécuriser aux yeux des RSSI (mais nous avouons humblement qu’ils s’agissait ici plutôt d’une réponse de contrôle, tant nous nous attendions à ce résultat !)

Il reste cependant de l’espoir pour ceux qui voudraient améliorer les choses : la vaste majorité des participants (74,1%) n’a pas encore déployé de solution tierce destinée à sécuriser une flotte de smartphones. Et nous pouvons le comprendre tant ce marché peine encore à trouver ses marques (lire à ce sujet notre compte-rendu de la table ronde consacrée au sujet : le marché et ses solutions sont encore vu comme peu mûr). L’espoir pourrait cependant venir de RIM, qui annonçait récemment vouloir gérer également Apple iOS et Android avec ses Blackberry.

Budgets et équipes : une embellie

La plupart des RSSI interrogés estiment que 2011 sera une plutôt bonne année : un tiers d’entre eux voient leur budget sécurité augmenter par rapport à 2010 tandis que 54,4% conservent la même enveloppe. Seuls 12,3% des participants disent souffrir d’une réduction de budget cette année.

Sans grande surprise cette embellie se retrouve au niveau des ressources allouées à la sécurité. Ce sont avant tout les prestataires extérieurs qui en profitent : 20,7% des équipes sécurité sont renforcées par de la prestation externe, 15,5% par des embauches nouvelles et 15,5% par de la mobilité interne.

Une large majorité des équipes SSI sortiront donc renforcées de 2011. Pour les autres, 39,7% demeurent à effectif égal et seule une minorité (8,6%) subit une réduction de personnel.

Projets : priorité au risque et à l’opérationnel

Pragmatiques, nos RSSI vont concentrer cette année leurs efforts sur deux axes essentiels. D’abord une meilleure gestion du risque et de la conformité, pour 32% d’entre eux. Et ensuite sur l’opérationnel, pour 26,4% des participants (sécurité du poste de travail, mobilité, etc). Viennent alors les projet de supervision (SIEM, analyse de logs, etc…) pour 22,8% d’entre eux, et, en bons derniers, les projets de sensibilisation (18,8%).

Attention toutefois à l’interprétation de ces chiffres : nous avons demandé à nos RSSI à quel domaine ils allaient consacrer la plus grande partie de leur budget annuel, et non pas la répartition de ce dernier entre les différents types de projets.
Il semble donc logique que des projets plus lourds ou plus structurants arrivent en tête. Et contrairement aux apparences, c’est donc plutôt une nouvelle d’apprendre que presque 19% des sondés envisagent de consacrer la plus grande part de leur budget 2011 à la sensibilisation.

J’y crois, j’y crois pas : la traque aux idées reçues

Conclusion ludique de notre sondage, le « J’y crois / J’y crois pas » confronte les RSSI aux buzzes du moment. Y adhèrent-ils ?

Nous apprenons que la grande majorité des RSSI interrogés (75,5%) estime que les APT (Advanced Persistant Threats) sont une menace sérieuse et non un terme marketing.

Ils sont également nombreux (69,1%) à penser que le périmètre vit ses dernières années. En revanche les tendances trop radicales ne passent pas : une vaste majorité de nos RSSI (74,5%) n’est pas encore prête à faire l’économie d’un antivirus sur les postes de travail. Ce chiffre est sommes toute parfaitement cohérent avec le même nombre qui considèrent les APT comme une vraie menace. Editeurs d’antivirus, vous savez ce qui vous reste à faire : être réellement efficaces face aux APT (bon courage…)

Du côté de leur carrière, nos RSSI restent enfin relativement optimistes quant à leur rôle dans l’entreprise. Ils sont ainsi une large majorité à ne pas croire à l’affirmation selon laquelle « CIL et Risk Managers feront à terme du RSSI un exécutant« . Tant mieux !