RSSI et administrations : comment expliquer les problèmes de communication ?

Les RSSI Européen ont beaucoup progressé. Cela n’améliore toutefois pas leur capacité d’engager de bons dialogues avec leur direction, surtout sur la question de notification des attaques. Comment expliquer ce phénomène ?

rssi-et-administrations-comment-expliquer-les-problemes-de-communication

RSSI : trop de Repli sur soi-même

Les dialogues entre les RSSI et leur direction générale concernant les notifications des attaques sont souvent difficiles à entamer. C’est l’analyse évoquée par Palo Alto Networks qui suppose que les premiers sont favorables à l’adoption de la législation européenne, mais rejettent les engagements que cela entraîne.

Il faut quand même avouer que la correction des failles de sécurité entraîne des charges énormes pour les entreprises. C’est pour cette raison que les RSSI évitent souvent d’en parler à leur dirigeant. Ainsi s’ils ressentent une tension dans leur carrière, c’est surtout à cause de la complexité de leur relation avec les administrateurs de leur organisation. Cela témoigne de la nécessité de renforcer les systèmes et processus de notification de failles de sécurité fixés par le RGPD  et la Directive NIS sur la sécurité des systèmes d’information et réseaux.

La nouvelle législation met en évidence le courage des experts en sécurité informatique européenne qui ont toujours réussi à repousser, par leur moyen, les attaques perpétrées au cours des dernières décennies. La raison, 60 % d’entre eux voyaient de tels incidents comme une occasion de renforcer leur expérience. Seuls 9 % ont avoué qu’ils sont las de ces faits et veulent déposer leur lettre de démission. Il faut noter toutefois que l’Europe est sur la bonne voie en matière de cybersécurité puisque 65 % de son budget annuel y sont consacrés.

Les origines des tensions informatiques

Quant à l’origine des tensions chez les responsables de sécurité, on peut noter la perplexité des hauts responsables informatiques. D’après les sondages, 32 % des employés de sécurité des entreprises ont des administrateurs complètement embrouillés après les incidents de faille de sécurité au sein de l’entreprise. Et souvent la plupart de ces derniers rejettent la faute sur le personnel en charge de la protection informatique.

La tension trouve aussi son origine sur l’incapacité des responsables à évoquer les failles à leur dirigeant. En effet 51 % d’entre eux n’arrivent pas à convaincre leur supérieur hiérarchique sur la nécessité de corriger une anomalie identifiée. Les 49 % restant, de leur part, ne veulent pas admettre la présence d’une défaillance au niveau de leur service. L’échange devient encore plus difficile quand le problème est lié à l’erreur d’un tiers, fournisseur ou client (23 % des cas) ou si une question d’argent est évoquée.

On peut aussi citer comme cause de frustration des responsables informatiques leur isolement. En effet, ils pensent que personne ne peut les aider. De plus, ils trouvent risqué le fait d’impliquer la direction dans l’affaire, un ou plusieurs membres de celle-ci pouvant être à l’origine du problème.

Finalement, on a constaté aussi que la législation européenne favorise la création d’une tension entre les employés de sécurité et leur supérieur. 56 % des  professionnels informatiques interrogés sont inquiets sur les charges financières engendrées par le texte ainsi que les complications opérationnelles qui peuvent y être attachées.

L’étude a aussi permis de connaître que 30 % des personnels informatiques minimisent la faille informatique et 27 % d’entre eux affirment ne pas disposer de temps pour s’occuper de cette cause.

 

One comment

  1. Votre site figure parmi mes références pour obtenir des infos sur la sécurité informatique. Bravo pour ces travaux de recherche que je trouve intéressant, à l’instar de cet article qui parle des désaccords dans le monde de la sécurité informatique.

Laisser un commentaire