La mise en conformité redore le blason du RSSI

Sarbanes-Oxley, Bâle II, CRBF, etc. Finalement, la rengaine réglementaire a du bon. En tout cas, pour les responsables de la sécurité des systèmes d'information (RSSI). Car, si l'on en croit l'étude exclusive de 01 Informatique réalisée en partenariat avec Devoteam en préambule du Forum Eurosec, qui se tiendra à Paris du 3 au 5 avril, les RSSI français sont de plus en plus reconnus dans leur entreprise. Ils se rapprochent même à grands pas de la direction générale. Et pour cause : 86 % d'entre eux sont désormais impliqués dans les processus de mise en conformité réglementaire. Ainsi, l'audit sécurité semble enfin être entré dans les m?"urs. Que ce soit pour des systèmes opérationnels, pour ceux devant être mis en production, ou encore pour des audits récurrents, deux tiers des entreprises interrogées ont déjà fait réaliser un audit sécurité et un tiers envisage de le faire. Chacun veut désormais savoir où il en est. Car la gestion globale des risques est rendue incontournable par les réglementations.On comprend donc pourquoi les budgets sécurité augmentent. Sur la moyenne des sondés, ils se situent autour de 5 % du budget informatique ou de l'entité de rattachement. Mais, comme les autres années, la quote-part sécurité reste toujours aussi imprécisément définie.

Un manque de moyens récurrents

Il n'empêche, malgré l'augmentation des budgets, les RSSI estiment toujours ne pas avoir suffisamment de personnel ni de moyens pour mener leur action. Cela se traduit notamment par la faible part allouée à la formation. Mais les analystes restent confiants. Avec l'arrivée du RSSI au plus haut niveau de l'organigramme et l'implication de la direction générale, la situation devrait s'améliorer en 2006.Ajoutons qu'il serait injuste de n'attribuer ces progrès qu'aux épouvantails réglementaires. L'action des RSSI au quotidien se voit également reconnue. On le constate notamment par la priorité donnée à la continuité d'activité en 2005. Certes, la lutte virale et la protection de l'infrastructure accaparent les ressources et les esprits. Mais elles ont perdu 12 points en deux ans, signe de la maturité des utilisateurs, des équipes et des solutions. On notera, par ailleurs, qu'aucune nouvelle forme ravageuse de virus n'a vu le jour en 2005, contrairement à Sasser ou Blaster les années précédentes. Les mises à jour automatiques et les efforts d'information consentis par Microsoft portent doucement leurs fruits.Au final, le panorama sécurité 2006 se révèle plutôt flatteur. Sauf sur un point : plus de la moitié des RSSI français sondés avouent ne pas être en conformité avec la loi informatique et libertés ou, pire, ne pas savoir si l'entreprise lest. Une situation qui contraste avec les RSSI étrangers, lesquels se disent à la page concernant toute une série de normes (BS7799, ISO/IEC 1799 ou 27001). Y aurait-il un retard français ?a.mbida@01informatique.presse.fr