L'un des aspects les moins médiatisés du métier de RSSI concerne ses rapports avec ses supérieurs. Non pas des rapports réguliers, mais ceux qui se produisent en cas d'incident grave, quand le RSSI doit en référer rapidement au niveau le plus élevé et que celui-ci découvre la réalité d'un incident de sécurité. Dans une étude, réalisée par Morar Consulting et commandée par Palo Alto Networks, un millier de RSSI européens (Allemagne, France, Pays-Bas, Royaume-Uni, Suède) ont répondu à une enquête sur ce sujet.
L'étude met très vite en lumière des relations tendues. En cas d'incident de sécurité, 32% des supérieurs du RSSI montrent leur désarroi, 20% rejettent la responsabilité sur l'équipe de sécurité, 10% sur le RSSI lui-même. La difficulté relationnelle s'amplifie dans plusieurs cas identifiés par l'étude. A 28%, quand l'erreur humaine est en cause, à 23% quand un fournisseur est défaillant, à 21% quand davantage d'investissements auraient évité l'incident.
Impliquer la direction ne fait que compliquer le travail
Une situation tendue que le RSSI a probablement envisagée. Il explique, à 51%, avoir du mal à susciter l'intérêt de sa direction sur les sujets de sécurité. Le reste, 49%, a du mal à envisager qu'une faille s'est produite. La solution passe-t-elle par une meilleure implication de la direction ? C'est à double tranchant. Le tiers des RSSI interrogés estiment qu'impliquer la direction ne fait que compliquer son travail ! Il est vrai que bon nombre de RSSI ne signalent pas les failles parce que la personne qui en est à l'origine fait justement partie de la direction.
Si les professionnels de la sécurité se montrent déstabilisés dans leurs rapports avec le niveau supérieur, ils se montrent plus résolus au fil des années. Les cyberattaques leur ont fait gagner de l'expérience et de l'assurance, 60% d'entre eux voient dans un incident, le moyen de tirer des leçons et même de rebondir. Ils ont quand même 9% à envisager donner leur démission.
Sur les nouveaux aspects règlementaires, RGPD (Règlement général sur la protection des données) et NIS (Network security and information) au plan européen, les RSSI se veulent très engagés, mais toujours prudents, cette question ne pouvant qu'affecter les relations internes. S'ils sont 63% à juger positif l'impact des nouvelles règlementations, 47% d'entre eux prévoient des échanges « corsés » avec leur direction sur ce sujet, 56% s'inquiètent de coûts et des complications qui s'en suivent.
Commentaire