Actualités
Securite
13/06/2014

Carrière : Le témoignage de Thomas - Responsable de la Sécurité des Systèmes d'Information

Dans le cadre de notre activité d’observatoire des métiers nous interrogeons des cadres sur leur métier et leur perception des tendances de court et moyens termes.

Thomas est Responsable de la Sécurité des Systèmes d’Information dans le secteur financier et nous donne sa vision de ce métier et de son évolution.

 

PI : Qu’est ce qui selon vous définit le mieux la fonction de RSSI ?

Thomas : Basiquement, pour moi, c'est quelqu'un qui va définir la stratégie Sécurité SI, tracer le cap de son entreprise. Pour cela, il devra identifier les risques que courent les biens les plus précieux de son entreprise et mettre en oeuvre ou indiquer comment les protéger.

Toutefois de mon point de vue, il ne peut pas le faire dans un champ d'actions limité à l'IT. Je crois profondément que la SSI est un axe de valeur ajoutée pour l'entreprise et que l'on ne peut plus se permettre de jouer seul dans notre coin. Le RSSI doit accompagner ses patrons métiers dans leurs propres stratégies et apporter cette valeur ajoutée. Dans notre monde ultra-compétitif, la SSI doit être un de ces éléments différenciant vis-à-vis de nos concurrents et nous permettre de gagner des parts de marché. C'est un vœu pieux mais le RSSI doit être au plus proche de sa direction ou tout du moins avoir l'oreille attentive de celle-ci pour pouvoir être cette huile dans les rouages et non un frein.

 

 

PI : Depuis le début de votre carrière, quelles ont été les évolutions majeures de cette fonction ?

Thomas :  Le RSSI est passé (ou va passer selon la maturité des entreprises) de Madame/Monsieur "Non c'est trop dangereux" à un "Allons-y ensemble MAIS de façon sûre pour nos clients".

Si je pouvais grossir le trait, le RSSI gérait son firewall, ses serveurs anti-virus et il essayait d'ériger des barrières infranchissables, parfois même pour ses propres utilisateurs, pour protéger les données de son entreprise. A l'ère de la mobilité quasi-totale et du Time-to-Market, il n'est plus possible de construire des forteresses entre le monde pro et perso par exemple. Il faut désormais accompagner nos directions métiers mais aussi marketing, communication dans la création de leurs nouvelles solutions que ce soit pour les utilisateurs de l'entreprise ou pour ses clients.

Le RSSI est passé d'un rôle très technique, très IT à un profil demandant de plus en plus de capacités de communication, de leadership, de gouvernance pour justement accompagner la stratégie de l'entreprise.

 

 

PI : Durant les 10 dernières années avez-vous ressenti une évolution dans les profils de parcours (initiaux et expériences) des RSSI ?

Thomas : Il est compliqué de répondre à cette question tant les profils de RSSI diffèrent selon les entreprises, leurs tailles, leurs coeurs de métier, etc...

Je me rends compte tout de même qu'il y a une vraie professionnalisation du poste. Il faut bien dire qu'en face de nous, les hackers se sont aussi professionnalisés. Nous sommes plus face à un surdoué de l'informatique qui s'amuse à "casser" un système mais à de vraies organisations du crime. Les récentes études évaluent d'ailleurs le cybercrime au même niveau voire plus lucratif que le trafic de drogue, avec beaucoup moins de risques pour leurs auteurs...

Les vols de données retentissants se multiplient dans la presse dite généraliste et du coup les entreprises mettent des professionnels de la sécurité sur ces postes.

Au risque de me répéter, il est aussi maintenant demandé aux RSSI d'avoir des connaissances métier et ne plus être cantonné à ses compétences IT. Sans être un expert, pour identifier les risques, le RSSI doit connaître ou au moins comprendre où se situent les enjeux métier.

 

 

PI : Les Etats-Unis vont lancer des formations spécifiques pour devenir RSSI. Qu’en pensez-vous ? Estimez-vous que la France est en retard sur ce sujet ?

Thomas : Tout d'abord, je n'étais pas au courant de ce type de cursus à venir. Même si une formation ne peut couvrir tous les types de RSSI, elle apportera, du moins je l'espère, un socle de base. D'un point de vue pragmatique, cela ne peut être qu'une bonne chose, cela contribuera à renforcer la professionnalisation du poste de RSSI.

D'un autre côté, je ne pense pas qu'il faille se focaliser sur ce genre de formation ultra-spécifique. Le poste de RSSI demande avant tout une appétence pour la SSI et il existe de très bonnes formations sur ce sujet en France sans qu'elles soient estampillées "RSSI-Ready".

