En effet, si l'on reprend les rôles exercés par un RSSI, il lui est très souvent demandé de traiter plus de problématiques techniques (comme la gestion des règles du Firewall, ou le paramétrage de sécurité d'un Serveur Web, ...) que la stratégie à définir dans le cas d'une attaque de type idéologique.
De plus, comme en France on est très souvent associé à l'informatique, il ne nous est pas ou peu possible de parler à l'ensemble des employés de l'entreprise. Les seuls avec qui nous pouvons échanger sont les informaticiens de l'infrastructure.
Et c'est là les problèmes.
Un RSSI est Responsable (donc, lorsque l'on veut parler au management, on n'est pas ou peu reconnu pour leur donner des ordres ; comme ne pas connecter ce device au réseau de l'entreprise), SSI donc sécurité des Systèmes d'Information : donc dans l'informatique.
Cependant, il est nécessaire aussi d'avoir une personne au sein des entreprises qui comprenne que l'absence de paramètres technique spécialement définit pour gérer la sécurité doit être installé sur tous les serveurs. Une personne de l'environnement technique est donc en charge de définir précisément et de monitorer la technique.
Il existe donc un "RSSI" technique et un "RSSI" qui parle de protection du capital informationnel et comprend les enjeux de l'entreprise pour proposer une stratégie d'anticipation / de réponse aux menaces sur l'information.
Depuis peu, certaines sociétés comme la COFACE, on créé un poste de DPO pour Data Protection Officer. La bonne nouvelle est que chez mon collègue, il est maintenant rattaché au CSO : Chief Security Officer : pour mémoire, le CSO est celui qui doit s'assurer de l'approvisionnement en ressources de l'entreprise. Ce peut être des Hommes, de l'énergie, des infrastructures mais bien sur des informations.
C'est ainsi que j'ai demandé à être muté dans ce service chez Lafarge, mais cela n'a pas été accepté! ! Sans doute une des nombreuses raisons qui m'ont poussé dehors.
Ma volonté est de donner plus d'envergure à notre profession qui se créée dans les organisations avec le bon rattachement organisationnel (ie: dans le département sécurité et non dans l'informatique).
Le titre doit être de niveau Chief pour être en mesure de dialoguer avec le management (sans être obligé d'être "coaché" par un chef qui ne comprend souvent pas les enjeux).
De plus, il est nécessaire de parler d'information et non de l'informatique ; c'est pourquoi pour éviter les ambiguïtés, j'ai proposé l'appellation de Capital informationnel. Ce qui représente pour moi cette notion d'actif qui vaut quelque chose et dont qu'il faut protéger.
Ma proposition est Directeur de la Protection du Capital Informationnel.