Quelques enseignements de cette rencontre

• Malgré certains effets de bords, notamment le fait de se concentrer potentiellement sur des problèmes de « niches », la médiatisation des affaires de cybercriminalité facilite les prises de conscience, notamment parmi les personnes ayant de fortes responsabilités.
• Rattaché pour environ 60% d’entre eux au DSI, plutôt qu’à une direction du risque, de la sureté ou même à la direction générale, il apparaît malgré tout que la position du RSSI dans l’entreprise est sans doute moins importante que sa façon de présenter les problématiques, d’adapter son discours et sa tactique de sensibilisation selon ses interlocuteurs, afin de se départir de son étiquette de pur technicien.

• En l’occurrence, travailler sur le lien entre DSI et RSSI parait fondamental pour que le sujet cybersécurité soit inclus plus intuitivement dans la transformation numérique progressive de l’entreprise et de ses services, au cœur des enjeux actuels pour la DSI qui cherche elle-aussi à changer son rôle dans l’organisation.

• La responsabilisation par la sanction, notamment telle que prônée récemment par Paul Beckman, CISO du Departement of Homeland Security américain, bien que d’apparence séduisante parait difficile à mettre en place et à faire correspondre à la culture d’entreprise française. De plus la soumission du dirigeant à de telle pratique est par nature problématique.

• Pourtant, la responsabilisation est le pendant naturel de la sensibilisation, notamment quand les approches à base de calcul économique (protéger pour éviter potentiellement de perdre beaucoup) ne font pas florès dans l’entreprise. A ce titre, la mise en avant des risques juridiques, de la responsabilité civile, voire pénale, du dirigeant en cas de sécurisation insuffisante de son entreprise est un levier fort. Le sujet de la divulgation des données personnelles/clients se retrouve là souvent au cœur de l’argumentation.