Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Ce qu’il faut pour être un RSSI : de la réussite et du leadership en matière de sécurité IT d’entreprise

novembre 2018 par PAC, société du groupe CXP, réalisée pour le compte de Kaspersky

Une nouvelle étude de PAC, société du groupe CXP, réalisée
pour le compte de Kaspersky Lab, révèle que parallèlement à la progression de la
transformation numérique qui touche non seulement l’informatique et les métiers mais
aussi la cybersécurité, le rôle du responsable de la sécurité des systèmes d’information
(RSSI) évolue également pour devenir plus managérial et collaboratif.
Notre monde est de plus en plus digitalisé et ce n’est plus seulement une option pour les
entreprises. La tendance actuelle à la transformation numérique a ouvert les économies, les
entreprises et les systèmes d’information, les rendant plus agiles et connectés, mais aussi plus
vulnérables et plus exposés aux menaces. Face à ces risques croissants, la cybersécurité est
devenue un catalyseur-clé de la transformation numérique, protégeant l’entreprise et ses
écosystèmes, mais aussi permettant cette transformation. « Pour relever ces défis, le rôle du
responsable de la sécurité des systèmes d’information est également en train de se transformer
 », a déclaré Mathieu Poujol, responsable de la cybersécurité chez PAC.

Comment la performance des RSSI est-elle mesurée ?

Le rôle des RSSI interrogés au sein de leurs entreprises respectives peut être caractérisé en
fonction des indicateurs de performance clés qu’ils utilisent, du service pour lequel ils travaillent
et de leurs tâches les plus importantes. Ces indicateurs de performance reflètent les priorités du
RSSI : protéger l’entreprise des cybermenaces et de leur impact, réduire les vulnérabilités,
résoudre les problèmes de conformité et maintenir les budgets sur la bonne voie.

Si l’on examine la manière dont les performances des RSSI sont mesurées, on peut observer des
différences significatives entre les indicateurs de performance, en fonction de la durée de la
fonction de RSSI. Il est intéressant de constater que les RSSI en poste depuis peu de temps, sont
moins bien notés pour tous les indicateurs de performance clés. Les différences entre les régions
géographiques sont importantes. Par exemple, la qualité et la rapidité de traitement des incidents
sont un indicateur de performance clé pour 80% des RSSI interrogés dans la région APAC, alors
que seulement 68% des RSSI en Amérique latine sont évalués en fonction de cet indicateur.
Au sein des RSSI qui pensent ne pas être suffisamment impliqués dans les décisions métiers, 9
% sont moins souvent évalués en fonction de l’incidence des infractions graves et 10% en fonction des antécédents de conformité. Cela semble refléter le plus faible niveau d’implication des RSSI
dans les décisions commerciales au sein de l’entreprise.

Participation du RSSI au sein du comité exécutif

Si la participation est une chose, la hiérarchie organisationnelle en est une autre.
« Habituellement, on s’attendrait à ce qu’un responsable de la sécurité des systèmes d’information
fasse partie des exécutifs. Cependant, seuls 26% des RSSI interrogés font partie du comité
exécutif et assistent à toutes les réunions », déclare Wolfgang Schwab, consultant principal chez
PAC. Avoir un RSSI au niveau exécutif n’est généralement une réalité que pour les entreprises
hautement numérisées, très sensibles, ainsi que pour les très grandes organisations. Ceci est
souvent synonyme de maturité élevée en matière de cybersécurité. Cependant, 58 % des RSSI
interrogés dans notre étude pensent être suffisamment impliqués dans la prise de décision.
De même, seuls 25% des RSSI interrogés ne faisant pas partie du comité exécutif pensent qu’ils
devraient en faire partie. Les autres sont satisfaits du poste qu’ils occupent actuellement. En
Europe, 41 % des RSSI qui ne font pas partie du comité exécutif pensent qu’ils devraient y être
et seulement 13 % des RSSI interrogés dans la CEI (Communauté des États indépendants) ne
faisant pas partie de ce comité le pensent également.
L’une des conclusions de l’étude est qu’une grande majorité des RSSI ne se voient pas comme
des dirigeants métiers, ce qui est normalement un élément clé d’un rôle au niveau CxO, mais
plutôt comme des experts du domaine. Les responsables de la cybersécurité font partie des rôles
les plus techniques de l’entreprise et sont évalués en ce sens.

Par contre, les RSSI qui souhaitent renforcer leur implication dans les activités métiers sont plus
souvent sollicités par le comité exécutif que les RSSI qui ne le souhaitent pas. De plus, les RSSI
qui ont un bon réseau au sein de leur organisation et qui sont les plus prêts à s’impliquer dans les
activités de leur entreprise sont plutôt perçus comme une source de conseils plus précieuse que
leurs pairs sans ce niveau d’engagement. Ceci reflète une tendance des profils RSSI du futur : ils
doivent être plus proches des différentes activités de l’entreprise et se concentrer sur les risques
métiers. Certaines grandes entreprises ont d’ailleurs déjà un RSSI qui ne fait pas partie du service
informatique.


A propos de l’étude

L’étude PAC, « What It Takes to Be a CISO : Success and Leadership in Corporate IT Security »
(« Ce qu’il faut pour être un RSSI : de la réussite et du leadership en matière de sécurité IT
d’entreprise »), cherche à répondre à ces questions, et plus encore. Réalisée par PAC pour le
compte de Kaspersky Lab, elle analyse le statu quo et les développements futurs du rôle et de
l’organisation du RSSI à l’échelle mondiale. Elle est basée sur une enquête CATIE menée auprès
de 250 entreprises du monde entier auprès de RSSI ou de leurs équivalents, ainsi que sur 11
entretiens avec des experts. Cette étude sera une étude annuelle. Il s’agit ici de la première,
réalisée à l’été 2018.


Voir les articles précédents

    

Voir les articles suivants