olly - Fotolia
Le RSSI, embauché pour faire de la figuration ?
Les responsables de la sécurité des systèmes d’information semblent bien en peine de faire progresser la maturité de leurs entreprises en la matière. A se demander si celles-ci réalisent vraiment pourquoi elles les recrutent.
Mais à quoi diable servent les RSSI ? C’est la question que l’on peut être tenté de se poser à la lecture de l’édition 2016 de l’étude du Club de la sécurité de l’information français (Clusif) sur les menaces informatiques et pratiques de sécurité de France.
Tout juste rendue publique, cette étude fait ressortir une maturité qui stagne, selon les propres termes de Lionel Mourer, du cabinet Atexio, responsable de ces travaux et de la partie entreprises de l’enquête. Pourtant, comme il le souligne, le nombre de RSSI progresse dans les entreprises. Cette fonction apparaît clairement identifiée et attribuée pour 67 % des sondés, contre 62 % il y a deux ans, et 54 % en 2012. Les auteurs de l’étude du Clusif précisent que « 52 % des RSSI sont dédiés à cette tâche à temps plein », soit 5 points de mieux qu’en 2014, mais « avec des disparités qui se tassent en fonction des secteurs d’activité », celui de la banque/assurance étant le mieux loti. Qui plus est, le RSSI est aujourd’hui rattaché à la direction générale dans 30 % des entreprises, contre 27 % il y a deux ans, un mieux qui montre que certains appels ont été entendus.
Une fonction sous-estimée ?
Si la maturité « stagne », c’est peut-être en fait parce que le RSSI ne se voit pas pleinement confier les moyens qui lui permettraient de contribuer effectivement à sa progression. Pour 42 % des sondés, la sécurité informatique souffre d’un manque de budgets. Et cela se traduit par des ressources humaines limitées : seulement 8 % des sondés indiquent que la fonction SSI dispose de plus de 5 personnes à temps plein, contre 21 % pour 3 à 5 personnes. Et, dans près de 70 % des entreprises, la sécurité du système d’information doit se contenter de moins d’une personne à temps plein (20 %) ou d’une ou deux personnes (46 %).
Rapportant à la DSI dans 42 % des cas, ou à la direction administrative et financière dans 7 %, le RSSI n’apparaît pas jouir d’une très large autonomie. Il n’est pas surprenant que les contraintes organisationnelles apparaissent en deuxième position des freins évoqués à la conduite de ses missions – 37 % des sondés. Et dans un tel contexte, l’allocation des budgets n’apparaît guère surprenante : près d’un tiers des sondés font état de moins de 1 % du budget informatique ; un quart estiment disposer de 1 à 3 % de ce budget ; 18 % de 3 à 6 % ; et seulement 15 % de plus de 6 % du budget informatique. 67 % des sondés estiment que leur budget SSI reste table. Ils ne sont que 18 % à observer leur augmentation – contre 27 % il y a deux ans.
Clairement, la sécurité informatique apparaît comme le véritable parent pauvre de l’informatique. A tel point que l’on serait tenté de comparer les montants consacrés par les entreprises à leur sécurité logique avec ceux qu’elles accordent à leur sécurité physique…
Encore trop centrée sur la technique
Serait-ce alors contraint par des ressources limitées que les RSSI resteraient englués dans une approche très classique de la sécurité informatique ? Lionel Mourer relève ainsi qu’une part importante des budgets reste consacrée à la mise en place de solutions techniques, à 31 % : « on reste toujours dans la technique ; ainsi, pour beaucoup, la sécurité reste une histoire de mise en place solution technique ». D’ailleurs, 49 % des entreprises ne disposeraient pas d’une cellule de collecte et traitement des incidents.
Alors il est difficile d’être surpris en lisant que « la sensibilisation ne subit pas de grand mouvement en dehors de celle des VIP, en net recul ». Elle chute à 20 % cette année, contre 31 % il y a deux ans. L’ensemble du personnel n’est en outre concerné que pour 27 % des sondés, contre 43 % en 2012. Les moyens utilisés pour cette sensibilisation peuvent par ailleurs laisser dubitatif : dans 49 % des cas, il s’agit de publications, et de dépliants ou « goodies » pour 13 % des sondés. Ils ne sont que 7 % à recourir à des quiz et 1 % à des serious games. A se demander qui met en place de véritables exercices de simulation, notamment.
Et encore faudrait-il que les entreprises sachent quoi protéger. Près d’un quart des entreprises n’ont pas encore inventorié et classifié leurs données. 33 % l’ont fait en totalité ; 14 % en partie pour les supports numériques ; et 14 % en partie pour certains métiers. En fait, pour les auteurs de l’étude du Clusif, « dans les cas où la démarche n’a pas été engagée, la question se pose de savoir sur quelle base sont décidées les axes prioritaires d’actions sur la sécurité des SI ».
Se pose aussi celle consistant à savoir si la stratégie de sécurité des systèmes d’information s’établit suivant une approche de gestion des risques. Et la réponse tend à être non : « une entreprise sur deux réalise une analyse de risque formelle, et seulement 15 % réalisent cette analyse en totalité ».
Enfin, le RSSI se dote-t-il vraiment des moyens nécessaires pour piloter la SSI de son entreprise ? Pas toujours, semble-t-il : seuls 25 % des sondés utilisent des tableaux de bord de la SSI, alors qu’ils « restent un moyen simple et efficace, pour autant qu’on ait choisi les bons indicateurs, de piloter la sécurité de l’information au sein de son entreprise ».