RSSI : QUELLES QUALITÉS PROFESSIONNELLES À VALORISER OU DÉVELOPPER POUR PERFORMER EN 2020 ?
En permettant aux entreprises et aux systèmes d’information d’être plus agiles et connectés, la transformation numérique les a aussi rendus plus vulnérables. C’est donc pour répondre aux enjeux clés de sécurité et pour faire face à des risques croissants que le rôle du Responsable de la Sécurité des Systèmes d’Information (RSSI) a fortement évolué ces dernières années.
Autrefois garant des certifications de l’entreprise (ISO 27001, …), le RSSI doit aujourd’hui posséder de multiples casquettes et des compétences à la fois variées et pointues pour protéger l’entreprise. Il met en œuvre les dispositifs de protection face aux cybermenaces et les moyens pour maîtriser leurs impacts (réduire les vulnérabilités, résoudre les problèmes de conformité…). Il est aussi le garant des budgets, le conseiller, le formateur et le lanceur d’alertes auprès de la Direction et de ses collaborateurs pour l’application des bonnes pratiques et la réduction des comportements à risque.
Cette évolution métier impose de nombreux défis pour les RSSI pour lesquels de nouvelles compétences deviennent clés : sens des affaires, capacités de communication et de présentation, gestion de crise et leadership.
Quelles évolutions attendre du métier de RSSI pour les prochaines années ?
Le RSSI est aujourd’hui l’expert qui, selon l’ANSSI, définit la politique de sécurité du système d’information et veille à sa mise en application. Il joue un rôle de conseil, d’assistance, d’information, de formation et d’alerte auprès de la Direction. Selon la taille de l’entité, il joue un rôle opérationnel dans la mise en œuvre de la politique de sécurité ou encadre une équipe composée d’experts techniques et de consultants. Il propose à l’autorité compétente la politique de sécurité du SI et veille à son application. Il peut intervenir en matière de SSI sur tout ou partie des systèmes informatiques et télécoms de son entité, tant au niveau technique qu’organisationnel. Il effectue un travail de veille technologique et réglementaire sur son domaine et propose les évolutions qu’il juge nécessaires pour garantir la sécurité du système d’information dans son ensemble. Il est l’interface reconnue des exploitants et des chefs de projets, mais aussi des experts et des intervenants.
De plus en plus, il est indispensable pour le RSSI de privilégier l’humain à la technique. En effet, quel est l’intérêt de mettre en place des produits de sécurité si les utilisateurs en font mauvais usage, ou même, ne les utilisent pas ? Le RSSI se doit d’aller régulièrement à la rencontre des unités métiers et des utilisateurs de son/ses SI pour bien en saisir les enjeux et ne plus être perçu comme un obstacle à la productivité, mais bien comme un partenaire.
La transformation numérique et la croissance du nombre de cyberattaques changent les priorités de l’entreprise et du RSSI. Le RSSI est désormais un élément stratégique des équipes dirigeantes. Il s’agit d’une des plus fortes transformations du métier de RSSI, il devient une partie prenante de la stratégie de l’entreprise et doit, à ce titre, pouvoir prendre part aux décisions et être en mesure d’anticiper l’ensemble des évènements de l’entreprise.
Quelles qualités sont nécessaires pour répondre à ces nouveaux enjeux métier ?
Bien que les qualités techniques restent primordiales pour un RSSI, elles ne suffisent plus pour répondre à la variété de la fonction d’aujourd’hui. Comme l’explique Stéphane Renaud le DSI de Vivendi : « La première qualité d’un bon RSSI est qu’il doit être un bon communiquant ».
Voici donc le panel de qualités qui permettent à un RSSI d’exceller :
- Qualités techniques
Premièrement, il est incontestable que le RSSI doit avoir des qualités techniques et une la capacité à faire évoluer ses connaissances dans ce secteur en constante mutation. De plus, il arrive qu’il ait un rôle opérationnel dans la mise en œuvre de la politique de sécurité en lien avec les besoins métiers.
- Qualités managériales
Il doit aussi être un manager qualifié et être doté d’un bon sens de l’écoute. En effet, il encadre généralement une équipe composée d’experts techniques et de consultants. Ces qualités sont d’autant plus importantes que la liste de ses missions s’allonge et qu’il doit être en mesure de déléguer efficacement et en confiance certaines de ses tâches.
- Qualités de gestionnaire
Pour le RSSI, la gestion financière est devenue une compétence indispensable pour composer avec des budgets limités. L’enquête « Life inside the perimeter – Understanding the modern CISO » réalisée par Osterman Research pour Nominet révèle que moins d’un RSSI sur deux (43 %) estime disposer d’un budget adapté. Ainsi, que ce soit pour des prestations intellectuelles, techniques ou des produits de sécurité, le RSSI doit être en mesure de suivre et d’optimiser les investissements réalisés en matière de sécurité.
- Leadership
Bien savoir communiquer est indispensable pour le RSSI, il est le porte-parole des règles communes en matière de sécurité auprès de l’ensemble des parties prenantes : directeurs, managers, collaborateurs métiers et professionnels de l’IT. Si le RSSI préconise de nouveaux outils et usages, il doit également être en mesure d’en assurer l’adoption et d’accompagner ses collaborateurs dans ces changements, une mission régulièrement complexe pour laquelle avoir un bon leadership est nécessaire.
- Qualités juridiques
Le cadre réglementaire autour de la sécurité des systèmes d’information se durcit. Le RSSI doit être en capacité de parler le même langage que les juristes.
- Qualités de gestion de crise
La gestion de crise est aujourd’hui une partie inhérente de la fonction de RSSI. En effet, très exposé médiatiquement et politiquement en cas d’incidents, le RSSI doit être en mesure de prendre les bonnes décisions et de diffuser les bons messages, avec le DSI.
- Qualités de collaboration
Enfin, il est impensable pour le RSSI de travailler seul derrière son bureau, il doit créer du lien avec l’ensemble des collaborateurs et en particulier avec les équipes métiers qui pourront lui remonter les enjeux business. Il doit également travailler main dans la main avec le DSI qui, tel un chef d’orchestre, gère les évolutions du SI et compte sur le RSSI pour veiller à la sécurité de ces dernières.
Son meilleur allié pour parvenir à relever ces nouveaux et multiples défis est incontestablement le DSI : un duo qui gagnera à travailler ensemble, en exploitant leurs complémentarités.