Le CSO, vecteur de perte parfaitement dispensable
Cela fait déjà un certain temps que les RSSI, CSO et CISO volent bas dans les entreprises américaines. Le phénomène commence à peine à se ressentir en Europe, mais soyons certain que le mouvement est déjà amorcé. Qu'est-ce qui provoque cette épuration ? Le Sans s'est penché sur le problème et en tire une analyse froide et dépassionnée. De manière très générale, les gourous de Raleigh annoncent le glas des CSO-Powerpoint. Elle a vécu, cette strate directoriale chargée de siphonner un budget, de recommander une conformité Sarbox ou Hipaa et de fournir à la direction générale des « indicateurs » sous forme de graphes colorés. L'avenir appartient, insiste le Sans, aux patrons sécurité possédant un bagage technique certain, capables non seulement de vérifier si concrètement les recommandations sont appliquées, mais également si les processus de sécurité sont effectivement intégrés dans les flux productifs. Mais revenons-en aux ressorts de l'épuration. Il semblerait que le premier motif de licenciement des cadres sécurité soit la conséquence d'une application aveugle de certaines méthodes de gouvernances des TIC, notamment Itil. Une lecture « partielle, qui n'arrive jamais au livre VI, celui qui précisément traite de sécurité » insiste le rapport. Je gouverne, tu gères, il dépense trop sans justification, nous le virons. La vision est peut-être simpliste, mais oh combien réelle. Le second motif d'éviction, c'est la « responsabilité-fusible ». Après 3 ans de dépenses croissantes dans le but de répondre aux impératifs de la loi Sarbanes-Oxley, les Directions Générale n'hésitent pas à immoler les Ciso dès que surgit une menace sur le système d'information, sous prétexte que ceux-ci ont endossé cette responsabilité. Des Ciso qui vitupèrent en expliquant que leurs recommandations n'ont pas été suivies par les « opérationnels » -entendons par là les DSI-, lesquels opérationnels rétorquent que les contraintes sécuritaires vont à l'encontre du bon fonctionnement de leur service. Les Directions tranchent alors ce noeud gordien en éliminant l'homme sécurité, et en chargeant des équipes d'audit de vérifier la bonne mise en pratiques des mesures normalisées. Pire encore, constate le Sans, il est fréquent qu'une direction embauche un Architecte Sécurité après une affaire de vol d'identité ou une attaque pouvant impacter l'image de marque auprès des clients. Passé une certaine période, lorsque l'affaire est oubliée, le « mamamouchi d'un jour » est soit remercié, soit renvoyé à des tâches subalternes dénuées du moindre pouvoir de décision ou d'action. Il reste encore quelques secteurs dans lesquels des « CSO rédacteurs de rapports » ont encore un rôle à jouer, explique le rapport. Dans l'administration notamment. Et encore... ici aussi, les armées de contrôleurs de gestion-sécurité devront acquérir une réelle compétence technique dans un proche avenir, s'il veulent conserver leur poste. Qui donc, alors, peut espérer survivre ? De manière très lapidaire, les spécialistes du Sans tracent trois profils : En premier lieu les responsables sécurité capables de fournir des documents prouvant la réduction des risques, réduction pouvant à son tour être appréciée par un audit, et non de vaines paroles. Et en la matière, l'audit, explique l'Institut de Caroline du Nord aurait tendance à ne plus être un simple test de vulnérabilité, qui n'inventorie bien souvent que des failles théoriques, mais un test de pénétration, qui évalue les risques effectifs. Viennent ensuite les patrons sécurité qui prennent une part active à l'intégration de la sécurité dans l'organisation de l'appareil productif. Un travail qui exige à la fois une connaissance du métier de l'entreprise et une réelle compétence technique sécurité. C'est, explique le Sans, le seul moyen pour appliquer des règles de protection qui n'entravent pas la production. La troisième voie semble encore plus simple : faire de la sécurité un service technique à valeur ajoutée. Une sorte d'antenne qui n'agirait pas sous le levier d'un interventionnisme « top down », mais qui fournirait une aide fortement technique à des départements demandeurs.
