Bonnes pratiques et expertises IT
Rechercher

Les RSSI : plus des experts que des leaders

Une étude du cabinet PAC, réalisée pour Kaspersky Lab, révèle que le rôle du responsable de la sécurité des systèmes d’information évolue également pour devenir plus managérial et collaboratif. Mais pas au point de les intégrer au Comex...

Une étude du cabinet PAC, société du groupe CXP, réalisée pour le compte de Kaspersky Lab, révèle que parallèlement à la progression de la transformation numérique qui touche non seulement l’informatique et les métiers mais aussi la cybersécurité, le rôle du responsable de la sécurité des systèmes d’information (RSSI) évolue également pour devenir plus managérial et collaboratif.

Face aux risques croissants, la cybersécurité est devenue un catalyseur-clé de la transformation numérique, protégeant l’entreprise et ses écosystèmes, mais aussi permettant cette transformation. « Pour relever ces défis, le rôle du responsable de la sécurité des systèmes d’information est également en train de se transformer », a déclaré Mathieu Poujol, responsable de la cybersécurité chez PAC.

Le rôle des RSSI au sein de leurs entreprises respectives peut être caractérisé en fonction des indicateurs de performance clés qu'ils utilisent, du service pour lequel ils travaillent et de leurs tâches les plus importantes. Ces indicateurs de performance reflètent les priorités du RSSI : protéger l'entreprise des cybermenaces et de leur impact, réduire les vulnérabilités, résoudre les problèmes de conformité et maintenir les budgets sur la bonne voie.

Si l'on examine la manière dont les performances des RSSI sont mesurées, on peut observer des différences significatives entre les indicateurs de performance, en fonction de la durée de la fonction de RSSI. Il est intéressant de constater que les RSSI en poste depuis peu de temps, sont moins bien notés pour tous les indicateurs de performance clés. Les différences entre les régions géographiques sont importantes. Par exemple, la qualité et la rapidité de traitement des incidents sont un indicateur de performance clé pour 80 % des RSSI interrogés dans la région APAC, alors que seulement 68 % des RSSI en Amérique latine sont évalués en fonction de cet indicateur.

Au sein des RSSI qui pensent ne pas être suffisamment impliqués dans les décisions métiers, 9 % sont moins souvent évalués en fonction de l'incidence des infractions graves et 10 % en fonction des antécédents de conformité. Cela semble refléter le plus faible niveau d'implication des RSSI dans les décisions business au sein de l'entreprise.

Si la participation est une chose, la hiérarchie organisationnelle en est une autre. « Habituellement, on s'attendrait à ce qu'un responsable de la sécurité des systèmes d’information fasse partie des comités exécutifs. Cependant, seuls 26 % des RSSI interrogés font partie du comité exécutif et assistent à toutes les réunions », souligne Wolfgang Schwab, consultant principal chez PAC. Avoir un RSSI au niveau exécutif n’est généralement une réalité que pour les entreprises hautement numérisées, très sensibles, ainsi que pour les très grandes organisations. Ceci est souvent synonyme de maturité élevée en matière de cybersécurité. Cependant, 58 % des RSSI interrogés dans l’étude pensent être suffisamment impliqués dans la prise de décision.

De même, seuls 25 % des RSSI interrogés ne faisant pas partie du comité exécutif pensent qu'ils devraient en faire partie. Les autres sont satisfaits du poste qu'ils occupent actuellement. En Europe, 41 % des RSSI qui ne font pas partie du comité exécutif pensent qu’ils devraient y être.

L'une des conclusions de l'étude est qu’une grande majorité des RSSI ne se voient pas comme des dirigeants métiers, ce qui est normalement un élément clé d’un rôle au niveau CxO, mais plutôt comme des experts du domaine. Les responsables de la cybersécurité font partie des rôles les plus techniques de l'entreprise et sont évalués en ce sens.

Par contre, les RSSI qui souhaitent renforcer leur implication dans les activités métiers sont plus souvent sollicités par le comité exécutif que les RSSI qui ne le souhaitent pas. De plus, les RSSI qui ont un bon réseau au sein de leur organisation et qui sont les plus prêts à s’impliquer dans les activités de leur entreprise sont plutôt perçus comme une source de conseils plus précieuse que leurs pairs sans ce niveau d'engagement. Ceci reflète une tendance des profils RSSI du futur : ils doivent être plus proches des différentes activités de l’entreprise et se concentrer sur les risques métiers.

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

La rédaction

La rédaction

La rédaction de Best Practices fédère les meilleurs experts sur le management des systèmes d’information.

Nos Ouvrages

  • Best Practices
Relations fournisseurs

    La relation avec les fournisseurs est probablement ce qu’il y a de plus complexe à gérer pour un DSI. Autant, pour les problématiques technologiques, on peut s’appuyer sur des standards, autant les interactions avec les fournisseurs, qui comportent une part d’incertitude, d’ambiguïté et de liens personnels, sont délicates à normaliser.

  • Best Practices Spotlight
Symposium Gartner 2018

    Ce numéro de Best Practices Spotlight regroupe l’essentiel des chiffres et des tendances qui ont été présentés lors du Symposium Gartner 2018, qui s’est tenu en novembre à Barcelone.

  • La sécurité du système d’information en 180 questions

    Les cyber attaques n’ont jamais occasionné autant de dégâts dans les entreprises. Comment mieux se protéger ? Ce guide pratique regroupe les 180 questions que doivent se poser les responsables sécurité et les DSI. Avec des réponses concrètes…

A ne pas manquer

  • Services managés : où en sont les entreprises françaises ?

    Best Practices a réalisé une enquête auprès des entreprises et organisations publiques françaises. Avec plusieurs objectifs : cerner les enjeux associés aux systèmes d’information, mesurer les usages des services managés, les budgets associés, identifier

  • Pour en savoir plus sur l’externalisation

    Pourquoi externaliser ? Quels sont les avantages et les inconvénients ? Comment définir les règles du jeu ? Quels sont les points de vigilance ? Quelles sont les dix questions que posent systématiquement les directions générales aux DSI ?

  • Pourquoi les dirigeants européens plébiscitent la Blockchain

    Les dirigeants européens sont conscients que la Blockchain va changer la manière de travailler, révèle une étude de Cognizant. Toutefois, son exploitation concrète est plus problématique.

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris