La sécurité informatique plus proche du Directeur des risques que du DSI ?
Les responsables de la sécurité informatique en entreprises ont évolué. Moins opérationnels et techniques, ils sont aujourd'hui davantage attachés au Directeur des risques.
PublicitéLe nouveau Directeur des risques informatiques est arrivé, celui qui va combler le fossé entre la technologie et le risque. De nombreux RSSI (Responsable de la sécurité des systèmes d'information) et CISO (Directeur de la sécurité informatique, Chief information security officer) commencent d'ailleurs à faire leur compte-rendu au Directeur des risques plutôt qu'au Directeur de l'informatique.
Le fait de placer la sécurité informatique dans le cadre de la gestion des risques d'entreprise signifie un changement de fonction pour le CISO. Un tel changement ne s'est pas fait sans polémique, l'objection principale étant que la technologie soit toujours au coeur du sujet. Quels sont les avantages et les inconvénients de ce changement ?
Le métier de CISO a évolué
« C'est autant un changement de mentalité et de langage que de structures organisationnelles », estime Steven Grossman, vice-président chargé de la stratégie et de l'habilitation à Bay Dynamics., au départ c'était celui qui gérait les pare-feu, la sécurité, et la protection des informations comme étant une partie essentielle du business de l'entreprise. « Leur rôle relevait de l'IT parce que c'est là que tout se joue. Puis est venu leur rattachement au DSI, et leur évolution vers un rôle exécutif essentiel pour l'entreprise», a estimé Steven Grossman.
Comme la technologie a évolué, il en va de même pour le CISO. « La sécurité est d'abord centrée sur la technologie, mais c'est vraiment un problème de gestion des risques qui nécessite une approche axée sur le risque et un langage également axé sur les risques", a souligné Steven Grossman.
Quand le CISO dépend du Directeur des risques (CRO, chief risk officer), la sécurité devient plus conforme aux objectifs de l'entreprise. « Cinq ans auparavant, cela n'aurait jamais été un sujet, mais maintenant les RSSI les plus performants le mettent en avant », a déclaré James Christiansen, vice-président de la gestion des risques et de l'information chez Optiv.
Dépendre du Directeur des risques
À bien des égards, ce nouveau CISO fait le lien en matière de communication entre la technologie et les dirigeants de l'entreprise, qui parlent souvent des langages différents. La présence d'un CISO possédant les connaissances techniques et capable de traduire la technologie en termes de risque permet au Directeur de ces risques d'avoir un impact plus efficace sur le Comex.
La séparation peut potentiellement créer des objectifs contradictoires entre le risque et la technologie. Mais, si c'est fait correctement et si tout le monde joue le jeu, tout devrait fonctionner. Toujours selon Steven Grossman: « L'objectif est de gérer la sécurité d'une manière plus efficace, de sorte qu'il n'y ait plus de silo dans l'entreprise ».
PublicitéKacy Zurkus / IDG News Service CSO / adapté par Didier Barathon
Article rédigé par
IDG News Service,
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire