Les dirigeants identifient mieux le rôle de leurs responsables sécurité

“ Jusque-là plutôt “ Doctor No ”, les responsables sécurité sont passés au “ Yes, we can ” ”, schématise Pierre-Luc Réfalo. Ce directeur associé chez Hapsis est à l'origine de l'étude “ Vision des dirigeants sur la fonction sécurité des systèmes d'information ”, réalisée par le Cercle européen de la sécurité auprès d'une vingtaine d'entreprises, tous secteurs confondus. Il en ressort que le responsable de la sécurité du système d'information (RSSI) ne serait plus considéré comme un collaborateur uniquement technique, mais comme un élément important sur l'opérationnel. Un facilitateur business, même.Rien de neuf pour qui s'intéresse à la profession, mais une agréable surprise quand on sait à quel point la sécurité est négligée par nombre d'acteurs du marché. “ Nous avons parfois l'impression que notre mission est méconnue des hautes sphères de l'entreprise, et même qu'il existe une tendance à en avoir une vision négative. Un a priori qui se révèle infondé ”, se réjouit Jean-François Louâpre, responsable sécurité d'AG2R La Mondiale. Cette bascule s'expliquerait, notamment, par la forte médiatisation, depuis deux ans, d'incidents liés à la sécurité informatique.Présentée aux Assises de la sécurité à Monaco le mois dernier, cette étude se voulait détachée de toutes considérations communautaristes. D'où le prisme direction générale choisi pour se faire une idée concrète du profil recherché. Si la fonction de responsable de sécurité du système d'information évolue, difficile de prévoir comment : “ Une grande variété de RSSI émerge et aucun ne se ressemble. Ce qui est assez symptomatique de la jeunesse de cette profession. Concrètement, j'ai beaucoup plus de facilités à identifier les différentes typologies adressant le métier de DSI ”, illustre Caroline Apffel, consultante du cabinet Heidrick & Struggles.Le RSSI est attendu par les dirigeants sur quatre points principaux : la communication, la gestion du dialogue, celle du risque, et l'architecture sécurité. Dès lors, rien d'étonnant à ce que les dirigeants parlent de fonction clé ou de collaborateur générateur “ d'inconfort utile ”.

L'ancienneté comme gage de confiance

Il transparaît également que la fonction a besoin de professionnels très expérimentés. L'expérience serait une garantie de la capacité à s'adapter aux métiers et aux enjeux de l'entreprise. Bernard Foray, RSSI du groupe Casino, ajoute “ qu'un senior de l'entreprise est parfois préféré à un spécialiste externe, étant donné le besoin de connaissance du périmètre et de l'activité de la société pour mener à bien la mission ”. D'ailleurs, selon les cabinets de recrutement, les RSSI sont souvent issus de la mobilité interne.Autre surprise de cette étude : pour les directeurs généraux ayant répondu à l'enquête, cette fonction demande une certaine indépendance. “ Un responsable sécurité doit pouvoir apporter une vision claire sur les risques, pour l'entreprise, liés à son système d'information ”, précise Pascal Basset, responsable conformité et sécurité du système d'information du PMU. Les RSSI présents lors de la présentation à Monaco ont toutefois été surpris que les dirigeants n'aient jamais évoqué les questions de moyens, ni celles des équipes. “ Ils ne parlent pas non plus d'objectifs livrables et de critères de succès, tels que les certifications ou les indicateurs. ”