kantver - Fotolia
Quelle place pour le RSSI, aujourd’hui et encore plus demain ?
La transformation numérique ressort comme enjeu stratégique des entreprises. Mais les RSSI n’estiment pas disposer des moyens nécessaires. Dès lors, leur rôle doit-il évoluer ?
C’est à cette question que Jamal Dhamane, RSSI groupe d’Essilor, et Nicolas Pellegrin, celui de la Française des Jeux, ont tenté d’apporter une réponse, à l’occasion d’une table animée par Stéphane Joguet, RSSI de Daher et membre du Club des experts de la sécurité de l’information et du numérique (Cesin), organisée lors de l’édition 2016 des Assises de la Sécurité.
Cette question trouve son origine dans les conclusions d’un sondage commandé à par le Cesin à Opinionway, publiées en début d’année. Selon celles-ci, 58 % des RSSI estiment que l’arsenal technologique disponible ne répond pas aux besoins nés de la transformation numérique. Une transformation qui représente un enjeu stratégique pour 93 % des membres du club sondés. Un décalage à tout le moins préoccupant qui ne traduit pas forcément une impuissance. Des leviers existent, notamment d’ordre humain.
Et pour Jamal Dhamane, cela commence par une évolution de la fonction : « petit à petit, il faut que la fonction aille plus vers les métiers que la technique ». Et cela implique de se préparer à être plus réactif, plus agile : « on ne peut plus faire de la sécurité comme on le faisait jusqu’à présent », avec des politiques à 3 à 5 ans, il faut des approches « que l’on fasse évoluer au jour le jour », en revenant « de manière régulière devant les métiers » pour s’assurer de la pérennité de la sécurité.
Le devoir de dire « oui mais »
Et si l’ancien patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi) encourageait les RSSI à dire « non » il y a encore quatre ans, le pragmatisme semble avoir pris le dessus. Ainsi, pour Jamal Dhamane, sur des sujets comme le Cloud, « on ne se demande plus s’il faut y aller ou pas, mais comment y aller ». Le pouvoir de dire « non » cède ainsi la place au devoir de dire « oui mais ».
Nicolas Pellegrin apparaît sur une ligne comparable, estimant nécessaire de « casser les frontières entre les différents services » et, surtout, d’accepter le « changement de culture » induit par le numérique, avec par exemple l’effacement de la ligne classique distinguant vie privée/professionnelle. Un changement qui suppose d’apprendre en avançant : « on n’a pas la maturité. On n’est pas prêt. Mais ce n’est pas grave, on va avancer ; il faut juste se le dire ». Et c’est sans compter avec des habitudes d’immédiateté de plus en plus ancrées et qui font peser une pression considérablement accrue sur les exigences de disponibilité.
Pour le RSSI de la Française des Jeux, c’est bien simple : demain, le RSSI doit être un business partner de chacun des métiers de l’entreprise. « Si vous ne discutez pas souvent avec les ressources humaines, les finances, le juridique, les divisions… il va falloir vous demander si vous pouvez continuer comme ça ». Car ceux qui prennent les décisions affectant la sécurité du système d’information, « en définitive, ce sont les métiers ».
Revoir la hiérarchie ?
Dans cette perspective se pose naturellement la question du positionnement du RSSI dans l’organigramme. Dans 73 % des cas, il reste rattaché à la DSI. Même est-ce bien pertinent ? Pour Jamal Dhamane, « plus l’entreprise est mature, plus le RSSI est rattaché ailleurs ». Et d’estimer que « le RSSI doit être placé là où il sera le plus efficace », et autonome : « il y a plus d’autonomie et de proximité avec les métiers lorsque le RSSI n’est pas rattaché à la DSI ».
De son côté, Nicolas Pellegrin estime que « ce qui compte, c’est moins le statut sur le papier que la responsabilité que l’on porte, la légitimité, les questions que l’on pose et les réponses que l’on apporte ». Le positionnement du RSSI dans l’organigramme apparaît alors moins important. Mais la personnalité individuelle du RSSI semble, du coup, susceptible de jouer un rôle particulièrement décisif. Et justement, pour Nicolas Pellegrin, le RSSI « doit être convaincant », ne serait-ce que pour faire passer le message selon lequel la sécurité ne relève pas exclusivement de lui.
Une chose est sûre, pour le responsable de la sécurité des systèmes d’information d’Essilor, le RSSI a besoin d’être mieux considéré en France. Et cela passe d’abord par lui : « pour cela, il faut parler avec les métiers de leurs problèmes ; prendre de la hauteur ; changer de langage, de vocabulaire ». Concrètement : « parler de perte de chiffre d’affaires, de déficit d’image. Là, vous aurez leur oreille ».
En définitive, le RSSI doit donc s’appréhender comme « un métier transverse, qui a beaucoup de choses à faire et doit parler à beaucoup d’interlocuteurs ». Dont, probablement, de nouveaux profils comme le CDO – Chief Digital Officer, en charge de la transformation numérique – et le DPO – Data Protection Officer, avec des missions plus centrées sur la sécurité des données –, autant de nouveaux acteurs, « nouveaux partenaires pour le RSSI ». Même si, en ce qui concerne la protection des données, pour Jamal Dhamane, c’est peut-être encore le RSSI qui est aujourd’hui « le mieux placé pour en parler ». L’illustration d’un autre défi : définir les missions, le périmètre d’intervention de chacun, dans ce nouveau concept de l’entreprise dite digitale.