Une récente étude de Salt Security soulignait que près de la moitié des RSSI interrogés craignent de voir leur responsabilité engagée lorsqu’une violation des données se produit. Une préoccupation majeure pour des responsables de la sécurité des systèmes d’information déjà sous pression du fait du manque de moyens humains et budgétaires.
Tribune – A ce sujet, voici les commentaires d’Erik Gaston, VP of Global Executive Engagement chez Tanium qui revient sur le rôle des RSSI, leurs plans de carrière et leurs responsabilités vis-à-vis de leurs comités de direction :
Les RSSI sont-ils toujours considérés comme le bouc émissaire des compromissions de données ? Si oui, comment et pourquoi ?
« Oui, en fin de compte, ce sont eux qui sont responsables de l’identification et de la communication des risques au sein d’une organisation. Ils doivent élaborer des stratégies de cybersécurité et veiller à ce qu’elles soient appliquées et respectées. Ils sont responsables des outils d’atténuation des risques et de la mise en œuvre des réponses aux incidents. Ainsi, s’il dispose des ressources suffisantes, le RSSI dirige l’équipe et la stratégie qui permettent d’éviter les compromissions de données les plus graves. Tous les secteurs sont confrontés à une vague de cybermenaces sans précédent, mais un bon RSSI saura préserver la sécurité des données. »
Une compromission de données peut-elle avoir une incidence sur la carrière d’un RSSI ?
« C’est tout à fait possible. Je ne pense pas que ce soit la compromission elle-même qui détermine l’avenir de sa carrière, mais plutôt la façon dont le RSSI va réagir. Nous avons vu des exemples de RSSI qui ont tenté de cacher la vérité ou de participer à des opérations de dissimulation de la vérité. Leur responsabilité pénale a alors été engagée et leur carrière de RSSI s’est terminée. D’autant plus qu’ils risquent une peine de prison pour ces faits. En revanche, un RSSI qui réagit de manière appropriée à une compromission de données, qui la signale comme il se doit et qui agit en tant que communicant et leader en temps de crise peut conseiller efficacement d’autres personnes occupant des postes similaires, que ce soit au sein de la même organisation ou même dans des organisations plus importantes. »
Quelle est la durée moyenne du mandat d’un RSSI, avec ou sans crise à gérer ?
« En moyenne, le mandat d’un RSSI dure 18 mois. Je pense que cela s’explique par le fait que pendant les six premiers mois, le RSSI essaie de se faire une place au sein de l’organisation. Il apprend le rôle de chacun. Les six mois suivants sont consacrés à essayer d’influer sur la politique. Ces six mois sont cruciaux : soit il se heurte à une résistance interne trop forte et ne parvient pas à améliorer la posture de sécurité de l’entreprise, soit il réussit à mettre en œuvre des changements significatifs. Les six derniers mois sont consacrés à la mise en conformité et à l’aide aux retardataires… ou à la recherche d’un emploi qui leur permettra d’aider une autre organisation. Les RSSI sont une espèce particulière. Ils veulent aider, mais s’ils ont les mains liées, ils ne sont pas prêts à rester pour assumer le risque d’une organisation qui n’est pas disposée à travailler dur et à réduire son exposition au risque. Ils aiment aussi les défis. Une fois qu’ils ont mis une organisation sur la bonne voie, ils sont prêts à s’attaquer à leur prochain défi cyber. L’ensemble des compétences d’un RSSI est tout à fait unique – c’est un mélange d’introversion et d’extraversion, de technique et de stratégie, de communication et d’écoute. Si vous avez un bon RSSI, vous avez tout intérêt à le garder le plus longtemps possible. »
En d’autres mots, pourquoi les RSSI changent-ils de poste ?
« Pour de nombreuses raisons – ils sont toujours à la recherche d’un défi et de la possibilité de réduire les risques pour une organisation. Je pense qu’ils veulent s’appuyer sur ce qu’ils ont appris et faire plus et mieux pour la prochaine organisation. Les RSSI discutent également avec leurs pairs. Ils sont conscients des opportunités d’emploi et veulent avoir la possibilité d’aller dans un endroit où ils seront écoutés et où ils auront une liberté d’action. Il y a tellement d’opportunités pour ce type de professionnels chevronnés. En outre, la technologie évolue rapidement dans le domaine de la cybersécurité. Après avoir fait évoluer une organisation dans une certaine direction, celle-ci se rend compte qu’elle souhaite essayer une approche différente. Peu d’organisations offrent aux RSSI la possibilité de changer constamment et de déployer de nouvelles technologies année après année. Toutes ces raisons expliquent pourquoi une personne évolue au sein d’un même secteur. Si vous parlez d’un RSSI qui passe du secteur public au secteur privé, l’attrait d’un salaire plus conséquent ne peut être ignoré. Il est peut-être fatigué de devoir travailler avec des ressources limitées et de faire de la politique interne. S’il s’agit d’un RSSI qui passe du secteur privé au secteur public, je pense qu’il s’agit d’une situation tout à fait courante en fin de carrière. Ils veulent faire quelque chose pour le bien commun, rendre le monde un peu meilleur et laisser leur marque. Ils peuvent également vouloir contribuer à la protection des institutions qui abriteront leurs données. »
Pouvez-vous expliquer ce que l’on appelle la “valse” des RSSI ?
« Je pense qu’il est de la responsabilité de l’organisation de décider combien de temps un RSSI restera en poste. Traitez-le bien et assurez-vous qu’il dispose de ressources suffisantes, qu’il est un membre apprécié de l’équipe de direction et du conseil d’administration, et vous le verrez rester plus longtemps. Si vous ne les valorisez pas suffisamment et ne leur fournissez pas assez de ressources, vous risquez de perpétuer la “valse” des RSSI. Votre organisation est-elle vraiment prête à réduire les risques ou s’agit-il simplement d’une case à cocher pour dire que vous le faites ? Si vous ne comprenez pas la valeur qu’un RSSI apporte à votre organisation, vous ne tarderez pas à le découvrir lorsque vous devrez faire face à une compromission de données. »