Les RSSI jouent des coudes pour imposer leurs règles

18/05/2007 à 00h00

Bilan flatteur pour les responsables sécurité. Mais l'enquête menée par Devoteam en partenariat avec 01 Informatique révèle quelques accrocs dans l'organisation et les budgets.

Contents d'eux ! A la question de savoir si les mesures de sécurité sont satisfaisantes dans leurs entreprises, les responsables de la sécurité des systèmes d'information (RSSI) répondent par l'affirmative à 60 %. 62 % d'entre eux affirment aussi que leur infrastructure peut affronter sereinement des attaques. Le bilan de l'étude menée auprès de 130 RSSI européens, en préambule du Forum Eurosec^(*) qui se tiendra à Paris du 23 au 25 mai, laisse pourtant apparaître un panorama plus nuancé. D'un côté, le constat est plutôt flatteur. Les RSSI se montrent matures dans leurs choix et s'appuient sur des solutions tout aussi mûres. De l'autre, malgré leurs efforts, ils peinent toujours à apparaître comme une force de proposition auprès des directions métier et des dirigeants de l'entreprise. Bien qu'ils restent en contact très étroit avec les DSI, voire les directions générales, ils éprouvent certaines difficultés à faire accepter leurs préconisations. Seul un sur deux estime que son entreprise tient toujours compte des questions liées aux systèmes de sécurité. Pire : 68 % affirment que leurs dirigeants ne mesurent pas les bénéfices de la sécurité sur le plan économique. Néanmoins, 64 % reconnaissent que, pour leur DG, celle-ci fait partie des axes de stratégie. Il résulte de cette analyse une impression de flottement, notamment au niveau des budgets. Ainsi, 47 % des RSSI reconnaissent ne pas être informés de la ventilation des investissements informatiques de leur entreprise qui les concernent ; 43 % déclarant ne pas avoir de ligne budgétaire définie pour l'année à venir. Concernant ceux qui tiennent les cordons de leur bourse, les sommes sont pourtant en hausse. Le budget sécurité aurait augmenté pour 39 % d'entre eux, et serait équivalent à 2006 pour 47 %.

Des budgets jugés trop faibles

Quant au montant lui-même, il atteint en moyenne 4 % du budget total alloué au SI pour 47 % des RSSI. ' Pas assez ! ', jugent d'ailleurs un quart des RSSI interrogés, persuadés que leurs projets de sécurité n'ont pu être correctement menés faute d'un budget suffisant, voire de temps (pour 36 %) - ce qui est un peu lié. Paradoxalement, ils sont de plus en plus sollicités pour les chantiers du futur. Aussi, 75 % des répondants déclarent être directement ou indirectement chargés des problématiques de mise en conformité réglementaire. Au travers des audits qu'ils mènent, ils ont leur mot à dire dans la gestion des systèmes opérationnels, de production, etc. Ils ' montent aussi en gamme '. Aujourd'hui, ils assument en totalité les charges de la gestion de risque et de la continuité d'activité. Des chantiers tels le filtrage de contenu, la défense antivirale ou l'antipiratage, l'administration, les infrastructures PKI, la gestion des patchs, entamés en 2006, restent d'actualité. Mais, pour 40 % des entreprises, la gestion des risques et la continuité d'activité comptent davantage parmi les priorités de 2007. L'indisponibilité de leur SI reste l'une de leurs craintes majeures.f.simottel@01informatique.presse.fr(*) www.devoteam.fr/eurosec/2007 www.01blog.fr/1905

4 questions à... : Hervé Morizot, directeur de Devoteam Consulting-XP Conseil, cabinet de conseil en sécurité

Le rôle du RSSI s'est-il un peu stabilisé en 2007 ?
' Pas vraiment. Le virage a été plus marquant en 2005, où il s'est imposé au sein des DSI et des directions générales. Cette année, il s'est émancipé plus en douceur, et ses fonctions se sont étoffées vers la gestion des risques. 75 % des personnes interrogées se reconnaissent comme des éléments importants de leur organigramme. En quelques années, le RSSI est passé de la gestion du plan de secours informatique à celle de la continuité d'activité et du plan global de reprise. '

Est-il aussi moins seul ?
' La synergie entre acteurs de la sécurité - du RSSI au patron de la gestion des risques, en passant par les directions audit et les responsables de la continuité - s'est, en effet, accrue. Au sein du service sécurité, on note aussi une meilleure distribution des rôles. La répartition des équipes est équilibrée entre la maîtrise d'ouvrage (mise en place des politiques, des chartes, de la gestion des risques, des actions de sensibilisation, etc.) et la maîtrise d'?"uvre (gestion opérationnelle et administration). '

La mise en conformité redore-t-elle toujours le blason du RSSI ?
' En 2006, les contraintes réglementaires rendaient incontournable la gestion globale des risques. C'est encore plus vrai cette année. Mais certains chiffres étonnent. Un tiers des entreprises soumises à ces réglementations déclarent ne pas être en conformité. Côté légal, le constat est plus sévère - 18 % des RSSI affirment ne pas avoir besoin d'être conformes à la législation Informatique et libertés (...). '

Y a-t-il des surprises dans le bilan sur la sécurité ?
' La lutte contre la fraude n'est que peu présente (7 %), tout comme la prise en compte des problèmes liés à l'intelligence économique (2 %). La nécessaire mise à jour d'une cartographie des risques nest pas non plus traitée. '

Frédéric Simottel