Sécurité de l’information : le pouvoir d’arbitrage des RSSI progresse
Le Club de la sécurité de l’information français (Clusif) publie l’édition 2018 de son rapport sur les menaces informatiques et pratiques de sécurité (MIPS) en France.
L’enquête a été réalisée cette année auprès de 200 établissements de santé et de 350 entreprises de 100 à plus de 2000 salariés.
Premier constat : le RSSI prend de l’ampleur. Mais les budgets consacrés par les entreprises à la sécurité des systèmes d’information (SSI) stagnent par rapport 2016. En conséquence, la « maturité SSI » des organisations évoluent peu. Principalement du fait du manque de budget justement (pour 36% des répondants). Elles sont aussi impactées par des contraintes organisationnelles (29%) indique le Clusif dans son rapport publié tous les deux ans.
Malgré tout, le nombre d’entreprises ayant formalisé une politique de sécurité des systèmes de l’information (PSSI) progresse. 75% l’on fait (+ 6 points par rapport à 2016 à isopérimètre). Toutefois ce chiffre n’est plus que de 69% lorsque l’on considère le nouveau périmètre de l’étude (à savoir la prise en compte d’entreprises de 100 à 200 salariés). Tiré vers le bas par les entreprises de 100 à 200
Autre enseignement du rapport : la direction des systèmes d’information (DSI) reste prépondérante dans la
formalisation de la PSSI (52%). Elle devance même le responsable de la sécurité des systèmes d’information (RSSI) dans ce domaine (43%).
Rattachement du RSSI
Si 85% des banques ont un RSSI et 80% des établissements de santé. En revanche, la fonction est en repli dans d’autres secteurs. Globalement, 63% des entreprises interrogées déclarent avoir pourvu la fonction, soit 4 points de moins par rapport à 2016.
Malgré tout, le « pouvoir d’arbitrage » des RSSI progresse. Près d’un sur deux (49%) est désormais rattaché à la direction générale, 30% à la DSI. Des taux bien différents à ceux publiés par l’an dernier par le Club des experts de la sécurité de l’information et du numérique (CESIN).
Il n’empêche, les deux organisations jugent que le RSSI gagne en légitimité.
« L’importance de son rôle commencerait-elle à être comprise par les directions générales ? », s’interrogent les auteurs du rapport du Clusif. Elle l’est sans doute, mais lorsque la cryptographie est utilisée (par 30% des organisations seulement), c’est la DSI qui en a largement le contrôle (72%).
Par ailleurs, DSI et RSSI sont tous deux impliqués dans la mise en conformité au Règlement général sur la protection des Données (RGPD). Entré en vigueur le 25 mai dernier, celui-ci mobile de nombreuses ressources. 68% des entreprises se sont déclarées prêtes, dont 46% partiellement.
Les établissements de santé doivent aussi se conformer au RGPD. Ils doivent également s’adapter à un cadre réglementaire en évolution (PGSSI-S, Certification des comptes…). Et s’appuient surtout sur des normes ou des référentiels pour le pilotage de la sécurité de l’information.
En conséquence, le nombre d’établissements de santé ayant formalisé leur PSSI a très fortement augmenté, passant de 50% en 2014 à 92% en 2018. De surcroît, « Le gestionnaire des risques (IT) est principalement le RSSI ». Un bémol, malgré tout, ces établissements peinent encore à bien évaluer les coûts liés à la sécurité de l’information (81% des répondants).
(crédit photo © Shutterstock)