L’année dernière, en analysant les commentaires de mes collègues quant aux objectifs et problèmes de notre secteur, mes sentiments étaient mitigés. Un an après, il s’avère que les résultats de notre nouvelle étude sont encore plus intéressants.
Lorsque vous découvrez les résultats de ces deux études, vous remarquez immédiatement que la sécurité des informations en général et le rôle de responsable de la sécurité des systèmes d’information (RSSI) sont de plus en plus importants dans le monde des affaires pour au moins 300 de mes pairs. C’est bon signe. Tout comme le fait que de plus en plus de personnes considèrent que la « gestion des risques » et d’autres compétences commerciales sont essentielles pour leur poste.
Toutefois, il y a un point sur lequel je ne suis pas d’accord avec mes collègues. Certains pensent encore que les compétences techniques et les connaissances personnelles en matière de systèmes informatiques des entreprises sont les compétences clés de leur travail et de leur développement futur. Même s’il me semble évident que les RSSI doivent avoir des connaissances techniques et se tenir informés sur les nouvelles technologies, le secteur doit se rendre à l’évidence : les systèmes informatiques modernes sont trop complexes techniquement parlant pour qu’ils puissent, même potentiellement, en avoir une vue d’ensemble.
De plus, les systèmes d’informations vont devenir de plus en plus sophistiqués et c’est ce que pensent la majorité des personnes interrogées. C’est pourquoi, en dépit de l’importance qu’elles revêtent, les compétences techniques du RSSI passent après le développement d’autres compétences comme la gestion des risques, la gestion efficace de l’équipe et la communication professionnelle. Aujourd’hui, ce qui compte le plus c’est le personnel.
Comprendre les personnes, pas les systèmes
En réalité, les systèmes informatiques et les technologies de sécurité sont désormais suffisamment sophistiqués pour permettre aux professionnels hautement spécialisés de prendre des décisions critiques pour l’entreprise. La confiance au sein d’une équipe est plus importante que jamais avec ce changement. D’une part, le responsable de la sécurité de l’information doit pouvoir faire confiance aux spécialistes de l’équipe. D’autre part, eux aussi doivent pouvoir faire confiance au jugement et aux décisions du RSSI, non pas aveuglément ou sans pouvoir exprimer leurs opinions, mais avec une cause commune et un respect professionnel mutuel.
Selon les personnes interrogées, il est parfois plus facile d’obtenir des augmentations de budget pour l’achat de systèmes que d’embaucher plus de professionnels de la sécurité de l’information. Acheter le plus grand nombre possible de systèmes dernier cri peut sembler formidable. Cependant, il est beaucoup plus important d’identifier les aptitudes et compétences clés indispensables pour savoir lesquelles peuvent être gérées par des experts en interne ou externalisées. En fait, étant donné la pénurie de spécialistes sur le marché, je pense que c’est une bonne idée de considérer cette externalisation comme une opportunité d’élargir les capacités du département et de répondre plus rapidement aux besoins des entreprises.
De la réponse aux incidents à la gestion des risques
Même si les principaux acteurs, comme le conseil d’administration ou le PDG, prennent plus en compte le RSSI, la plupart du temps ils appellent à l’aide après qu’il y ait eu un incident. Heureusement, cela semble se produire surtout chez les concurrents ou les pairs de ce secteur. Toutefois, cela démontre que de nombreuses entreprises ne considèrent pas la sécurité de l’information comme un outil de gestion des risques de l’entreprise. De plus, lorsqu’on leur demande comment la direction mesure les performances de la sécurité de l’information, de nombreux RSSI répondent encore que les indicateurs clés sont le nombre d’incidents ou le temps de réponse en cas d’incident.
Il s’agit sans doute de facteurs importants. Néanmoins, dans le concept moderne de cyber-immunité que prône Kaspersky, une entreprise bien protégée n’est pas seulement celle qui réduit le plus possible le nombre d’attaques conflictuelles ou qui enquête rapidement sur les incidents, mais celle dont les affaires peuvent se développer avec succès malgré ces incidents.
Après tout, les risques tolérables et les pertes potentielles acceptables à la suite d’incidents diffèrent selon les entreprises. Parfois, il vaut mieux assouplir les mesures de protection pour stimuler le développement des entreprises. Dans d’autres situations, ce n’est pas une option envisageable. Le nombre d’incidents ne peut pas servir de mesure absolue de la performance de la sécurité de l’information. Il faut aussi prendre en compte la façon dont les mesures de la sécurité de l’information affectent la rapidité et le coût du traitement des tâches métier. C’est pourquoi, selon moi, les RSSI doivent avant tout être en mesure d’évaluer correctement les risques et de construire des systèmes de sécurité de l’information parfaitement adaptés à l’entreprise et à ses processus opérationnels, plutôt que de trop se concentrer sur la protection contre les incidents.
Passer plus de temps avec des avocats
Les réponses sur l’importance de communiquer avec les autres départements de l’entreprise est un autre point qui m’a marqué. Les avocats devraient avoir une plus grande importance. Aujourd’hui, la complexité croissante des systèmes d’information et leurs corrélations avec, d’une part les services extérieurs, et d’autre part les lois internationales, font que nous ne pouvons pas ignorer les conséquences juridiques potentielles des décisions des professionnels de la sécurité informatique.
Les personnes interrogées ont placé la communication avec les avocats au quatrième rang, après les gestionnaires financiers, le conseil d’administration et les collègues du service informatique. Il me semble que les échanges avec les avocats devraient au moins prévaloir sur ceux avec les gestionnaires financiers. Si vous considérez la sécurité de l’information comme un outil de gestion des risques de l’entreprise, c’est tout à fait logique.
L’enquête offre des données beaucoup plus intéressantes, c’est pourquoi je vous recommande de la lire en entier.