Le RSSI semble bien en peine de faire progresser la maturité de son entreprise en matière de sécurité. Acteur ou simple figurant ? La question est posée.
Mais à quoi bien peut servir un RSSI (Responsable de la Sécurité des Systèmes d’Information) ? Provocante, la question mérite cependant d’être posée. Si la fonction apparaît clairement identifiée et attribuée pour 67% des sondés, contre 62% il y a deux ans, l’étude du Club de la sécurité de l’information français (Clusif) pose clairement la question de la maturité. Tout indique qu’il en va de même chez nous.
On reste toujours dans la technique : ainsi pour beaucoup la sécurité reste une histoire de mise en place de solutions technologiques. Le RSSI est donc une personne de l’IT. D’ailleurs, le RSSI est rarement rattaché à la direction générale (30%) des entreprises. C’est à peine mieux qu’il y a deux ans (27%). Quoi qu’il en soit, le RSSI ne se voit pas pleinement confier les moyens qui lui permettraient de contribuer effectivement à sa progression. Pour 42% des sondés, la sécurité informatique souffre d’un manque de budgets. Et cela se traduit par des ressources humaines limitées : seulement 8% des sondés indiquent que la fonction SSI dispose de plus de 5 personnes à temps plein, contre 21% pour 3 à 5 personnes. Et, dans près de 70% des entreprises, la sécurité du système d’information doit se contenter de moins d’une personne à temps plein (20%) ou d’une ou deux personnes (46%).
Rapportant à la direction IT dans 42 % des cas, ou à la direction administrative et financière dans 7%, le RSSI n’apparaît pas jouir d’une très large autonomie. Il n’est pas surprenant que les contraintes organisationnelles apparaissent en deuxième position des freins évoqués à la conduite de ses missions (37% des sondés). Et dans un tel contexte, l’allocation des budgets n’apparaît guère surprenante : près d’un tiers des sondés font état de moins de 1% du budget informatique; un quart estime disposer de 1 à 3% de ce budget. C’est peu. Au final, bien que le nombre de RSSI croisse, la maturité des entreprises stagne.
La menace est toujours bien présente et l’enquête montre de nouveau que les malveillances et les incidents de sécurité ne faiblissent pas. Le temps des politiques de sécurité «parapluie», que l’on formalise pour se donner bonne conscience, est globalement terminé. Il n’en reste pas moins que les organisations doivent encore et toujours évoluer pour atteindre un niveau de maturité suffisant en matière de sécurité de l’information. Il y va de leur survie, au regard des enjeux qu’elles portent et des données dont elles ont la responsabilité.