La fonction sécurité du SI à l’heure de la remise en question
Savoir se remettre en question, s’adapter, évoluer. Tels semblent êtres les impératifs auxquels les responsables de la sécurité des systèmes d’information sont aujourd’hui confrontés. Du moins est-ce probablement le principal enseignement de l’étude conduite par le Cercle européen RSSI auprès de dirigeants de grands groupes français et restituée à l’occasion des toutes récentes Assises de la Sécurité.
L’approche est originale mais sans doute pertinente. Quoi de mieux, en effet, pour appréhender le rôle de la fonction sécurité du SI (SSI) dans l’entreprise de manière globale que d’interroger ceux qui se doivent d’avoir cette globalité d’approche, les responsables hiérarchiques des RSS et les dirigeants ? C’est la démarche retenue par le Cercle européen des RSSI. Le groupe de travail, qui a également consacré les 18 derniers mois à essayer d’y voir plus clair sur l’économie de la sécurité des SI, justifie son approche, dans un document de synthèse rédigé par Pierre-Luc Réfalo, associé du cabinet Hapsis : «les professionnels de la sécurité des SI ont des origines très variées et, d’évidence, il n’existe pas de parcours type [...] la sécurité informatique historique a progressivement évolué d’abord vers la sécurité des SI avant d’être englobée par la sécurité de l’information [...] l’univers de la SSI dépasse largement le cadre des SI des entreprises et des administrations et des risques qui leur sont liés.» Et alors que «le SI devient un élément critique de la stratégie et des activités» des entreprises, pour obtenir une analyse plus «qualitative de la fonction RSSI», le Cercle se devait de questionner un, sinon plusieurs crans au-dessus dans la hiérarchie de l’entreprise.
Une fonction reconnue
Le premier constat que l’on peut être tenté de tirer des entretiens - qui ont concerné les responsables d’une vingtaine de grands comptes français de divers domaines d’activité - est que l’importance de la fonction SSI est bien reconnue, même si l’on peut avoir parfois l’impression de retrouver le discours marketing que tenaient, il y a quelques années, certains fournisseurs spécialisés : «la fonction SSI est clairement une fonction majeure qui doit apporter une ouverture au monde» - le bon vieux enabler souvent mis en avant. Manifestement, l’exigence d’une proximité et d’une ouverture sur les métiers est grande : «la fonction rend accessible la SSI aux métiers [...] avoir un plan d’action qui ne soit pas déconnecté de la réalité [...] c’est la qualité de la personne qui fait toute la différence dans cette fonction », peut-on lire dans les citations retenues par Pierre-Luc Réfalo. Mais une remarque peut toutefois laisser dubatif : la SSI, «ce n’est pas que l’affaire des experts... mais celles des utilisateurs, des métiers ». Certes, mais qui tranche, qui décide d’où et comment placer le curseur pour équilibrer des besoins et des exigences parfois divergents ?
Vers plus de poids dans l’organisation
A lire entre les lignes, on est tenté de comprendre que la recherche du compromis semble s’être parfois historiquement faite au détriment de la SSI : «la fonction a permis d’identifier des sujets qui étaient sous estimés par rapport à l’analyse de risque.» Et que tout n’est pas encore gagné, côté SSI : «la fonction doit apporter hauteur et recul mais aussi pragmatisme », indique l’une des personnes interrogées. D’autres citations apportent un éclairage, sur le sens du terme «pragmatisme», que certains ne manqueront de trouver peu engageant, pour la sécurité : «c’est une fonction de ”business enabler”, pas un empêcheur de tourner en rond!» Le bon côté, c’est que certains sondés appréhendent la SSI comme une «fonction génératrice d’inconfort utile ». Un inconfort avec lequel certains ont manifestement accepté d’apprendre à vivre : «c’est une fonction va prendre de l’importance», peut-on lire; «elle devra s’assurer d’une indépendance de vue.»
Prudemment, les auteurs de l’étude estiment que les «dirigeants interrogés encouragent implicitement, sans le dire, les RSSI à encore développer leur crédibilité en se positionnant dans la chaine de valeur de l’entreprise et pas seulement en support de celle-ci ». Une façon élégante de leur dire qu’il faut qu’ils arrêtent d’apparaître comme un poste de coût qui en demande toujours plus ? Ou qu’ils doivent apprendre à communiquer, à se mettre en valeur, en essayant de pointer, même si cela doit parfois paraître un peu artificiel, des projets métiers qui n’auraient pu se faire sans les apports de la fonction SSI ? Mais pour cela, encore faut-il que cette fonction ait le soutien indéfectible de la direction générale et que celle-ci affiche une exigence forte vis-à-vis de la sécurité des systèmes d’information.