Une nouvelle étude de PAC, société du groupe CXP, réalisée pour le compte de Kaspersky Lab, révèle que parallèlement à la progression de la transformation numérique qui touche non seulement l’informatique et les métiers mais aussi la cybersécurité, le rôle du responsable de la sécurité des systèmes d’information (RSSI) évolue également pour devenir plus managérial et collaboratif.
Notre monde est de plus en plus digitalisé et ce n’est plus seulement une option pour les entreprises. La tendance actuelle à la transformation numérique a ouvert les économies, les entreprises et les systèmes d’information, les rendant plus agiles et connectés, mais aussi plus vulnérables et plus exposés aux menaces. Face à ces risques croissants, la cybersécurité est devenue un catalyseur-clé de la transformation numérique, protégeant l’entreprise et ses écosystèmes, mais aussi permettant cette transformation. « Pour relever ces défis, le rôle du responsable de la sécurité des systèmes d’information est également en train de se transformer », a déclaré Mathieu Poujol, responsable de la cybersécurité chez PAC.
Comment la performance des RSSI est-elle mesurée ?
Le rôle des RSSI interrogés au sein de leurs entreprises respectives peut être caractérisé en fonction des indicateurs de performance clés qu’ils utilisent, du service pour lequel ils travaillent et de leurs tâches les plus importantes. Ces indicateurs de performance reflètent les priorités du RSSI : protéger l’entreprise des cybermenaces et de leur impact, réduire les vulnérabilités, résoudre les problèmes de conformité et maintenir les budgets sur la bonne voie (fig. 1).
Si l’on examine la manière dont les performances des RSSI sont mesurées, on peut observer des différences significatives entre les indicateurs de performance, en fonction de la durée de la fonction de RSSI. Il est intéressant de constater que les RSSI en poste depuis peu de temps, sont moins bien notés pour tous les indicateurs de performance clés. Les différences entre les régions géographiques sont importantes. Par exemple, la qualité et la rapidité de traitement des incidents sont un indicateur de performance clé pour 80% des RSSI interrogés dans la région APAC, alors que seulement 68% des RSSI en Amérique latine sont évalués en fonction de cet indicateur.
Au sein des RSSI qui pensent ne pas être suffisamment impliqués dans les décisions métiers, 9 % sont moins souvent évalués en fonction de l’incidence des infractions graves et 10% en fonction des antécédents de conformité. Cela semble refléter le plus faible niveau d’implication des RSSI dans les décisions commerciales au sein de l’entreprise.
Participation du RSSI au sein du comité exécutif
Si la participation est une chose, la hiérarchie organisationnelle en est une autre.
« Habituellement, on s’attendrait à ce qu’un responsable de la sécurité des systèmes d’information fasse partie des exécutifs. Cependant, seuls 26% des RSSI interrogés font partie du comité exécutif et assistent à toutes les réunions », déclare Wolfgang Schwab, consultant principal chez PAC.
Avoir un RSSI au niveau exécutif n’est généralement une réalité que pour les entreprises hautement numérisées, très sensibles, ainsi que pour les très grandes organisations. Ceci est souvent synonyme de maturité élevée en matière de cybersécurité. Cependant, 58 % des RSSI interrogés dans notre étude pensent être suffisamment impliqués dans la prise de décision.
De même, seuls 25% des RSSI interrogés ne faisant pas partie du comité exécutif pensent qu’ils devraient en faire partie. Les autres sont satisfaits du poste qu’ils occupent actuellement. En Europe, 41 % des RSSI qui ne font pas partie du comité exécutif pensent qu’ils devraient y être et seulement 13 % des RSSI interrogés dans la CEI (Communauté des États indépendants) ne faisant pas partie de ce comité le pensent également.
L’une des conclusions de l’étude est qu’une grande majorité des RSSI ne se voient pas comme des dirigeants métiers, ce qui est normalement un élément clé d’un rôle au niveau CxO, mais plutôt comme des experts du domaine. Les responsables de la cybersécurité font partie des rôles les plus techniques de l’entreprise et sont évalués en ce sens.
Les RSSI comme source de conseils
Par contre, les RSSI qui souhaitent renforcer leur implication dans les activités métiers sont plus souvent sollicités par le comité exécutif que les RSSI qui ne le souhaitent pas. De plus, les RSSI qui ont un bon réseau au sein de leur organisation et qui sont les plus prêts à s’impliquer dans les activités de leur entreprise sont plutôt perçus comme une source de conseils plus précieuse que leurs pairs sans ce niveau d’engagement. Ceci reflète une tendance des profils RSSI du futur : ils doivent être plus proches des différentes activités de l’entreprise et se concentrer sur les risques métiers. Certaines grandes entreprises ont d’ailleurs déjà un RSSI qui ne fait pas partie du service informatique.
A propos de l’étude
L’étude PAC, « What It Takes to Be a CISO: Success and Leadership in Corporate IT Security » (« Ce qu’il faut pour être un RSSI : de la réussite et du leadership en matière de sécurité IT d’entreprise »), cherche à répondre à ces questions, et plus encore. Réalisée par PAC pour le compte de Kaspersky Lab, elle analyse le statu quo et les développements futurs du rôle et de l’organisation du RSSI à l’échelle mondiale. Elle est basée sur une enquête CATIE menée auprès de 250 entreprises du monde entier auprès de RSSI ou de leurs équivalents, ainsi que sur 11 entretiens avec des experts. Cette étude sera une étude annuelle. Il s’agit ici de la première, réalisée à l’été 2018.
L’étude est maintenant disponible en téléchargement