Business

Sécurité : le RSSI toujours bridé

Placés de plus en plus sous la tutelle des DSI, les responsables sécurité informatiques en entreprises n'ont pas forcément gagné en importance. Ils restent cantonnés à un rôle technique, de choix de produits, sous de fortes contraintes budgétaires, sans pouvoir aborder l'analyse et la préconisation qui seraient plus en rapport avec l'importance de leur sujet.

PublicitéTous les deux ans, le Clusif, Club de la Sécurité de l'information français (*) publie son étude MIPS (Menaces informatiques et pratiques de sécurité), avec un volet principal consacré aux entreprises (les deux autres ont trait alternativement aux collectivités locales ou aux hôpitaux et aux particuliers). 350 entreprises ont répondu (**).

Comme en 2012, le principal frein à la conduite des missions de sécurité reste le manque de budget, déploré dans 34% des réponses, le même chiffre que deux ans en arrière. Derrière, les RSSI invoquent d'autres facteurs, par ordre décroissant d'importance : le manque de connaissances, 25% des réponses, 11 points de plus qu'en 2012, les contraintes d'organisation, 22% des réponses 7 points de moins, la réticence de la « dg » 19% des réponses, 1 point de moins, enfin, le manque de personnel qualifié, 16% des réponses, 5 points de moins.

Des budgets en diminution

Ce manque de connaissance passe de la cinquième à la deuxième place. Pour le Clusif, c'est la preuve que les RSSI gagneraient en importance en portant des questions plus techniques. De même ces RSSI ressentent moins le poids de la DSI et de ses éventuelles réticences à les soutenir qui sortent du « top 5 » des freins. Ils seraient donc un peu mieux reconnus, mais sans moyens supplémentaires. Le périmètre du budget sécurité est un peu mieux cerné, du moins est-ce l'opinion de 36% des RSSI interrogés, contre 25% en 2012. Mais ce budget diminue, affirment 54% d'entre eux (ils étaient 64% en 2012), la perception d'une augmentation forte ou moyenne est le fait de 27% seulement de ces responsables. Le poste qui enregistre la plus forte hausse est celui de la mise en place de solutions. Mais, on reste trop dans la technique juge le Clusif, dans le choix de produits pas assez dans l'analyse et la préconisation.

Nombre d'items sont dans le même registre d'une évolution faible voire d'une régression du pouvoir des responsables sécurité. Le nombre d'entreprises ayant formalisé un PSI (Plan de sécurité informatique) est pratiquement inchangé depuis quatre ans : 64% cette année, 63% en 2012 et en 2010. Et pourtant, le nombre de RSSI dans le même temps augmente, du moins la fonction est-elle de plus en plus clairement attribuée, dans 62% des entreprises contre 37% en 2008. 47% des RSSI sont à plein temps sur cette fonction, contre 63% en 2012. Elle entre donc souvent dans le cadre d'une « pluri-activité » interne. Dans 43% des cas, le RSSI est seul ou en binôme. Dans 8% des cas, l'équipe RSSI dépasse les 5 personnes. Si le RSSI n'existe pas en tant que tel, le DSI s'occupe de la fonction, sinon c'est le responsable système et réseau ou celui de l'exploitation qui fait fonction de responsable sécurité.

Le RSSI appartient à la DSI

PublicitéDes responsables rattachés là la DSI dans 46% des cas, au DAF, pour 8%, à la dg dans 47% des entreprises. Ce dernier point se rencontre dans (...)

Lire la suite sur Réseaux & Télécoms.