RSSI : une fonction encore fortement opérationnelle
Selon le Cercle Européen de la Sécurité, la fonction de responsable de la sécurité des systèmes d’information a relativement peu évolué en l’espace d’un an, conservant une forte composante opérationnelle et peinant encore à déboucher sur les hautes fonctions de l’entreprise.
A l’occasion des Assises de la Sécurité, qui se sont déroulées début octobre à Monaco, le groupe de travail «Fonction Sécurité SI» du Cercle Européen de la Sécurité a présenté son analyse de la fonction RSSI en France, pour la publier complète il y a tout juste deux semaines. De celle-ci ressortent essentiellement des confirmations de l’édition 2011 : 64 % des sondés assument la gestion des projets sécurité; 60 % celle des plans de continuité de l’activité; et 47 % celle des plans de secours informatique. «Une faible majorité (56 %) assure également un véritable management d’équipe, confirmant ainsi l’image du RSSI solitaire ou binôme», indique l’étude. Toutefois, soulignait Pierre-Luc Réfalo, associé du cabinet Hapsis, lors de la présentation : «des RSSI qui ont des équipes de 40, 60 personnes, ça existe.» En moyenne, selon lui, les équipes compteraient 3 équivalents temps plein internes et 1,5 équivalent temps plein externe.
Des envies d’évolution
Mais clairement, comme le soulignait Stéphane Joguet, CISO de Daher, «les RSSI demandent un accès facilité aux postes de décideurs et aux métiers, à avoir des fonctions plus transverses, plus communicantes, plus managériales, moins opérationnelles IT ». Reste qu’ils «ne parlent toujours pas de budget de la sécurité... Il y a peut-être encore là un rendez-vous manqué ».
D’autant plus, peut-être, qu’à 80 %, les RSSI envisagent ou attendent une évolution de carrière : à 46 % vers les métiers dont la gestion des risques (22 %) ou de la conformité (21 %), ou encore la sûreté/défense (14 %). Et qu'à 51 %, ils «attendent ou espèrent un accès facilité vers les hautes fonctions de l’entreprise ». Des attentes qui seront peut-être douchées du fait de l’absence, justement, de discours sur les budgets... Toutefois, les aspirations des RSSI ne semblent pas illégitimes, si l’on se réfère à leur profil type. 33 % des RSSI ont déjà une posture de stratège, contre 22 % centrés sur l’opérationnel. Environ 24 % se situent entre les deux.
Des personnes expérimentées
En moyenne, selon Pierre-Luc Réfalo, les RSSI ont 10 d’expérience en 2012, dont 4 ans dans leurs fonctions. L’étude dégage selon lui «une tendance à la certification ISO 27001/27005» et établit une rémunération annuelle moyenne de 81 k€.
Plus généralement, le groupe de travail du Cercle s’est essayé à une classification darwiniste des RSSI, montrant l’évolution de la fonction, depuis le «bouc émissaire», en bas de l’échelle de l’évolution, jusqu’au «manager de l’innovation», celui qui permet - qui «enable» - la mise en oeuvre de processus et de solutions innovantes pour servir la stratégie de l’entreprise et assurer la gestion de ses risques. Et au milieu, le RSSI «véto», celui qui «se caractérise par une implication dans la veille et des études apportant essentiellement une expertise auprès des projets SI et des métiers. Au risque d’être l’empêcheur de tourner en rond». Patrick Pailloux, patron de l’Anssi, qui appelait à les RSSI à entrer en résistance face aux utilisateurs et aux directions, à avoir le courage de dire «non», notamment au BYOD et à la consumérisation, appréciera sans doute.
Pour approfondir sur Recrutement
-
Notation cyber : le Clusif rallie à sa charte de bonne conduite 4 premiers acteurs
-
Visioconférence dans l’espace (étape 3) : Mars et les pylônes spatiaux
-
Messageries au gouvernement : l’arrogance avant la responsabilité
-
Transformation digitale : des DAF françaises très IT, mais pas très collaboratives