L’évolution des compétences des RSSI est largement scrutée et le sujet ne date pas d’hier. Au cours de la dernière décennie, on a en effet observé un changement progressif mais significatif des responsabilités du RSSI au sein de l’entreprise.
Améliorer l’efficacité de l’entreprise : le rôle pivot du RSSI
Autrefois, le RSSI était souvent celui qui disait « non » et assumait la responsabilité de l’ensemble des problèmes de sécurité, qu'ils soient réels ou potentiels. De nos jours, les compétences d’un RSSI ne sont plus uniquement liées à la cybernétique : il doit également être capable de comprendre et de distinguer les divers modes de communication essentiels pour répondre aux besoins en constante évolution des collaborateurs et de l'entreprise. Ainsi dans un contexte où le paysage des menaces évolue à une vitesse sans précédent, il devient crucial d’appliquer une communication ascendante, latérale et descendante concernant la cybercriminalité.
Communication ascendante
L’ensemble de l'industrie se penche sur le rôle joué par les RSSI en matière de sensibilisation du Conseil d'Administration. A l'heure où de plus en plus de gouvernements travaillent sur des réglementations strictes vis-à-vis de la cybersécurité, les dirigeants se tournent vers les RSSI pour savoir comment réagir. Une évolution bienvenue, car il y a dix ans, les RSSI avaient des interactions plus limitées (et plutôt centrées sur les aspects commerciaux) avec leur Conseil d'Administration.
Connaître les dernières avancées dans le domaine de la cybersécurité est un véritable défi, et anticiper les répercussions légales et financières des diverses lois actuelles et futures en la matière peut s'avérer particulièrement complexe. De nombreuses réglementations récentes touchant à la cybersécurité ne s'appliquent par exemple qu'aux organismes gouvernementaux, mais cela ne signifie pas pour autant qu'elles n'auront aucun impact sur le secteur privé. Lorsqu'un gouvernement instaure une réglementation, il a souvent tendance à exclure toute entreprise qui ne la respecte pas.
Dans cette optique, les entreprises souhaitant conclure des contrats avec un gouvernement doivent également se conformer aux réglementations de cybersécurité applicable au secteur public. DORA, SREN ou NIS2 en sont quelques exemples, la directive NIS2 (législation européenne sur la cybersécurité) visant quant à elle à renforcer le niveau général de cybersécurité au sein de l'UE.
En soi, s’assurer que la posture de cybersécurité d'une entreprise est en conformité avec ces exigences réglementaires peut constituer un travail à temps plein. Parmi l'un des défis auxquels sont donc confrontés les RSSI : trouver la meilleure manière d'expliquer à leur Conseil d'Administration les risques réels pour l'entreprise, éviter les moments de panique des membres du Conseil d'Administration lorsqu’une menace est signalée trop tardivement ou sans qu'un plan de remédiation ne soit en place. Ainsi, vu le rythme rapide auquel la réglementation avance, la capacité des RSSI à communiquer en amont sera cruciale pour garantir la pérennité de l'entreprise.
Communication latérale
Plus la cybersécurité a gagné en importance, plus la place des responsables dans ce domaine s'est renforcée au sein des entreprises.
Les responsabilités du RSSI sont vastes. Il est chargé d'assurer la sécurité globale de l'entreprise, ainsi que de chaque identité numérique, appareil et système qui y est associé. Si l'un de ces éléments venait à être défaillant ou compromis, l'entreprise serait en danger et ses activités s'en trouveraient affectées. Cependant, il est rare qu'un RSSI assume directement cette responsabilité, la personne possédant le terminal au sein de l'entreprise (qu'il s'agisse d'appareil, de système, de surveillance ou de gestion) étant finalement responsable d’en assurer sa sécurité. C'est souvent le CIO qui assume cette responsabilité, mais d'autres membres de la Direction peuvent également être impliqués, car la technologie occupe une place de plus en plus centrale dans leurs opérations.
Ainsi, le RSSI doit travailler de concert avec les autres membres de la Direction pour examiner leurs responsabilités communes et les objectifs établis. Il doit également intégrer cette démarche dans son aptitude à communiquer, négocier et promouvoir, afin de soutenir son engagement envers la vision et la mission en question. C'est de cette manière qu’il peut établir des relations solides, avec le soutien de ses collègues dirigeants, pour obtenir une sécurité conforme aux objectifs de l'entreprise.
Communication descendante
La communication descendante est probablement la plus importante, surtout lorsqu'il s'agit de mobiliser les équipes dans une démarche ou de les motiver autour de certains projets. Nombreux sont ceux qui, au sein de la fonction de sécurité (les analystes notamment), n'ont pas envie de passer leurs journées à consulter des journaux d'incidents. Au lieu de se plonger dans cette surveillance monotone, les analystes sont davantage intéressés par des informations détaillées qui peuvent aider leur entreprise à repérer d'éventuelles vulnérabilités dans leurs systèmes de défense ou à détecter des violations déjà survenues.
Le RSSI peut aider à fidéliser les collaborateurs, une tâche de plus en plus difficile dans un marché très concurrentiel. C’est possible s’il travaille avec des personnes déterminées à proposer des solutions pour renforcer la sécurité de l’entreprise et à les faire évoluer rapidement. En effet, cela se traduit par de meilleures performances grâce à une plus grande cohésion au sein de l'équipe. Un RSSI capable de communiquer efficacement les objectifs à une équipe et de s'assurer qu’elle est enthousiaste à l'idée de les atteindre sera plus à même de fidéliser ses collaborateurs, que ce soit à court ou long terme.
Vue générale de la situation
Le poste du RSSI a été créé à une époque où les entreprises avaient besoin de quelqu'un pour s'occuper de la sécurité informatique. Avec l'évolution de la technologie, devenue un élément central du succès de toute entreprise, la responsabilité et les compétences exigées du RSSI ont également évolué. De nos jours, l'accent est moins mis sur les outils, les menaces et les risques. Pour le RSSI moderne, ce qui compte c’est de trouver le moyen d'améliorer l'efficacité de l'entreprise, de la connecter et de la rendre plus performante en renforçant les moyens de communication. De même, alors que le poste se limitait à comprendre la technologie, le RSSI d'aujourd'hui doit avoir une connaissance plus globale de l'entreprise et être capable de maîtriser le sujet.
Le poste de RSSI a toujours été confié à des personnes flexibles, adaptables et passionnées par la sécurité. Mais dans le monde actuel, c'est surtout une question de leadership et de communication au sein de l'entreprise qui est en jeu, au même titre que l'aspect sécurité à proprement parler. Dans une entreprise résolument tournée vers l'avenir, si un RSSI n’est pas au fait de l’actualité et des enjeux business, il a peu de chances, voire aucune, de réussir à convaincre le Conseil d'Administration des priorités commerciales au cœur de sa mission, ni de rallier le reste de l'entreprise aux actions nécessaires pour les atteindre.