Historiquement expert technique, le rôle du responsable de la sécurité des systèmes d’information a connu des évolutions fortes ces dernières années. Mais le plus fort est encore à venir !
La cybersécurité est née lorsque les réseaux informatiques sont apparus au milieu des années 1990. Les entreprises commençaient à se raccorder à Internet et elles ont dû s’isoler de cet espace public dont peu de personnes ne comprenaient encore l’intérêt et les enjeux.
C’est ainsi que de nombreux responsable sécurité ont été nommés au début des années 2000. Puis la problématique a rapidement pris de l’ampleur, il a fallu lutter contre les virus qui se multipliaient et suivre le rythme des correctifs de sécurité à installer. Le titre de responsable de la sécurité des systèmes d’information (RSSI) est apparu avec pour vocation d’assurer la sécurité technique dans son ensemble.
Petit à petit, autour de 2008, est apparu l’enjeu de sécuriser les métiers de l’entreprise en fonction de leurs propres risques, et plus uniquement d’avoir une approche technique généraliste et globale. Une nouvelle mutation pour le responsable de la sécurité, qui a vu ses missions se rapprocher de celles du risk manager et qui parfois s’est vu attribuer le titre de responsable de la protection du patrimoine informationnel.
Transformation de son rôle
Le sujet de la cybersécurité a continuellement pris de l’ampleur, et le RSSI est aujourd’hui face à un nouveau défi : celui de la transformation de son entreprise . L’époque des petits projets à gauche et à droite est révolue, nous observons maintenant des investissements lourds, de plusieurs centaines de millions d’euros annuels dans les grandes entreprises.
Le RSSI doit se transformer en directeur de projets, capable d’en animer 60 à 80 en parallèle et à l’échelle internationale, le tout en assurant à sa direction générale l’allocation efficace des budgets et la réduction réelle des risques.
De plus, malgré le manque de compétences disponibles sur le marché, il faut renforcer les équipes. Il n’est pas rare aujourd’hui de voir des filières cybersécurité dans les grandes entreprises qui comprennent plusieurs centaines, voire milliers de personnes.
Autant de défis opérationnels et RH auxquels le RSSI historique n’est pas forcément préparé. Cette mutation à marche forcée peut parfois provoquer des changements profonds dans les équipes et bousculer leur organisation.
Un rôle toujours plus exposé
Et l’évolution du RSSI est loin d’être finie ! Son prochain challenge, après la transformation interne sera la transformation externe des offres de son entreprise pour offrir des services incluant la cybersécurité et faisant de la protection des données une valeur ajoutée commerciale pertinente dans un monde, où la confiance dans le numérique devient la clé.
Le poste du RSSI devient également très exposé médiatiquement et politiquement en cas d’incidents. Il s’agit d’un poste à risque, où chaque incident majeur aux Etats-Unis entraîne son départ, mais aussi souvent celui du DSI. C’est un poste scruté : rien n’échappe aux médias ni les prises de paroles ni la posture du RSSI.
La récente affaire Facebook le montre bien, avec les interrogations du RSSI, en pleine crise, au sujet de son départ qui ont mis de l’huile sur le feu. Mots, actions, tout est disséqué pour comprendre la posture de l’entreprise et de ses hommes clefs dont désormais le RSSI.
D’expert technique en expert métiers, puis en directeur de projet et directeur de crise, le rôle du RSSI est en mutation constante. Un rôle que certaines entreprises sous-estiment encore, alors qu’il nécessite des compétences de plus en plus pointues.
Gérôme Billois
Gérôme Billois est partner cybersécurité chez Wavestone. Sur Twitter : @gbillois.
