Cantonné aux débuts d'Internet à un ordinateur et quelques antivirus, le Responsable de la Sécurité des Systèmes d'Information (RSSI) n'a cessé de voir son importance augmenter au fil des décennies. Si ses mots d'ordre sont restés les mêmes – Confidentialité, Intégrité, Disponibilité & Traçabilité des informations – les ramifications et implications de ses choix se sont démultipliées avec la digitalisation et la sur-connexion des entreprises. En passant du statut de celui qui dit toujours non au rôle de facilitateur et promoteur de la sécurité comme créateur de valeur, il est aujourd’hui du comité de direction, du service juridique, du service communication... Et en 2040, où sera-t-il ?
On pourrait croire qu'il est difficile de se projeter dans 20 ans quand on connaît la quantité de changements opérés ces 15 dernières années seulement. Une chose est certaine cependant : pirates, virus et utilisateurs malveillants existeront toujours dans le futur. Quelqu'un sera donc toujours chargé d'expliquer comment de tels risques peuvent être jugulés et de s'assurer que les données, quelle que soit leur nature ou leur quantité, soient traitées en toute sécurité. Et la responsabilité du RSSI n'a pas fini d'augmenter : le Règlement Général de Protection des Données (RGPD) émis par la Commission Européenne, qui devient obligatoire fin mai 2018 dans l’Union, devrait donner un tout autre visage à la problématique légale liée à la fonction.
Une nouvelle responsabilité juridique
Les obligations en matière de sécurité n'ont rien de nouveau, mais le RGPD, en tant que règlementation européenne, impliquera bientôt des sanctions plus fortes pour les entreprises en cas de manquements à leurs devoirs. L'importance conférée dès à présent au droit de retrait des informations de la part des usagers rend plus nécessaire que jamais le contrôle des données personnelles et de leur traitement : en cas de non-conformité, le RGPD prévoit une pénalité pouvant s'élever jusqu'à 4% du chiffre d'affaire d'une entreprise – autant dire que le RSSI tient l'avenir de son entreprise entre les mains, et que les failles de sécurité pourraient devenir aussi graves que les accidents de personne ou les bugs informatiques majeurs...
En 2040, le RSSI ne sera heureusement plus tout seul.
En 2040, le RSSI ne sera heureusement plus tout seul. Intronisé avec la loi « Informatique et Libertés » du 6 janvier 1978, le Correspondant Informatique & Liberté (CIL) a vu son rôle évoluer au fur et à mesure des textes de loi. Il est en charge de faire respecter les exigences de la loi française (CNIL). Facultatif pour le moment, les dernières évolutions de la loi tendraient à rendre ce poste obligatoire. Autre poste obligatoire dans la majorité des entreprises : le Data Protection Officer (DPO). Son rôle : surveiller l'application des exigences en matière de sécurité des données à caractère personnelle. À côté d'un Responsable de la Sécurité qui continuera de se soucier des menaces potentielles liées aux fichiers de stocks ou aux fichiers de prix, le DPO se focalisera quant à lui uniquement sur les fichiers clients et leur sécurisation, de fait beaucoup plus tourné vers les questions juridiques et financières.
Faire face aux évolutions technologiques
Intelligences Artificielles et machine learning font d'ores et déjà partie des soucis du RSSI aujourd'hui, mais qu'en sera-t-il dans 20 ans ?
Évolutions juridiques et modification des organigrammes devraient aller de pair avec des évolutions technologiques que l'on commence tout juste à imaginer. Intelligences Artificielles et machine learning font d'ores et déjà partie des soucis du RSSI aujourd'hui, mais qu'en sera-t-il dans 20 ans ? Leur inévitable généralisation devrait ajouter du pain sur la planche à celles et ceux qui devront veiller à ce que non seulement les personnes, mais aussi les robots accèdent aux informations en toute confidentialité, et dans les clous de la politique de sécurité définie par le RSSI. Les risques proviendront de fait non seulement de l'extérieur, mais aussi potentiellement de l'intérieur des systèmes : comment s'assurer d'une information intègre et disponible à tout moment, avec des programmes d'IA qui ne sont à l’heure actuelle ni maîtrisés ni expliqués de A à Z ?
S'il y a une vingtaine d'années, le périmètre de responsabilité du RSSI n'excédait pas les ordinateurs et leur connexion à Internet, il ne cesse de s'agrandir et concerne désormais le traitement informatique dans le Cloud et l'Internet des Objets. Fondamentalement, le métier ne saurait beaucoup changer : c'est bien son champ d'action qui est voué à s'élargir. Avec le Cloud, l'information quitte en effet les limites de l'entreprise et se situe dans les mains de partenaires. Si concevoir et contrôler la politique de sécurité devraient rester des piliers du RSSI à venir, c'est la communication et l’implémentation de cette politique qui devrait l'emporter sur le reste. Plus les partenaires sont nombreux, plus la sécurité doit être déléguée à chacun des membres concernés, plutôt que de rester l'affaire de quelques responsables qui ne sauraient maîtriser l'intégralité des opérations.
À la table ronde des ministres ?
Continuer de tout contrôler, comme à l'époque de l'ordinateur solitaire et de ses antivirus, tient de l'utopie à une époque où les gens seront connectés en permanence. Et si la tâche s'avère ardue, même pour des RSSI démultipliés, la responsabilité dépassera la question du respect du RGPD de l'entreprise. En cas de brèche, à l'ère de la biométrie et du clonage – d'ici 2040, il faut s'attendre à ce que ces termes sonnent beaucoup moins exotiques qu'aujourd'hui – il y aura bien plus en jeu que le chiffre d'affaires des entreprises : en forçant à peine la note dystopique, on peut imaginer des clones de nous-mêmes générés à l'autre bout du monde à partir de données biométriques qui auraient été hackées...
La lutte contre ces pirates du futur s'annonce d'ores et déjà spectaculaire. À l'époque du RSSI solitaire, l'entreprise était un château fort au sommet d'une colline, qu'il convenait de défendre contre les assauts extérieurs au moyen de douves et autres herses cybernétiques. Aujourd'hui, l'entreprise est devenue un aéroport, véritable hub de transfert d'informations dont seules certaines zones peuvent être pleinement sécurisées – tant il est impossible d'en surveiller absolument toutes les issues en permanence. Pour parer à cela, les honeypots se développent : un système de leurres virtuels censés attirer les individus ou programmes malveillants. À terme, il pourrait même y avoir plus de leurres que de véritables centres d'informations dans le Cloud.
D'ici 2040, l'entreprise en ligne ne sera donc plus un château sur une colline – mais une aiguille dans une botte de foin. Quant au RSSI, loin de son poste d'origine, il aura sans doute dépassé le comité de direction de l'entreprise : garant de la sécurité des états, il pourrait bien finir autour des tables rondes censées prévenir les cyber-conflits du futur.
Merci à Joseph Graceffa, président du CLUSIR Nord de France, pour son aide précieuse dans l'écriture de cet article, en collaboration avec Usbek & Rica.