Actualités
05/12/2013

Sécurité : Y a-t-il assez de RSSI pour couvrir les besoins des entreprises ?

S’il y a bien un secteur qui ne connait pas la crise, c’est bien le domaine de la sécurité. Les Responsables de la Sécurité des Systèmes d’Information ou Chief Information Security Officer sont bien évidemment concernés pas cette situation, car ils doivent réaliser la combinaison entre les problématiques techniques et business.

Ce type de profil est rare et il est clair que même à moyen terme il n’y aura pas de chômage pour ces spécialistes.

La conséquence pour les entreprises est moins positive, car elles vont devoir lutter pour recruter et conserver leurs RSSI. On note une évolution du métier et des compétences développées par ces profils. La professionnalisation de ce métier prend de plus en plus le pas sur le « bricolage » et « l’à peu près ».

La SSI traverse les mêmes étapes que le SI a traversé ces dernières années : du millefeuille technologique (superposition de couches de sécurité sur le matériel et le logiciel), les RSSI doivent mettre en place une urbanisation de la SSI. Il s’agit pour eux d’avoir une vision globale, cohérente. D’un profil MOE, la fonction bascule vers un mixte de consulting, d’analyse de risque, de change management, de marketing, etc. En clair : ce sont des couteaux Suisses.

Il n’est déjà pas rare pour les entreprises de mettre plus d’un an pour recruter ce type de spécialiste. Ce « manque » de ressources ira croissant en partie à cause de l’élargissement du périmètre nécessaire à couvrir lorsque l’on est à ce poste.En effet, les menaces croissent de manière exponentielle.

Cela prend du temps d’identifier et de comprendre les nouvelles technologies, les vulnérabilités qu’elles présentent et comment s’y adapter au mieux. Adapter les contrôles à cet univers en perpétuel changement est un challenge de tous les instants. Avoir un bon background technique peut parfois s’avérer nécessaire, mais pas suffisant. Les RSSI doivent apprendre et mettre en œuvre de nouvelles compétences et méthodes régulièrement, afin de gérer dynamiquement la gamme de risques la plus large possible.

Dans ce contexte, les entreprises ne peuvent plus s’en passer, les attaquants ont « 10 coups d’avance ».

Au-delà de la technique, un bon RSSI doit être capable d’appréhender les enjeux métiers tels que la finance, le marketing et le juridique. Il doit être capable de comprendre les activités de l’entreprise et de son écosystème.

Est-ce que ce type de personne existe ?

Le poste de RSSI est devenu tellement multidimensionnel qu’il est devenu difficile pour les entreprises d’en définir les contours. Où commence le poste et où finit-il ?

Les dimensions clés du poste tiennent aux éléments suivants :

  • Construire des relations avec toutes les parties prenantes internes et externes
  • Construire et partager une vision
  • Etre capable de parler à tous les niveaux de l’entreprise

Dans certaines entreprises, le RSSI est perçu comme un empêcheur de tourner en rond, que l’on n’hésitera pas à blâmer si un incident survient (même si cela n’est pas de son ressort). Il n’est pas considéré comme un acteur important de l’entreprise, mais comme un pis allé.

Il apparait que la demande en RSSI excède le nombre de profils compétents et disponibles sur le marché. Une étude parle même d’un accroissement de la demande de spécialiste en SSI de plus de 10% par an sur les 5 prochaines années. Donc, si le marché semble tendu, vraisemblablement ça ne fera que s’accentuer.

Un des axes pour limiter le manque de ressources disponibles concerne la formation de spécialistes en plus grand nombre. Le poste de RSSI nécessitera également une meilleure promotion à l’intérieur et à l’extérieur des entreprises, afin d’amener les jeunes informaticiens à s’orienter vers cette fonction.

Il semble particulièrement adapté de recourir aux formations en alternance, afin d’assurer une mise en pratique le plus tôt possible des connaissances théoriques.

Des formations spécifiques au métier de RSSI peuvent également réduire le manque de profils disponibles, en faisant le lien entre technologies et d’autres fonctions dans les entreprises.

Les entreprises se rendent compte que ce type de compétences est rare et difficile à recruter. Elles n’hésitent plus à recourir à des recruteurs spécialisés afin d’identifier, évaluer et enfin recruter les personnes adaptées.

Les RSSI ont de beaux challenges en perspective.


A LIRE AUSSI