Le poste de RSSI est apparu dans les années 90, et à cette époque il était surtout orienté vers la correction des vulnérabilités. Mais en raison de l’expansion des frontières de l’entreprise, de la mobilité des personnels, de la transformation des menaces et des risques, il est devenu un poste clé pour protéger les organisations. Dans certains secteurs, c’est même un poste obligatoire. Mais comment les RSSI peuvent-ils articuler responsabilité et imputabilité, non seulement pour eux-mêmes mais aussi pour l’organisation pour laquelle ils travaillent ? Dans quelle mesure doivent-ils assumer la responsabilité d’un incident ?
Revenons sur la raison d’être du RSSI en 2020. Même s’il est toujours dans la ligne de son rôle d’origine, protéger les actifs du groupe et réduire les risques, ce qui signifie contrôler la conformité à une réglementation croissante, le rôle du RSSI est aussi de plus en plus d’instaurer confiance au sein de l’entreprise et de travailler main dans la main avec les équipes « business » pour faire de la cybersécurité un véritable avantage concurrentiel.
En pratique, cela oblige le RSSI à trouver le chemin, étroit mais bien réel, permettant de mettre en accord les organisations avec la réglementation sans que cela soit perçu comme un frein. Centrer les discussions avec les dirigeants sur l’excellence opérationnelle et la nécessité d’instaurer une relation de confiance avec le consommateur constitue un moyen très efficace pour que la conformité à la règlementation soit perçue comme un élément moteur de l’amélioration des activités opérationnelles, plutôt que comme une pression inutile ou sans valeur ajoutée.
Il est certain que mettre en place des procédures internes de contrôle, évaluer les risques et effectuer régulièrement des vérifications sont des tâches cruciales, mais elles doivent aller de pair avec un engagement de tous sur l’ensemble de la chaîne de production, pour mettre en place des protocoles de défense aussi profondément ancrés que possible.
Pour agir sur des structures matricielles complexes et s’étendant parfois sur de vastes espaces géographiques, il est capital de développer des relations et d’« avoir des amis » partout, pour influencer efficacement et participer de manière constructive aux enjeux de cybersécurité. Le but ultime pour le RSSI étant d’être tout naturellement impliqué le plus tôt possible dans les projets ou les nouveaux développements numériques afin de pouvoir proposer des solutions qui incluent la sécurité dès les premières étapes. Instaurer un climat de confiance tout au long de la chaîne logistique est aussi devenu essentiel : une approche exigeante de la sous-traitance et de l’approvisionnement font maintenant partie de sa mission.
Il y a une chose dont les RSSI acceptent sans hésitation de prendre la responsabilité : proposer des améliorations continues de l’entreprise. Se plaindre ou se retrancher derrière les ressources (non matérielles) à la disposition du poste est un véritable piège : les RSSI ont de fait accès aux ressources les plus grandes, vastes et indispensables au succès de leur mission : les dirigeants, les cadres et les équipes susceptibles d’être responsabilisés à la cybersécurité.
Projetons-nous vers l’avenir, quelles perspectives pour des RSSI dans les années à venir ?
- Mettre en place des principes de partenariats commerciaux pour que ce poste soit bien établi et perçu comme offrant des services à valeur ajoutée offerts à toutes les branches de l’entreprise.
- Préparer la prochaine génération mais aussi attirer des personnes venant de l’entreprise par la mobilité interne.
- Partager les connaissances et l’expérience pour aider les organismes de petite taille qui ne peuvent se permettre le coût d’un RSSI, même à temps partiel, à trouver des solutions alternatives (en utilisant par exemple l’IA ou un support extérieur.
En conclusions les intervenants ont développé le concept du RSSI ‘couteau suisse’, un caméléon qui fait preuve
- D’une capacité interculturelle à créer un consensus entre divers approches lorsqu’il s’agit de la gestion du risque.
- De compétences de vendeurs et d’influenceurs
- De compétences techniques et organisationnelles
- D’une grande variété de compétences commerciales, de direction et de gestion.
- D’une compréhension de la gestion des émotions et du stress
- D’une capacité à présenter des questions techniques complexes avec des mots simple mais commerciaux.
…et avec tous ces éléments, développer un poste fascinant !
Résumé d’une table ronde animée par Delphine Chevallier, DG, Thalia NeoMedia, durant le FIC 2020, le 29 janvier 2020.
Avec la participation de :
- Julien Bizjack, Directeur associé pour la cybersécurité & la confiance numérique, Abington Advisory
- Phedra Clouner, Directrice adjointe CCb/CERT.BE
- Abeer Khedr, Directeur pour la sécurité de l’information, Banque Nationale d’Egypte
- Loïs Samain, RSSI Adjoint, EDF Renouvelables.
