Une nouvelle étude IBM concernant les responsables de la sécurité des systèmes d’information révèle qu'ils sont de plus en plus sollicités pour répondre aux préoccupations de la direction générale en matière de sécurité. De fait, leur place est devenue stratégique au sein de leurs organisations.
Les résultats de l’étude montrent que face aux technologies émergentes, aux restrictions budgétaires et à un paysage des menaces qui évolue sans cesse, les RSSI doit jouer un rôle plus actif dans la communication avec les métiers et la direction générale, étant donné que l'augmentation des incidents de sécurité impacte la réputation de la marque et la confiance des clients. En outre, l’adoption du cloud et de la mobilité continuent à demeurer des enjeux prioritaires pour la majorité des RSSI.
L’étude « 2013 IBM Chief Information Security Officer Assessment » (Evaluation IBM 2013 du RSSI), se penche sur ce que prévoient les responsables de la sécurité des systèmes d’information des entreprises du Fortune 100 et de taille moyenne. En voici quelques résultats :
Les tendances technologiques – aller au-delà des fondamentaux : parmi les initiatives déployées le plus récemment, la principale est celle qui vise la sécurisation de la mobilité, un-quart des RSSI interrogés l’ayant déployée dans les 12 derniers mois. Le premier enjeu en matière de mobilité pour les RSSI est de dépasser l’étape initiale qui consiste à déployer les technologies et de penser plus à la mobilité en termes de politique et de stratégie. Moins de 40% des organisations ont mis en œuvre des politiques spécifiques pour les terminaux étant la propriété personnelle des employés ou encore une stratégie d’entreprise pour le « bring-your-own-device » (BYOD).
Près de 76% des RSSI ont déployé un certain nombre de service de sécurité dans le cloud – les plus répandus étant la supervision de données et les audits ainsi que les solutions de gestion et de fédération des identités et des accès (les 2 à 39%). Alors que le cloud et la mobilité continuent à faire l’objet d’une attention particulière au sein des entreprises, les RSSI mettent un accent particulier sur les technologies « fondamentales » telles que la gestion des identités et des accès (51%), la prévention des intrusions réseau et les scans de vulnérabilité (39%) et la sécurité des bases de données (32%).
Les pratiques métier – comprendre la vision : Les RSSI interviewés soulignent le besoin d’avoir une très bonne vision métier, une bonne compréhension de la stratégie et de la politique d’entreprise et une gestion des risques compréhensible en associant les métiers. Bien appréhender les préoccupations des dirigeants de l’entreprise est également critique pour la réussite du RSSI. Les plus expérimentés parmi ces derniers rencontrent régulièrement la direction générale pour approfondir leur compréhension des enjeux stratégiques et renforcer les liens avec les métiers. Quand ils se réunissent, les sujets qu’ils abordent sont : l’identification et l’évaluation des risques (59%), la résolution des problématiques budgétaires (49%) et le déploiement de nouvelles technologies (44%).
L’évaluation – fournir le bon feedback : les RSSI continuent à utiliser les statistiques et des rapports essentiellement pour prendre des décisions budgétaires ou pour décider des domaines d’investissement. Dans certains cas, ils utilisent ces statistiques pour aider à établir les priorités stratégiques pour leurs organisations de sécurité. Par exemple, plus de 90% des personnes interrogées suivent régulièrement le nombre d’incidents de sécurité, les pertes ou vols de documents, données ou terminaux et le statut des audits et de la conformité – dimensions fondamentales, incontournables pour chaque RSSI. Cependant, très peu de RSSI interviewés combinent la notion des impacts métier avec les incidents de sécurité dans le processus de la gestion du risque. Ils reconnaissent néanmoins que l’impact de la sécurité sur le risque global de l’entreprise est le facteur le plus important à prendre en compte dans la définition de la stratégie et de la politique de sécurité.
“Il est évident dans cette étude que les RSSI doivent trouver une équilibre entre la mise en œuvre d’une sécurité forte avec une vue holistique et la stratégie de gestion de risques, tout en déployant des capacités stratégiques et plus pointues – telle qu’une sécurité mobile solide, incluant une politique pour le BYOD,” a déclaré David Jarvis, co-auteur du rapport et responsable à « l’IBM Center for Applied Insights ».
Frédéric Mazué
Pour accéder à l’étude complète : https://www.ibm.com/security