Il y a quelque chose de paradoxal dans le monde de la sécurité informatique. D'un côté, les cybercriminels ont souvent un coup d'avance en s'appuyant sur les faiblesses humaines et logicielles. De l'autre, les RSSI élaborent et mettent en oeuvre une politique de sécurité robuste pour éviter ces menaces. Mais comme le dit l'adage, Rome ne s'est pas faite en un jour et les RSSI ont besoin de temps pour installer une stratégie de sécurité cohérente et efficace. Pour autant les chiffres montrent que RSSI ne rime pas avec pérennité. Selon une étude menée par ESG (Enterprise Strategy Group) et l'ISSA (Information Systems Security Association), la durée d'activité d'un RSSI au sein des entreprises se situe entre 24 et 48 mois. Dans une autre étude, Kasperky Lab constate que la moitié des responsables de la sécurité interrogés conserve leur emploi plus de 5 ans.
Les raisons du départ d'un RSSI sont nombreuses, mais l'attrait d'une rémunération plus élevée est important. Dans un secteur où la pénurie est de mise, les profils de CISO sont très recherchés. Autre raison, ils portent la responsabilité directe en cas d'incident de sécurité. Alex Stamos (ex RSSI de Yahoo et de Facebook) et Susan Mauldin (CSO d'Equifax) en sont des exemples emblématiques. Alors quelles sont les clés pour assurer la longévité des RSSI ? Nos confrères de CSO ont demandé à Andy Ellis, chef de la sécurité d'Akamai pendant 8 ans et présent dans l'entreprise depuis 16 ans, des conseils.
1-Définir et gérer une vision
Il faut établir un programme sur la manière d'associer les métiers et devenir un guide utile et durable sur la sécurité. Pour cela, il faut avoir une idée claire du temps dont vous disposez ou du temps pour apporter de réels changements. L'initiative « zero trust » retenue chez Akamai a duré 6 ans. Quand un RSSI envisage des projets, c'est une chose d'avoir un plan sur 10 ans, mais l'avoir dès son arrivée en est une autre. « Trouver sa place où le RSSI va jouer son rôle, c'est important », explique Andy Ellis. Contrairement aux responsables marketing, commerciaux et même IT, le rôle du responsable de la sécurité est d'aider les entreprises à comprendre et à gérer les risques.