Rapport Clusif 2012: l'équipe « sécurité » prend du galon, mais chapeautée par la DSI
C'est un des constats qui navrent le Club des responsables de la sécurité des systèmes d'informations (Clusif). Moins d'un RSSI sur trois rapporte directement à la direction générale. Pour une mission qui n'a pas les moyens de s'orienter plus nettement vers la prévention. Mais leur métier commence à profiter de la maturité des démarches de certaines entreprises. Interview de Lionel Mourer, administrateur du Clusif et rapporteur de l'étude bisannuelle sur les pratiques de sécurité des entreprises.
Le MagIT: Lors du précédent état des lieux dressé par le Clusif, en 2010, près d'une entreprise sur deux de plus 200 salariés n'avait pas de personnel chargé de la sécurité. Qu'en est-il aujourd'hui ?
Lionel Mourer : Signe d'une prise de conscience, cette fois, 100% des entreprises ont en permanence une équipe sécurité, encore réduite à une ou deux personnes. Et la fonction de RSSI est clairement identifiée et attribuée dans plus d'une entreprise sur deux. Certes, la fiche de poste qui lui correspond figure depuis plus de dix ans dans la nomenclature des métiers de la DSI. Mais il suffit de regarder les sites d'emploi pour constater que désormais ce métier a une visibilité nettement renforcée. Chargé de la définition et de la mise en oeuvre de la politique de sécurité de l'entreprise, avec une répartition des tâches qui, par ailleurs, n'évolue guère. Avec un emploi du temps équitablement réparti entre le volet fonctionnel (définition de la politique et analyse des risques), le volet technique (études des moyens et préconisation, suivi des projets) et le volet opérationnel (administration). Autour de 25% du temps pour chacun. Et en annexe, l'aspect juridique et l'aspect communication-sensibilisation.
LeMagIT : Justement, le fait que cette répartition des tâches du RSSI n'évolue guère, est-ce normal ou inquiétant ?
Lionel Mourer : On ne peut que déplorer que la partie sensibilisation aux enjeux de la sécurité, à tous les niveaux, direction générale, directions opérationnelles et métiers, salariés-utilisateurs, représente 12% seulement de son activité, autant que le volet juridique. C'est clairement une question de coût. Sensibiliser, c'est assez lourd à mettre en place. Surtout si ça n'est pas soutenu par les directions métiers. Et pourtant c'est essentiel. Mais dans neuf cas sur dix, le RSSI doit faire appel aux bonnes volontés. Et trop souvent, dans ce cas, le discours ne touche que les personnes déjà sensibles aux enjeux. Donc inquiétant, oui, tout comme le fait que la fonction RSSI reste dans le giron de la DSI, dans 47% des cas, et trop peu rattachée hiérarchiquement à la direction générale, dans un cas sur trois seulement. Encore moins fréquemment qu'en 2010.
LeMagIT : Ce rattachement à la DSI signifie-t-il que la sécurité s'en tient encore principalement à la mise en place de solutions techniques ?
Lionel Mourer : Certes, la répartition des budgets sécurité le montre. Avec 37% dédiés aux solutions techniques, c'est le poste budgétaire qui a le plus augmenté. Mais le rattachement à la DSI s'explique aussi par le fait que le métier est relativement récent. Avec environ 3000 RSSI recensés en France et sans doute autant qui en assurent la fonction sans en avoir le titre. Les grandes entreprises en sont pourvues depuis plus dix ans. Aujourd'hui, les recrutements à ce poste sont principalement le fait d'entreprises de taille moyenne qui n'ont pas le même degré de maturité que les grandes structures, et pour lesquelles sécurité des SI équivaut à sécurité informatique. Du coup, ceux qui arrivent dans le métier sont, par défaut, des informaticiens. Mais au Clusif nous pensons que mieux vaut un RSSI mal positionné que pas de responsable du tout.
LeMagIT : Votre état des lieux souligne par ailleurs une nette progression des analyses de risques. En quoi est-ce un bon signe ?
Lionel Mourer : En simplifiant, gérer la sécurité des SI, c'est d'abord identifier où sont les données critiques, les classifier, puis analyser les risques liés à ces données. Cette analyse est le point d'entrée dans la boucle d'amélioration de la sécurité. Même si, selon notre étude, 40% seulement de ces analyses de risque débouchent sur un plan d'action, un taux de 54% d'entreprises qui s'y sont mis est un bon signe. Cela dit, il reste 45% des entreprises qui n'en ont encore rien à faire. La marge de progression est encore importante.
LeMagIT : Par quoi passe cette montée en maturité des pratiques au niveau des RSSI?
Lionel Mourer : Cela passe notamment par la capacité à appréhender des méthodologies adaptées à leur contexte. Des méthodologies qui ne soient pas des usines à gaz. C'est précisément l'objectif du groupe de travail du Clusif qui planche actuellement sur une méthode Méhari Light, plus adaptée au cas des petites structures.
LeMagIT : N'y-a-t-il pas aussi un problème de formation ?
Lionel Mourer : En effet, si concernant les firewalls et autres solutions techniques, l'offre de formation ne manque pas, si vous êtes RSSI nouvellement nommé, rares sont les cursus censés vous y préparer : 3 ou 4 proposés par des organismes de formation. Est-ce parce que le marché est petit ? Et la demande trop faible ? Du côté de la formation initiale, cela bouge un peu plus avec 7 ou 8 masters dédiés.
LeMagIT : A l'heure du SaaS triomphant, doit-on s'étonner du faible taux d'externalisation relevé dans votre état des lieux ?
Lionel Mourer : De fait, seules 12% des entreprises disent avoir confié leur SI en infogérance et quand c'est le cas, plus d'une sur trois ne met pas en place de suivi des indicateurs de sécurité. C'est cela qui peut le plus étonner. Quand on sait qu'une entreprise du CAC 40 qui a repéré une faille de sécurité dans le dispositif d'infogérance de sa paie, a du mal à faire bouger son prestataire, comme je l'ai entendu récemment, on ne s'étonne pas que la bascule en mode SaaS, malgré tous les avantages pressentis, ne soit pas plus fréquente. Le frein principal au cloud computing est bel et bien lié au doute sur la sécurité des dispositifs. C'est une vraie question posée au RSSI. Qui doit se donner les moyens d'y répondre.
LeMagIT : A quels moyens pensez-vous?
Lionel Mourer : L'un des moyens est précisément d'être raccordé au bon niveau. Avoir des tableaux de bord, et l'autonomie et la maîtrise sur leur utilisation. Avoir une visibilité sur des problématiques, des questions que ne se posent pas forcément la DSI. Pouvoir présenter directement au comité de direction son analyse. On le sait. On le répète. Les politiques de sécurité progressent mais leur mise en application concrète ne décolle toujours pas. Il est dommage que ce soient encore les incidents ou l'évolution des réglementations qui soient les moteurs de la prise de conscience. Les RSSI le déplorent. Mais ils doivent faire avec.
Pour plus d'information :
-Menaces informatiques et pratiques de sécurité en France, édition 2012, Clusif
-Fiche métier du RSSI: nomenclature RH 2011 du Cigref (7ème édition), RSSI, pages 137-140
-Formation en sécurité des systèmes d'information (recensement du Clusif)
-Formations initiales (universitaires) en SSI (référencées par le Clusif)
-Autre club de réflexion pour la promotion de la sécurité : R&D-SSI (lancé en décembre 2011) soutenu par l'éditeur spécialisé Netasq