Le RSSI : un schizophrène en évolution ?

Lors des dernières Assises, faisant la synthèse de l’évolution de sa fonction, le RSSI est apparu comme un quasi-schizophrène. Terme, disons-le assez peu rassurant mais qui  traduit parfaitement les nombreux paradoxes de notre métier.

A l’origine était le RSSI technique (désormais des dinosaures ? :) ), puis vint la nécessité de prise de hauteur et de recul, de rapprocher la fonction de la stratégie d’entreprise, jusqu’à l’excès et la génération des « RSSI Powerpoint » dont les licenciements massifs, aux Etats-Unis, au milieu des années 2000, nous ont ramenés à la réalité.

Mission « Grand écart »:

Dans les faits, peu de fonctions sont amenées à réaliser de tels grands écarts en entreprise !

Si aujourd’hui on distingue volontiers, deux profils principaux de RSSI technico - opérationnel et de RSSI plus orienté pilotage et stratégie, nous sommes bien, en charge de toute la « chaine de valeur sécurité» :

- Notre mission va, en effet de l’analyse de risques au dialogue avec les experts techniques de la DSI
Autrement dit, nous devons convaincre les dirigeants des potentiels impacts sur leur métier et vérifier auprès des experts techniques l’efficience et la faisabilité des mesures de sécurité.

- Nous devons être  à la fois méthodiques (apport des normes ISO 270xx partagé et reconnu par tous-) et pragmatiques. Faut-il opposer ce pragmatisme à la vision  dogmatique d’une norme ? Certainement pas ! La norme est la référence qui guide notre démarche et être pragmatique nous positionne comme ce « business enabler » que nous revendiquons. Le pragmatisme n’induit pas de dire oui à tout mais d’adapter l’esprit de la norme aux réalités de chacune de nos entreprises.


Mission « Paradoxe » :
Les nombreux paradoxes de notre fonction pourraient également se traduire par des interrogations telles que « Faut-il faire-faire ou faire soi-même ? » ; « Dois-je centrer mon énergie, ma capacité à faire sur le suivi d’une cartographie exhaustive des risques de sécurité ou sur la réduction des risques  dont je sais, par expérience, qu’ils y apparaitront comme majeurs ? ».

Le dernier de ces paradoxes, preuve que la fonction est en mouvement perpétuel,  nous est apparu aux Assises. Alors que notre attention se focalise sur des (r)évolutions majeures qui vont profondément changer notre métier et l’entreprise (Cloud, consumérisation,  BYOD,…), le « back to basic » s’impose comme une nécessité, argumentée par les nombreuses affaires de cyber-sécurité médiatisées en 2011. Convaincre une direction générale que ces tendances de fond sont inévitables et que leur adoption doit s’accompagner de certaines précautions est assez éloigné du contrôle de la maitrise des accès à risques de la DSI ou d’une gestion efficace des correctifs de sécurité.


Afin d’éviter la schizophrénie, nous devrions simplement accepter  le constat de ces écarts et de cet équilibre instable dans lequel nous nous trouvons.  Notre fonction en entreprise est complexe, tout comme le sont les entreprises, totalement dépendantes d’un système d’information en pleine mutation. 

Le temps où l’ensemble de ces problématiques étaient portées par LE RSSI seul semble révolu ! La gestion des risques de sécurité du système d’information ou plus largement, la gestion des risques de l’information me semble devoir  évoluer vers une activité véritablement transverse faisant intervenir de nombreuses compétences existantes dans l’entreprise : gestion des risques, juridique, innovation contrôle interne, conformité, DSI… Le RSSI devrait sortir de son rôle de gourou pour celui d’un véritable chef d’orchestre. Et pourquoi pas, concrétiser cette évolution dans l’intitulé même de sa fonction…

Jean-François Louâpre
Responsable Sécurité, AG2R La Mondiale