/fdata%2F4266034%2Favatar-blog-1212474526-tmpphpFMIwYn.jpeg){kind=avatar}
Lors de différentes conférences ou réunions de RSSI récentes, j'ai pu échanger quelques idées sur l'avenir des RSSI et en particulier sur le positionnement et les activités de notre profession.
L'évolution naturelle et logique du RSSI a été de s'émanciper de ses fonctions techniques et de la DSI pour être rattaché à la gestion des risques ou à celle de la qualité. Peu à peu les RSSI ont ajouté à leurs compétences des notions juridiques, règlementaires, voire de ressources humaines ou d'ethique comportementale.
Les choses (le niveau et la culture sécurité) ont bien progressé pendant les dix années écoulées, malgré quelques piratages spectaculaires, les RSSI ont progressé en nombre et en qualité de formation, et donc la sécurité des sites aussi. La norme ISO 27001, même si elle ne s'est pas imposée en tant que telle, a inspiré de nombreuses politiques de sécurité et de bonnes pratiques.
Et soudainement, en quelques mois, tout ce bel élan s'est trouvé compromis: l'arrivée simultanée des notions de cloud, des smartphones, des tablettes, des réseaux sociaux, du nomadisme, du télétravail, du chat, des tweet, a fait perdre aux RSSI (et aux DSI) le contrôle total de la situation. Des connexions ou des synchronisations au réseau et aux données de l'entreprise d'appareils non maîtrisés sont venues perturber ce bel ensemble, comme j'ai décrit dans mon article précédent "le paradis perdu"...
J'ai été témoin d'une certaine résistance au changement de la part des RSSI, explicable en partie par l'écart entre les nouvelles générations d'utilisateurs et notre moyenne d'âge... Mais le phénomène étant ineluctable, il est apparu rapidement que l'informatique basculait dans le domaine du "consommable", comme l'utilisation de la téléphonie ou de la télévision.
Tous ces médias ayant fusionné (offres multi-play des opérateurs, voix-données-TV) il devient alors difficile pour l'entreprise de contrôler non seulement les matériels mais également les flux de données sur le réseau autrement dit ses "frontières" avec Internet.
Le "jour d'après" cette révolution numérique nous laisse entrevoir, en conséquence, une modification des fonctions du RSSI: Dans notre roue de Deming du "Plan- Do-Check-Act" (voir l'article sur l'amélioration de la qualité), la fonction "Do" c'est à dire la mise en oeuvre a été laissée dans la DSI, alors que le RSSI est plutôt dans le "Plan" et dans le "Act" c'est à dire dans la planification et le suivi du plan d'actions correctives. L'évaluation des risques préalable conditionne alors le plan d'actions, dans le sens où certains risques vont être réduits par la mise en oeuvre de nouvelles mesures de sécurité ou bien par l'amélioration de celles existantes.
En réalité je vois l'avenir des RSSI dans le "Check" c'est à dire la vérification des mesures de sécurité et du niveau de sécurité réel. La fonction de RSSI dans un monde numérique banalisé et flouté dans sa frontière entre l'entreprise et le particulier employé de celle-ci, forcément réside, d'après moi, dans la vérification de cette sécurité. Bien entendu tous les RSSI ne sont pas des auditeurs, et encore moins des "pentesteurs", mais ils est logique qu'ils en aient le positionnement (dans une entité d'audit ou d'inspection) et les prérogatives et les compétences pour "faire-faire". Ils vont également devenir des "référents" de solutions de sécurisation dans ces nouvelles demandes, que cela soit d'un point de vue organisationnel (chartes éthiques, sensibilisations) ou technique (filtrage des accès, protection sur les nouveaux medias).
Le RSSI typiquement va devenir un "vérificateur de sécurité" et un "référent de sécurité". C'est ainsi qu'il sera le plus utile à l'entreprise, et aidera ses collègues pour les "protéger & servir" comme le dit ma devise des RSSI.
Voici venu le temps des "RSSI-Check" !