Une étude du cabinet PAC, réalisée pour Kaspersky Lab, révèle que le rôle du responsable de la sécurité des systèmes d’information évolue également pour devenir plus managérial et collaboratif. Mais pas au point de les intégrer au Comex…
Une étude du cabinet PAC, société du groupe CXP, réalisée pour le compte de Kaspersky Lab, révèle que parallèlement à la progression de la transformation numérique qui touche non seulement l’informatique et les métiers mais aussi la cybersécurité, le rôle du responsable de la sécurité des systèmes d’information (RSSI) évolue également pour devenir plus managérial et collaboratif.
Face aux risques croissants, la cybersécurité est devenue un catalyseur-clé de la transformation numérique, protégeant l’entreprise et ses écosystèmes, mais aussi permettant cette transformation. « Pour relever ces défis, le rôle du responsable de la sécurité des systèmes d’information est également en train de se transformer », a déclaré Mathieu Poujol, responsable de la cybersécurité chez PAC.
Le rôle des RSSI au sein de leurs entreprises respectives peut être caractérisé en fonction des indicateurs de performance clés qu’ils utilisent, du service pour lequel ils travaillent et de leurs tâches les plus importantes. Ces indicateurs de performance reflètent les priorités du RSSI : protéger l’entreprise des cybermenaces et de leur impact, réduire les vulnérabilités, résoudre les problèmes de conformité et maintenir les budgets sur la bonne voie.
Si l’on examine la manière dont les performances des RSSI sont mesurées, on peut observer des différences significatives entre les indicateurs de performance, en fonction de la durée de la fonction de RSSI. Il est intéressant de constater que les RSSI en poste depuis peu de temps, sont moins bien notés pour tous les indicateurs de performance clés. Les différences entre les régions géographiques sont importantes. Par exemple, la qualité et la rapidité de traitement des incidents sont un indicateur de performance clé pour 80 % des RSSI interrogés dans la région APAC, alors que seulement 68 % des RSSI en Amérique latine sont évalués en fonction de cet indicateur.
Au sein des RSSI qui pensent ne pas être suffisamment impliqués dans les décisions métiers, 9 % sont moins souvent évalués en fonction de l’incidence des infractions graves et 10 % en fonction des antécédents de conformité. Cela semble refléter le plus faible niveau d’implication des RSSI dans les décisions business au sein de l’entreprise.
Si la participation est une chose, la hiérarchie organisationnelle en est une autre. « Habituellement, on s’attendrait à ce qu’un responsable de la sécurité des systèmes d’information fasse partie des comités exécutifs. Cependant, seuls 26 % des RSSI interrogés font partie du comité exécutif et assistent à toutes les réunions », souligne Wolfgang Schwab, consultant principal chez PAC. Avoir un RSSI au niveau exécutif n’est généralement une réalité que pour les entreprises hautement numérisées, très sensibles, ainsi que pour les très grandes organisations. Ceci est souvent synonyme de maturité élevée en matière de cybersécurité. Cependant, 58 % des RSSI interrogés dans l’étude pensent être suffisamment impliqués dans la prise de décision.
De même, seuls 25 % des RSSI interrogés ne faisant pas partie du comité exécutif pensent qu’ils devraient en faire partie. Les autres sont satisfaits du poste qu’ils occupent actuellement. En Europe, 41 % des RSSI qui ne font pas partie du comité exécutif pensent qu’ils devraient y être.
L’une des conclusions de l’étude est qu’une grande majorité des RSSI ne se voient pas comme des dirigeants métiers, ce qui est normalement un élément clé d’un rôle au niveau CxO, mais plutôt comme des experts du domaine. Les responsables de la cybersécurité font partie des rôles les plus techniques de l’entreprise et sont évalués en ce sens.
Par contre, les RSSI qui souhaitent renforcer leur implication dans les activités métiers sont plus souvent sollicités par le comité exécutif que les RSSI qui ne le souhaitent pas. De plus, les RSSI qui ont un bon réseau au sein de leur organisation et qui sont les plus prêts à s’impliquer dans les activités de leur entreprise sont plutôt perçus comme une source de conseils plus précieuse que leurs pairs sans ce niveau d’engagement. Ceci reflète une tendance des profils RSSI du futur : ils doivent être plus proches des différentes activités de l’entreprise et se concentrer sur les risques métiers.