Si le DSI est désormais bien connu en entreprise, et son rôle relativement compris, il n’en va pas toujours de même pour le RSSI. Parfois perçu comme un empêcheur de tourner en rond ou un opposant des métiers, il a pourtant évolué et, depuis l’explosion du risque cyber, ses missions doivent être mises en lumière. Article paru dans L'Informaticien n°198 (juillet-août 2021).
De quoi le Responsable de la sécurité des systèmes d’information est-il le nom ? La question est plus compliquée qu’il n’y paraît tant le rôle de la sécurité informatique en entreprise a évolué ces dernières années. Une étude de Netskope, menée à l’échelle européenne, tend à démontrer qu’entre l’équipe sécurité et l’équipe réseau, le courant ne passe pas toujours. Ainsi, 43% des professionnels de l’informatique interrogés expliquent que les équipes de sécurité et de réseau « ne travaillent pas vraiment ensemble ». Et pire encore, lorsqu’elles collaborent, plus de 40 % des équipes sécurité et réseau décrivent leurs relations comme «conflictuelles», «glaciales», dysfonctionnelles», «non pertinentes»… des relations mauvaises en somme.
Et encore, ce sont là des chiffres pour l’Europe entière. Réduits à l’Hexagone, ce sont certes 42 % des répondants qui estiment que les équipes réseau et sécurité ne travaillent pas vraiment ensemble, mais plus de la moitié (53%) des personnes de ces équipes qui reconnaissent ne jamais avoir rencontré en personne un membre de l’autre équipe, et 49% qui décrivent négativement ces relations. Notre réputation de Gaulois réfractaires y est sans doute pour quelque chose : «conflictuelles» revient chez 14% des répondants français au sujet de ces relations, contre un peu plus de 12% au niveau européen.
Quel mot définirait le mieux la relation entre vos équipes sécurité et réseau ?
« C’est un RSSI… qui fait non, non, non, non…»
Ce qui est d’autant plus problématique que ces deux équipes font dans près de la moitié des cas partie d’un seul et même département de leur organisation. Ce manque de coopération, de communication entre réseau et sécurité a des conséquences sur l’entreprise dans son ensemble, qui risque de ne pas profiter pleinement des bienfaits de la transformation numérique. C’est du moins l’avis de près de la moitié des interrogés pour cette étude. Et on comprend aisément les raisons de cette guerre froide entre sécurité et, au-delà du seul réseau, l’IT. « Le RSSI a été longtemps vu comme un empêcheur de tourner en rond », selon Benoît Fuzeau, vice-président du Clusif et lui-même RSSI.
En effet, le responsable de la sécurité est celui qui met des barrières, qui dit non au nom de la protection des ressources de l’entreprise. À l’opposé, la DSI a pour mission de fournir aux métiers les moyens et les outils pour être réactifs et performants par rapport à leurs besoins. Sans quoi les métiers passeront outre, ouvrant la porte au Shadow IT. S’y ajoute le fait que « avant, la sécurité était clairement vue comme une source de contraintes et de coûts très forts, avec des ressources humaines et techniques onéreuses », selon Édouard Bliek, le COO de StedY. Et ce, sans créer la moindre valeur apparente, contrairement à l’IT qui, dans le cadre de la transformation numérique des entreprises, est porteuse d’innovations pour que les métiers puissent mieux remplir leur mission.
Une évolution des postures
Mais ça, c’était avant. Avant que les attaques ne se multiplient, ne gagnent en puissance. « Le risque cyber est aussi un risque métier. Perdre des données a un impact financier, être victime d’un ransomware a un impact financier », souligne Neil Thacker, le CISO EMEA de Netskope. De fait, le RSSI s’impose, aux yeux d’Édouard Bliek, « comme quelqu’un qui va permettre de faire des économies par rapport à ces menaces ». Et il faut également composer avec les nouvelles contraintes réglementaires, de la directive NIS au RGPD. La posture du RSSI a évolué, et évolue encore. « La data est le nouvel or noir, elle permet aux entreprises de faire de la croissance sur leurs métiers. Il est donc crucial de sécuriser ces données quand elles sont stockées, quand elles sont transportées…», poursuit le COO de StedY; « Ce qui met en valeur le rôle du RSSI ». Mais si le RSSI a changé, s’il n’est plus seulement un vecteur de contraintes, pourquoi observe-t-on encore ces frictions entre l’IT et les équipes sécurité? « Ce qui évolue beaucoup plus lentement, c’est la perception, le ressenti que l’on peut avoir », estime Laurent Nézot, directeur des ventes France chez Yubico.
Tous les RSSI et tous les DSI ne se ressemblent pas, en fonction de la typologie d’entreprise. Leur hiérarchie elle-même varie, avec en filigrane cette éternelle question : le RSSI doit-il être rattaché à la DSI? Ce fut pendant longtemps le cas, mais cette situation est, elle aussi, amenée à changer. « Sur le sujet, il n’y a pas de réponse unanime car les modèles évoluent. Aujourd’hui le CISO peut reporter à la direction générale voire au conseil d’administration. Dans le reste des cas, il reporte au CIO », indique Laurent Nézot. Édouard Bliek abonde en ce sens : « De plus en plus de RSSI dans les grands groupes ne sont pas rattachés à la DSI mais à la direction sûreté du groupe.»
En effet, concentrer de très nombreuses responsabilités sur le seul DSI apparaît comme un risque : le DSI garant du système d’information global, y compris de la sécurité, semble désormais un modèle en voie d’obsolescence, alors que l’horizontalisation fait son chemin dans les directions générales.
