La communication entre les RSSI et leur hiérarchie a toujours été complexe en raison du peu d’attention accordé au département informatique. Pour une sécurité optimale, les Responsables de la sécurité du système d’information s’attendent pourtant à plus de soutien de la part des DSI.
Les DSI tiraillés entre deux objectifs
Dans une entreprise, la gestion du département informatique et des Responsables de la sécurité du système d’information revient le plus souvent à la DSI. Comme le révèle l’étude JEMM Vision, elle peut cependant être attribuée à un risk manager et, dans ce cas, l’évaluation des risques n’est pas la même. La réaction du DSI face à un incident ne sera effectivement pas la même que celle du risk manager. Pour autant, ça ne signifie pas que le DSI est plus efficace, car il lui est de plus en plus difficile de répondre favorablement aux sollicitations des Responsables de la sécurité du système d’information. La pression des clients ainsi que l’attente de productivité constituent par exemple des obstacles importants à la qualité des échanges entre les deux départements.
Dans de nombreux cas, le RSSI s’attend à plus de soutien de la part de leur hiérarchie que ce soit auprès des collaborateurs ou du comité exécutif. C’est d’autant plus vrai lorsqu’il s’agit d’émettre des messages de prévention. Dans ce genre de cas, les DSI ont en effet du mal à prendre des mesures efficaces pour faire face au risque de menaces, cyberespionnage et faux messages électroniques. L’étude JEMM Vision fait d’ailleurs la lumière sur les contraintes qui leur sont imposées. Entre les demandes émises par les directions métier ou les clients et la sécurité des données transitant par le système d’information, les DSI doivent souvent chercher à atteindre des objectifs contraires.
Privilégier la sécurité
Pour gagner du temps, les DSI négligent ainsi les Responsables de la sécurité du système d’information dans les processus de prises de décision. Ils sont en effet nombreux à penser que demander l’avis du département informatique ne ferait que rendre l’organisation interne plus difficile, car il en résulterait inévitablement des règles à suivre. La mise en place de mesures de sécurité parallèlement à la réalisation de projets est ainsi souvent considérée comme un frein au développement rapide de l’entreprise. Pour autant, les DSI révèlent qu’ils n’ont aucun problème avec leur chef de sécurité informatique. Ils reconnaissent seulement que le respect de ces règles aurait une incidence sur la bonne avancée des projets.
Marcel Lecoeur, RSSI de l’Ircem, révèle par exemple qu’un projet a dû être retardé de plusieurs semaines pour la simple et bonne raison qu’un firewall a dû être installé sur le réseau de l’entreprise. De tels retards ont non seulement un impact négatif sur les relations avec la clientèle, mais entrainent également une hausse inévitable du coût des projets. Les Responsables de la sécurité du système d’information tiennent pour leur part à rappeler que si la question de sécurité était abordée plus tôt, la mise en place des différentes solutions reviendrait moins cher et ferait gagner beaucoup plus de temps.
1 comments