De plus en plus digitalisées, les organisations commencent à prendre davantage en compte les risques et vulnérabilités des systèmes d’information. Il n’est plus rare de voir une cyberattaque faire l’actualité et les termes “phishing”, “cheval de Troie”, “ransomware”, “intrusion” sont devenus courants.
Or, le nombre de RSSI (Responsables de la Sécurité des Systèmes Informatiques) est limité en France en 2023. Le manque de RSSI pose de sérieux problèmes aux entreprises. Explications.
Face aux menaces actuelles, les DSI des entreprises semblent relativement désarmés. Il est vrai que la fréquence et l’ampleur des attaques, comme la variété des organisations touchées et l’adaptation toujours plus rapide des pirates sont des phénomènes récents.
Encore aujourd’hui, le DSI est souvent le seul garant de la sécurité du système d’information dans l’entreprise. Pourtant, la problématique se spécialise chaque jour un peu plus et gagne en complexité. La cybercriminalité s’organise avec des attaques de plus en plus sophistiquées et les conséquences tant financières que techniques, pour rétablir et remettre en sécurité les systèmes ou reconstituer les données, deviennent critiques. Sans compter les impacts négatifs voire désastreux en termes d’image et de réputation. C’est pourquoi les DSI cherchent de plus en plus à s’adjoindre les compétences d’un Responsable de la Sécurité des Systèmes d’Information (RSSI) ou Chief Information Security Officer (CISO) dont la mission vise à garantir la disponibilité et la fiabilité du système d’information, à préserver sa confidentialité et son intégrité, et à assurer la sécurité de toutes les opérations numériques.
Mais les entreprises sont confrontées à une difficulté de taille : les RSSI manquent sur le marché. Comme indiqué précédemment, le développement accéléré de nouvelles formes de cyberattaques plus complexes à déjouer ou à neutraliser est une tendance récente et peu de spécialistes y sont véritablement formés et aguerris. En effet, les modules d’enseignement à la cybersécurité dans les formations supérieures n’existent que depuis quelques années. De fait, les profils expérimentés sont très peu nombreux alors que la demande explose tant de la part de startups, d’Entreprises de Services du Numérique (ESN), que de celles de grands groupes ou d’administrations.
On parle librement de :
→ RSSI de transition
→ CISO de transition
→ Responsables de la Sécurité des Systèmes d’Information
→ Chief Information Security Officer
Le RSSI de transition est un manager de transition qui occupe, temporairement, la fonction de RSSI. « Temporairement » veut dire dans le cadre d’une mission aux limites définies dans le temps. On trouve normalement ce profil en recourant aux entreprises de management de transition.
Le recours à un CISO de transition s’avère une solution intéressante face à la carence d’experts RSSI, pour tout type d’organisation, entreprises dans l’IT, startups et grands groupes. Pour les premiers types d’entreprise, il peut intervenir par exemple pour sécuriser les développements quand cela s’avère nécessaire et permettre la poursuite de la croissance en toute sécurité. Pour les grands groupes, il peut s’agir de renforcer les systèmes de sécurité des systèmes d’information ou d’aider l’entreprise à obtenir des certifications permettant de démontrer la robustesse des systèmes d’information. Quelle que soit le type de mission (remplacement ou besoin d’expertise), chez IMfinity nous disposons d’experts aguerris, que nous accompagnons tout au long de leur présence dans l’entreprise.
Les interventions d’un RSSI de transition sont variées :
Professionnel doté d’un fort leadership, au contact de l’ensemble des acteurs de l’entreprise, le CISO de transition peut conduire les changements nécessaires et favoriser une culture de cybersécurité au sein de l’entreprise. Au fait des risques et vulnérabilités propres à tout système d’information et des nouvelles menaces en émergence, des procédures techniques, des mesures de sauvegarde ou encore des exigences liées au RGPD, il est également compétent sur les questions de conformité et peut mener les tests et audits pertinents. En cas de crise, il est un interlocuteur expérimenté apportant crédibilité et confiance aux différentes parties prenantes y compris pour “calmer le jeu” dans le cas de sociétés cotées. Enfin, il dispose de la vision globale nécessaire à une politique efficace à tous les niveaux.
De plus en plus d’organisations reconnaissent avoir déjà été la victime au moins une fois d’une attaque majeure. Plus généralement, toute entreprise est aujourd’hui confrontée à une cybercriminalité d’une ampleur encore jamais atteinte. Une prise en compte de plus en plus pointue et spécialisée des menaces et des vulnérabilités susceptibles de peser sur les systèmes d’information devient stratégique. IMfinity propose des profils de RSSI de transition à la hauteur de ces enjeux.
Auteur : Alan Daifuku
Directeur Associé du pôle DPO / IT de IMfinity.
