Stratégie

RSSI : il est temps d'enterrer la hache de guerre avec votre DSI

CIO / CISO : un vieux couple où chacun accumule les arguments contre l'autre

Les responsables sécurité pèsent de plus en plus dans les entreprises mais entrent aussi plus fréquemment en conflit avec les DSI.

PublicitéHistoriquement, le directeur de la sécurité (CISO) dépendait du directeur informatique, le CIO, et cela avait du sens. Les deux intervenant sur des sujets techniques, devaient nécessairement être en contact régulier. Mais leurs responsabilités se chevauchent également sur les infrastructures réseau, la sécurité de l'information, la conformité informatique, sans parler de la supervision de la sécurité et de la l'intégration des produits de sécurité.

Cette relation est aussi contradictoire. Du moins, est-elle souvent ressentie ainsi dans la communauté de la sécurité informatique. Le DSI cherchera à apporter de nouvelles applications d'entreprise en ligne, afin de maintenir des niveaux de service et de veiller à ce que les services informatiques sont disponibles pour tous les utilisateurs. En effet, les bonus des CIO sont souvent liés aux indicateurs de performance mis en place !

Pour les responsables de la sécurité, c'est différent, leur objectif ultime est de réduire les risques informatiques. De ce fait, ils doivent avoir le pouvoir de retarder le déploiement de certaines applications ou même de bloquer des ressources informatiques disponibles en ligne s'ils considèrent cela indispensable pour rendre l'entreprise moins vulnérable à une attaque.

Des CISO mieux payés que des CIO

Il y a aussi des pressions en termes de salaires. La sécurité est une profession émergente, généralement dépourvue de KPI, alors que le marché est naissant et la pénurie de compétences souvent médiatisée. Résultat, certains CISO peuvent gagner, aux Etats-Unis, entre 500 000 et 2 000 000 de dollars par an. Par comparaison, suivant l'étude de Robert Half Technology, la moyenne des salaires des DSI américains se situent en dessous, quelque part entre 157.000 et 262.000 dollars. Dès lors, il n'est pas surprenant d'observer des complications.

Ce malaise se traduit par la grogne de responsables sécurité, il y a aussi des preuves pour affirmer que le DSI, s'il se montre désengagé ou indifférent, peut avoir un impact négatif sur la sécurité de l'entreprise. Un rapport de PwC datant de 2014 a constaté que les RSSI rattachés aux DSI ont 14 % de temps d'arrêt en plus. Le même rapport a constaté que les organisations ayant cette structure hiérarchique enregistrent des pertes financières de 46 % plus fortes. Une autre étude, signée par Carbon Black, a révélé que 28% des DSI au Royaume-Uni ne se préoccupent même pas de sécurité informatique.

De plus en plus d'intervenants dans le secteur conseillent aux RSSI de ne plus dépendre des DSI. Tout simplement parce que quelqu'un doit avoir l'autorité suffisante pour bloquer un projet, quand la sécurité de l'entreprise est menacée. Trop de DSI sont encore loin de cette question. Inversement, ces mêmes DSI, sous la pression, se pressent d'innover et peuvent déplorer qu'on tente de bloquer leurs initiatives. On est loin d'un conflit de pouvoir, mais bien au coeur de la transformation des entreprises.

PublicitéDoug Drinkwater / IDG News Service (adapté par Didier Barathon)