Les 100 premiers jours du RSSI

Partage

Le rôle du RSSI est central, notamment dans l’application et le suivi des bonnes pratiques de cybersécurité au sein de l’entreprise. De l’état des lieux de la sécurité du SI à l’analyse des précédentes attaques en passant par la cartographie des actifs critiques et la continuité des actions passées liées à des analyses de risques, la période des 100 premiers jours de prise de poste d’un RSSI est déterminante pour l’organisation. Dans cet article, retrouvez les résultats d’une étude menée en collaboration entre Tenacy et le CESIN auprès de 131 RSSI qui partagent les défis et réussites rencontrés au cours de cette période. Missions prioritaires à mener, enjeux de communication du RSSI dans l’entreprise, entre divergence de visions et pluralité des missions, immersion dans les 100 premiers jours de prise de poste du RSSI.

 

Le RSSI reste une ressource rare pour les entreprises

Selon notre étude, la durée moyenne d’un RSSI en poste dans une entreprise est de 3,7 années. En complément, 32% des répondants déclarent avoir changé de poste dans les 12 derniers mois. Si ces statistiques questionnent, elles s’expliquent par deux facteurs conjoncturels. Le premier est dû à un marché de l’emploi en pénurie d’experts en sécurité informatique qui voit des niveaux de salaires s’envoler, augmentant mécaniquement le turn-over. Une étude OpinionWay pour le CESIN, réalisée en 2021 a d’ailleurs annoncé que le salaire médian d’un RSSI était de 89 200€, soit plus du double du salaire moyen[1] dans l’hexagone.

Le second facteur s’explique par un épuisement d’une partie de ces professionnels qui font face à une recrudescence des cyberattaques toujours plus sophistiquées. Avec les vulnérabilités Log4Shell/Log4j (CVE-2021-44228), Microsoft Exchange Privilege Escalation (CVE-2022-41080), VMWare File deletion (CVE-2023-20854) ces dernières années auront été une nouvelle fois denses pour les professionnels de la cybersécurité. L’éditeur Splunk annonçait en 2022 dans le rapport intitulé “L’état de la cybersécurité” que 73% des démissions de ces professionnels d’outre-atlantique étaient dues à un burn-out. Un phénomène qui ne risque pas de s’atténuer en 2023 !

 

Les qualités requises d’un RSSI diffèrent selon la taille de l’entreprise

Selon notre étude, les entreprises de moins de 5 000 salariés attendent en priorité d’un RSSI d’avoir une culture de la cybersécurité leur permettant de comprendre les risques spécifiques à l’entreprise et ainsi de pouvoir conseiller les équipes sur les actions et bonnes pratiques à adopter.

Pour les RSSI de grandes organisations, la première qualité attendue est d’acquérir une profonde culture du métier de l’entreprise. De nombreux secteurs sont soumis à des contraintes de conformités comme le secteur bancaire avec DORA, le secteur industriel avec la LPM (loi de programmation militaire) et NIS2 ou encore le secteur de la santé avec NIS2 et le décret HDS (hébergement de données de santé). Dans certains cas, ces organisations intègrent des systèmes de production obsolètes qui demandent un effort de planification des mois à l’avance avant de pouvoir faire la moindre mise à jour. Sans une profonde compréhension de l’existant et des contraintes qu’il impose, le RSSI ne pourra mettre en œuvre une politique de sécurité et une roadmap cyber qui soient applicables à l’entreprise.

L’étude menée permet également d’identifier une qualité essentielle attendue pour un RSSI et ce quel que soit la taille de son organisation. Un RSSI doit être capable de mettre en place une veille réglementaire adapté et de la prendre en compte au quotidien.

 

La priorité est portée sur la structuration, le reste attendra

Au cours de ces 100 premiers jours, le RSSI porte son attention sur les actions de structuration du SI. Pour 55% des personnes interrogées, la cartographie des processus métiers vitaux s’avère prioritaire.

Pour 41% des répondants, prendre connaissance de la cartographie du SI s’avère également indispensable. Cette action s’accompagne par un état des lieux de la sécurité du système d’information déjà en place. Cet état des lieux prend en compte différentes thématiques tel que : l’identification des processus et des compétences internes, des solutions de sécurité utilisées par l’entreprise, de la gouvernance en place, de la sécurité opérationnelle ou encore de la gestion de la conformité.

 

La communication est un enjeu majeur des 100 premiers jours

Pour 55% des répondants, se faire connaître comme RSSI auprès de l’ensemble des équipes, partenaires, sous-traitants est indispensable. Être identifié auprès des dirigeants de l’entreprise est primordial pour 65% des répondants. En conseillant les dirigeants de l’entreprise dans l’application de la Politique de Sécurité du SI (PSSI) et en définissant la roadmap cyber, le RSSI apporte une culture et prise de conscience de la menace cyber.

Cette étape de communication permet également au RSSI de rencontrer les prestataires et sous-traitants présents dans l’environnement de l’entreprise. Loin d’une évaluation approfondie, cette rencontre permet à minima de pouvoir se forger un premier niveau de connaissance et de conscience sur le fonctionnement de l’entreprise ainsi que sur son niveau d’exposition. Une tâche qui n’est cependant pas prioritaire pour les décideurs dans les 100 premiers jours, puisque seuls 23% des répondants déclarent prioriser cette action comme importante et seulement 10% comme indispensable. Rome ne s’est pas construite en 100 jours, le RSSI doit lui aussi prioriser !

 

L’analyse des audits et des incidents de sécurité ne peuvent se faire dans les 100 premiers jours

Malheureusement pour le RSSI, la période de 100 jours est trop courte pour lui permettre de prendre en compte l’ensemble des sujets. Pour notre panel, ce sont les actions d’analyses des événements passées qui sont jugés moins prioritaires. Pour 50% des sondés, l’analyse des audits passés semble être une action à traiter durant cette période, 16% la définissent comme indispensable, pour les autres cela attendra. L’analyse des incidents de sécurité est également traitée ultérieurement puisque seule 6% des sondés la déclarent primordial et 35% important.

 

En conclusion

Durant cette période des 100 premiers jours, le RSSI doit faire face à une variété de thématiques ( prendre connaissance des outils et des choix des directions passés, se faire identifier tout en communiquant auprès des parties prenantes de l’entreprise, appliquer et suivre les actions en termes de gouvernance et conformité… ) pour chacune il doit imposer sa vision et son empreinte tout en l’adaptant à sa nouvelle entreprise. Exigences de conformité liées à l’activité, taille de l’entreprise, les attentes des organisations et les missions associées divergent pour les RSSI. Pour découvrir en détail le fonctionnement de ces 100 premiers jours, retrouvez les résultats de notre étude en remplissant le formulaire ci-contre.

[1] Source : https://business-cool.com/decryptage/salaire/salaire-moyen-median-france/

Ce sujet vous intéresse, revivez notre webinar
RÉUSSIR SA PRISE DE POSTE : PAROLES DE RSSI


Organisé en partenariat avec le CESIN, ce webinar donne la parole à des RSSI qui ont récemment changé de poste. Nos invités reviendront sur cette période charnière. Ils échangeront sur les défis qu’ils ont été amenés à relever et partageront les choses à faire et celles à éviter.

Regarder le replay