Hiérarchie
« On a besoin de séparer les rôles. Le CIO donne à l’utilisateur l’usage de l’informatique là où le CISO est garant de stratégie cyber et de la sécurité opérationnel », insiste le directeur des ventes France chez Yubico. D’autant que le RGPD a introduit en plus la figure du DPO, qu’il faut additionner avec le CSO (Chief Security Officer), qui va être responsable de la sécurité globale, physique inclue. En résumé, l’organisation est bien plus étalée qu’avant, ce qui ne manque pas de faire émerger une nouvelle problématique, exprimée par Neil Thacker : « Qui dirige ? »
On le sait, la terminologie a beaucoup d’importance dans les relations hiérarchiques en France, surtout dans les grands groupes. Or qui tient les rênes entre le directeur et le responsable ? Pour Benoît Fuzeau, « Le R de RSSI n’a pas de sens : il n’est pas le responsable mais le support, l’accompagnateur. C’est pour cela qu’on voit émerger des termes tels que directeur de la cybersécurité, tandis que les Anglo-saxons ont leur CISO.» Les grands groupes cherchent à éviter une cybersécurité inféodée à la direction des systèmes informatiques. Mais, dans un cas comme dans l’autre, et au-delà de tout rapport de domination et de compétition, c’est avant tout la communication qui doit primer entre DSI et RSSI. Ça semble affreusement logique, pourtant les résultats de l’étude Netskope sont la preuve que la collaboration de ces deux équipes ne va pas de soi. Surtout lorsque la DSI contourne le RSSI et que ce dernier concurrence le premier sur des questions de réseau, d’applications, etc., et se trouve de plus en plus sous la lumière des projecteurs.
Des rôles complémentaires
« C’est un mariage entre équipes », Neil Thacker se permet l’analogie, « Dans tous les mariages, il y a des différences, mais l’essentiel est de se comprendre pour prendre les bonnes décisions.» Un avis que Benoît Fuzeau partage, quoique moins métaphoriquement : « Il ne s’agit pas de faire la politique de l’autruche, il faut avoir des débats sains entre DSI et RSSI et qu’ils comprennent qu’ils sont dans la même société et partagent le même objectif : que l’entreprise fasse de l’argent.» Surtout qu’avec le SaaS, le IaaS, le SASE, le PaaS et les autres, le rôle du DSI a lui aussi évolué. Fini le chantre du réseau corporate, exit le gardien du périmètre : le DSI a vocation à accompagner la transformation numérique de l’entreprise, de ses outils et des usages de ses salariés. « Je ne pense pas que RSSI soit une position qui va éclipser celle du DSI, quand bien même elle est mise en lumière » signale Édouard Bliek. « Leurs missions sont différentes, le DSI a la place d’exister dans les moyens à apporter à ses utilisateurs quand le RSSI est mis en valeur dans la sécurisation de ces outils. Malgré des frictions inévitables, leurs deux rôles sont complémentaires, ils sont sur un pied d’égalité.»
Il revient en partie aux donneurs d’ordre dans l’entreprise de faire en sorte que le courant passe entre DSI et RSSI. « Pour la plupart des organisations, il s’agit d’accompagner et de rapprocher les CIO et CISO, de s’assurer qu’ils communiquent clairement et de mettre en avant le positif qui ressort de cette communication », conseille Neil Thacker. Par exemple, en cas d’attaque, tous deux doivent être prévenus, faire partie intégrante du processus de déclaration d’incident et être impliqués dans la cellule de crise et surtout, puisqu’il est question de gestion de crise, il est important «de bien anticiper les rôles et les responsabilités de chacun en amont», nous explique Benoît Fuzeau. Plus largement, selon le vice-président du Clusif, le RSSI doit « faire le relais entre la DSI et les métiers sur les sujets de sensibilisation et de culture cybersécurité » de l’entreprise, à travers des catalogues de services que des référents sécurité au sein des équipes métier par exemple.
Sensibiliser et protéger
Ce qui pose un dernier problème : le RSSI, en qualité de chef d’orchestre de la cybersécurité de l’entreprise, manque de notoriété auprès des salariés. On s’attend aujourd’hui du responsable de la sécurité qu’il soit un mouton à cinq pattes : quelqu’un qui connaisse les outils de sécurité et d’infrastructure, mais aussi l’entreprise et ses métiers, qui soit à la fois juriste, technicien et chef d’orchestre, tout en sachant bien communiquer… Difficile d’être à l’aise dans tous ces domaines. Et si le RSSI évolue, s’il n’hésite plus à sortir de son bureau, le terme RSSI est « encore quelque chose qui est très mal connu dans les entreprises », remarque Édouard Bliek. « Les utilisateurs savent qu’il y a du digital dans l’entreprise, mais la cybersécurité et son responsable sont des éléments très méconnus.» De son côté, Laurent Nézot répond que, à la décharge des utilisateurs et des entreprises, la cybersécurité est « un sujet récent et ce n’est que plus récemment qu’elle est devenue une préoccupation ». On l’a dit, le RSSI cherche encore son modèle. Sa visibilité dans l’entreprise va donc être amenée à évoluer, son rôle va être mis en avant, notamment par le biais de la prévention et la sensibilisation. Car sur le plan opérationnel, le salarié dont le poste vient d’être chiffré par un ransomware se moque de savoir qui du RSSI ou du DSI va résoudre le problème : il se contente de contacter le helpdesk. Néanmoins « le salarié n’est pas idiot non plus », poursuit Laurent Nézot chez Yubico, « S’il n’a pas besoin de connaître ces subtilités au quotidien, il doit être acteur de – et concerné par – la sécurité de son entreprise ». Or comment susciter de l’adhésion ? « En ne partageant pas seulement ce qui doit être fait mais aussi pourquoi ça doit être fait.» Et c’est sur cette question de sensibilisation de chacun que le RSSI entre en scène.