Qui gère la sécurité informatique dans les PME en l’absence de RSSI ?

On l’appelle RSSI ou CISO (en anglais) : le Responsable de la sécurité des systèmes d’information est devenu en quelques années un véritable poste-clé dans les entreprises.

Mais pour les PME, trouver un RSSI compétent et surtout intégrer tous les enjeux liés à la sécurité des données n’est pas une mince affaire !

Le constat : les informations personnelles ne sont pas assez protégées

Une étude publiée par Kapersky en 2018 (voir ici) relève que le cloud se banalise auprès des PME : elles sont 65% à l’utiliser de façon plus ou moins marquée.

Or ces nouveaux usages ont automatiquement un impact sur la cybersécurité. En effet, plus l’infrastructure est complexe et diversifiée, plus les pirates disposent d’angles d’attaques pour s’introduire dans le système informatique.

Pourtant, les entreprises n’ont pas forcément mis en place les dispositifs adaptés. Ainsi, près de la moitié d’entre elles (45%) admettent avoir des difficultés à gérer l’intégralité de la sécurité des données.

Le problème principal reste l’absence de personnel qualifié et formé pour assumer cette mission complexe. Désemparés, les dirigeants de PME improvisent…

Ils sont ainsi :

  • 14% à laisser des salariés non spécialisés assumer la sécurité informatique (2% ne disposent d’ailleurs d’aucun RSSI) ;
  • 54% à confier la cybersécurité à l’ensemble du service IT, sans qu’un poste soit spécialement créé pour cette tâche ;
  • et 33% à faire appel à un prestataire externe (généralement un assistant informatique)

De plus, s’ils ont bien conscience de l’existence d’une cybercriminalité, ces risques ne sont pas leur challenge prioritaire. Lorsqu’ils pensent “défis à surmonter” concernant les informations personnelles, ils citent d’abord la confidentialité des données (il faut en effet s’adapter au RGPD) et les risques financiers.

La sécurité des données : le croisement de plusieurs compétences

Toute la difficulté est de bien cerner ce qu’implique la mise en place d’un dispositif de sécurité au sein d’une entreprise.

En effet, il ne suffit pas de s’intéresser au chiffrement et de faire appel à un DSI (Directeur des systèmes d’information) pour être bien protégé ! Investir dans un logiciel de cryptage est indispensable, mais il faut d’abord se poser les bonnes questions :

  • Quelles sont les informations personnelles sensibles ? Quels sont les traitements susceptibles de poser problème ?
  • Quelles sont les compétences que doit avoir un RSSI ?

Laurent Brault, le dirigeant de MDK Solutions, souligne :

Le responsable technique ne peut pas se contenter d’être un expert de la technique. La composante juridique est également de plus en plus importante dans la réflexion de sécurisation. Pour les PME, surtout les plus petites, cela revient à dénicher la perle rare sans avoir l’assurance que le dispositif de sécurité informatique sera à 100% efficace.

La solution de l‘externalisation de la fonction du RSSI apparaît donc comme une alternative à explorer. Attention toutefois de ne pas se lancer dans cette aventure à la légère ! Le recours à un prestataire suppose la mise en place d’un montage juridique inattaquable et une grande rigueur dans le choix du responsable du contrat d’externalisation.

Prendre le train en marche

Les dirigeants de TPE/PME n’ont pourtant pas vraiment le choix : ils ne peuvent pas attendre que les contours du poste de RSSI soient clairement définis, puisque cela n’arrivera pas.

Le domaine de la sécurité informatique est en constante mutation. Au départ simple expert technique, le responsable de la sécurité des systèmes d’information doit désormais protéger chaque métier de l’entreprise (en intégrant la spécificité des risques) mais aussi le patrimoine informationnel. Il assume aussi la cybersécurité et s’informe de la sophistication des techniques d’attaques. Et ce n’est pas tout ! Dès aujourd’hui et encore plus dans les années à venir, le RSSI doit devenir un directeur de projets capable de gérer plusieurs chantiers en même temps (y compris à l’international) tout en optimisant l’utilisation des budgets de sécurité informatique.

Il ne s’agit pas en effet du superposer des dispositifs coûteux mais de trouver des solutions efficaces et adaptées aux usages de chacun.

L’avis de Laurent Brault, le dirigeant de MDK Solutions

Pour choisir la personne qui doit assumer la gestion de la sécurité informatique, l’entreprise doit se poser la question de ses compétences nécessaires comme pour n’importe quel poste à responsabilités.

Toutefois, s’il est facile de dresser le profil d’un Directeur Financier, la situation est nettement plus compliquée pour un Responsable de la Sécurité Informatique. Les évolutions rapides des problématiques de sécurité, l’anticipation de tous les besoins opérationnels, juridiques, techniques,… rendent cette étape moins simple qu’il n’y parait.

Si vous avez trouvé un superbe livre qui vous décrit le profil idéal, ne rêvez pas … il est certainement déjà dépassé !

Partager cette page