Quelle que soit la formation suivie, à mon humble avis, on ne sort par d'école RSSI, beaucoup de choses s'apprennent sur le terrain et par l'expérience. Rien que l'évaluation d'un risque, l'action de base du RSSI : comment évaluer la probabilité de survenance d'un événement redouté sans un peu d'expérience? Comment évaluer l'impact sans connaître un minimum son entreprise?

On peut y arriver rapidement mais avec de la pratique, pas que de la théorie.

 

 

PI : Quels seront les challenges que les RSSI devront relever dans les 3 à 5 ans à venir ?

Thomas : Je ne vais pas essayer de disserter sur les grands risques IT à venir, les éditeurs de solution de sécurité font des projections bien mieux que moi mais le gros challenge du RSSI à mon sens est d'arriver à intégrer tous les risques.

Je m'explique : je suis plus que convaincu que le RSSI doit sortir de la bulle IT d'où il est issu. Déjà, de plus en plus de RSSI gèrent aussi des problématiques de continuité d'activité. Un des piliers de la SSI est bien la disponibilité après tout!

Cette thématique de continuité d'activité l'amène naturellement à travailler avec la sécurité physique : c'est bien quand un bâtiment a brûlé que l'on déclenche un PCA. Pour éviter d'en déclencher trop souvent, travaillons donc de concert avec la sécurité physique pour renforcer nos moyens de prévention!

Si je pousse le raisonnement plus loin, le RSSI doit aussi faire face à de plus en plus de lois (la LPM en est le parfait exemple) et de réglementations, ceci est particulièrement vrai dans le domaine de la finance et de la santé. Le RSSI doit donc se mettre en relation régulièrement avec les équipes juridiques et de conformité, quand il n'assume pas déjà cette fonction...

Et je parlerai aussi des risques psycho-sociaux et des problématiques RH. Les nouveaux outils de reporting dont les RSSI sont friands pour avoir des tableaux de bord et une vue sur leurs indicateurs de sécurité peuvent donner un sentiment de contrôle omniprésent à certains collaborateurs et parfois cela est mal supporté.

 

 

PI : Quel est l’avenir de la profession selon vous ?

Thomas : Radieux sans aucun doute, en tous cas j'aime le croire.

Déjà les gros titres des journaux nous prouvent qu'il reste encore beaucoup à faire pour protéger nos entreprises et les données qu'elles hébergent : sans remonter trop loin, je pourrai citer les vols de données chez Sony ou Orange ou l'affaire dite "Snowden".

D'autres affaires comme l'attaque de grande ampleur contre l'Estonie en 2007 ou le ver Stuxnet en 2010 ont confirmé que le cyberespace était devenu la 5ème arme après la terre, la mer, l'air et l'espace.

Notre activité n'est donc pas en péril, il y a encore du travail. Les gens comme vous et moi voulons tout avoir à portée de smartphones ou tablettes : consulter nos comptes en banque, faire nos courses, garder le contact avec nos proches et partager nos émotions et pourtant nous ne supportons pas quand les entreprises à qui nous confions nos données se les font dérober!

Par contre le poste de RSSI est encore assez jeune et se pose la question de son évolution. Comme je le disais plus haut, il me semble primordial que le RSSI ouvre son champ d'intervention et de compétences à toutes sortes de risques.

Certaines entreprises ont déjà des équipes en charge de la gestion du risque (que ce soit le risque industriel ou le risque de liquidités), la question est : ces équipes récupèreront-elles la gestion du risque IT ou le RSSI évoluera-t-il vers un poste plus transverse comme un "Risk Manager"?

 

 

PI : Conseilleriez-vous aux jeunes ingénieurs de s’orienter vers cette fonction ?

Thomas : Oui, car vous trouverez bien un poste de RSSI qui vous convienne : dans une petite ou grande structure, dans la finance ou l'industrie, à différents niveaux de stratégie (IT, Métier, Générale...)

Il a déjà une vue transverse de l'entreprise en tant que support du coeur de métier.

C'est aussi un poste exigeant qui demande une curiosité et une envie d'apprendre car dans ce monde ultra-connecté et ultra-réactif, le RSSI doit toujours essayer d'avoir un coup d'avance ou au moins ne pas avoir un coup de retard. Il ne doit pas forcément connaître la nouvelle option du dernier équipement à la mode mais il se doit d'être au courant des évolutions du marché et surtout comment elles pourront accompagner les évolutions de sa propre entreprise.

Il doit aussi savoir faire preuve de diplomatie et de compromis : dans la vraie vie, il est rare et chanceux d'avoir toutes nos exigences remplies d'entrée de jeu. Il faut savoir négocier.

Bref un poste très complet.

 


 

 

News associées :