Quel niveau de maturité ont les entreprises françaises vis à vis de la sécurité de l’information ?
Les enquêtes de sécurité (Clusif, IDC, cabinets conseils) montrent un grand écart entre le niveau de confiance des entreprises françaises vis à vis de la sécurité de l’information et la réalité des mesures de sécurité mis en oeuvre (organisationnels et techniques).
Cela est d’autant plus évident qu’après avoir résisté à l’utilisation des normes et standards internationaux de sécurité, leur adoption s’accélère en France (principalement par les entreprises privées). Ceci permet de mieux se « benchmarker », sachant néanmoins qu’il n’existe pas de métrique reconnu sur l’efficacité d’une politique de sécurité de l’information.
Lien entre maturité et mission du RSSI
De façon très corrélée, la mission du RSSI (Responsable de la Sécurité des Systèmes d’Information) évolue très fortement entre les entreprises en phase de sensibilisation à la sécurité et celles matures.
Le RSSI (ou le CISO, Chief Information Security Officer, dans une entreprise internationale) a une mission qui évolue dans le temps de l’informaticien chargé de la mise en oeuvre des mesures techniques de sécurité (réseau, systèmes, …) vers la notion de « risk manager » du système d’information.
Dans ce rôle il aide le comité de direction à identifier et mesurer les risques liés au système d’information dans leur business métier.
