Directeur de la Sécurité des Informations : difficile à recruter, difficile à garder !

Par Théodore-Michel Vrangos | 18/02/2015 


Pas une semaine sans qu’un grand nom de l’économie ne fasse la une après une cyberattaque.

Il y a eu Sony et sa filiale Sony Pictures, avec à la clé un grave préjudice, des films en téléchargement libre, des milliers de données personnelles volées. Le bilan financier est impressionnant avec des dizaines de millions de dollars de perte, aux dires de la société elle-même.

Apparemment c’est la Corée du Nord qui serait derrière cette attaque. Mais peu importe la cause, ou les initiateurs, les analyses forensics établiront les sources, les traces et les cheminements. Ce qui compte c’est ce constat frappant et inquiétant, étayé par différentes études de prévisionnistes, telles que celle du cabinet Gartner en septembre 2014, qui montre l’explosion des attaques, le quasi-automatisme de l’arme cybernétique & Internet, dégainée dans la vengeance, dans le vol, dans la compétition économique, dans le militantisme, dans la doctrine et les extrêmes.

La réalité est bien là : jour après jour les entreprises, grandes et moyennes notamment, sont et seront la cible d’attaques.

Dans les entreprises, un profil nouveau est apparu depuis environ dix ans, le Responsable Sécurité Systèmes d’Information. Il a un rôle central, celui de cristalliser la lutte, la protection et la surveillance préventive. En anglais et dans le monde international il s’appelle CISO (Chief Information Security Officer) ; on remarque immédiatement son importance supérieure : il est au même niveau que le CIO (DSI) ou le CTO (directeur technique). Le titre de Directeur de la Sécurité des Systèmes l’Information semble aujourd’hui plus adapté.

Un récent article dans USA Today mettait en lumière qu’un certain nombre de grandes cyberattaques réussies ces derniers mois, comme Target ou Sony (attaque de 2011 sur les systèmes PlayStation), se sont produites quand ces entreprises n’avaient pas encore de CISO ou étaient dans une phase de transition. On apprend aujourd’hui que le CISO de Sony Pictures était en train de prendre ses fonctions, dans le cadre d’une mobilité interne… C’est dire l’importance de ce poste face aux pirates de tout poil.

En France les grands groupes, les ETI et les grosses PME se sont dotés ces dernières années de RSSI. Les très grands groupes bancaires, industriels, de services en ont un par branche, par pays, par métier, etc. Ce sont toujours des rôles complexes, avec des périmètres différents, avec des responsabilités opérationnelles, avec des rôles de représentation légale.

Dès la fin de 2011, un groupe de RSSI et de Directeurs de la sécurité SI de quelques grands utilisateurs (Caisse des Dépôts et Consignations, PMU, AG2R La Mondiale, Humanis et Institut Curie) ont posé les bases de l’association des RSSI de grandes entreprises et administrations de France. C’était l’acte de naissance du CESIN, le Club des Experts de la Sécurité de l’Information et du Numérique.

En décembre dernier, s’est tenu à Reims le 2e Congrès annuel du CESIN qui compte aujourd’hui plus de 200 membres, représentant quasiment le même nombre d’entreprises.

C’est une association de partage, d’échanges, d’entraide, de sensibilisation et de formation, créatrice de liens avec le reste de la DSI et plus largement avec les métiers des entreprises. Fédérant un métier relativement nouveau, pris dans la centrifugeuse de l’actualité, un métier que la contrainte de la sécurité oblige à se déployer très vite à tous les niveaux de l’entreprise.

Le RSSI ou DSSI est un personnage clé, indispensable. Son profil est complexe et long à bâtir : évidemment une bonne base de formation technique ou organisationnelle, une solide expérience IT, une forte capacité de synthèse des SI, des nouvelles technologies et des usages Internet. Mais aussi, une réelle capacité de management, de prise de décisions, de sensibilisation des hiérarchies au niveau de Comex et autres directions générales et une indispensable capacité de communication en français et très souvent en anglais. Les expériences sécurité les mieux appréciées proviennent des secteurs les plus attaqués comme les banques, les ministères, les telcos, etc.

Bref, notre DSSI est un profil difficile à trouver. Et un professionnel encore plus difficile à garder. Car les entreprises qui se rendent compte de plus en plus de la nécessité d’en avoir un, mesurent et apprécient de mieux en mieux les profils de qualité, complets et équilibrés. Les bons s’arrachent presque comme les footballeurs.

Le CESIN devient le terrain de chasse idéal dans tous les sens du terme ! On y a vu cette année au moins sept très grands groupes français, chacun leader mondial dans son métier et son domaine d’activité, faire leurs « courses » de RSSI / DSSI. Mais les RSSI aussi doivent être exigeants envers les entreprises. Portant une responsabilité forte, multifacettes et croissante, ils demandent bien sûr des moyens financiers et des investissements. Ils veulent aussi que leur action et leur rôle soit soutenus par leur direction générale au sein de l’entreprise.

Le vent souffle dans leur direction. La reconnaissance de la fonction doit s’exprimer à hauteur de leurs responsabilités, en cohérence avec l’importance de la sécurité Internet et des systèmes d’information, aujourd’hui au cœur du business et de l’économie mondiale.

Théodore-Michel Vrangos - Président - I-TRACING
Théodore-Michel Vrangos est Cofondateur et président d'I-TRACING.