Seulement 12% des responsables de la sécurité informatique sont très efficaces

Les responsables de la sécurité informatique considérés comme très efficaces sont ceux qui rencontrent plus les responsables métiers de leur entreprise que les informaticiens. C’est ce qui remonte de l’enquête menée par le cabinet Gartner auprès de 129 RSSI en janvier 2020.

Quatre domaines d’intervention du RSSI évalués

L’enquête montre qu’il n’y a que 12% des RSSI (Responsables de la sécurité informatique) qui peuvent être considérés comme très efficaces, selon le classement établi par Gartner. Les RSSI ont été évalués sur leur leadership fonctionnel, la fourniture de services de sécurité informatique, la gouvernance à grande échelle, et la réactivité de l’entreprise.

Les RSSI les plus performants font preuve de cinq comportements clés qui les différencient fortement des autres. « Une tendance claire parmi les RSSI les plus performants est d’être particulièrement proactif, qu’il s’agisse de se tenir au courant de l’évolution des menaces, de communiquer les risques émergents aux personnes concernées ou d’avoir un plan de relève formel » pointe Gartner.

L’enquête montre également que les RSSI les plus performants rencontrent trois fois plus de personnes ne travaillant pas à l’informatique que de personnes de l’informatique, et cela de manière régulière. Une forte majorité (66%) de ces RSSI se réunissent au moins une fois par mois avec les responsables des business units. On observe que 45% rencontrent le responsable marketing, 43% rencontrent le PDG et 30% rencontrent le responsable des ventes.

Rencontrer les patrons des business est clé

« Les RSSI ont historiquement établi des relations de travail avec les responsables informatiques, mais la transformation digitale a démocratisé la prise de décision en matière de sécurité de l’information » prévient Gartner. « Les RSSI efficaces surveillent de près l’évolution des risques dans leur entreprise et développent des relations solides avec les propriétaires de ces risques, qui sont des dirigeants business en dehors de l’informatique. »

Autre enseignement, les RSSI vraiment efficaces sont aussi meilleurs que les autres pour gérer les facteurs de stress au travail. Ces RSSI se montrent en effet peu nombreux (27%) à se sentir surchargés d’alertes de sécurité, alors que ce sentiment concerne 62% des RSSI les moins performants. De même, les RSSI très performants sont peu nombreux (30%) à estimer qu’ils font face à des attentes irréalistes de la part des personnes concernées par le sujet de la sécurité. Ils sont 50% chez les RSSI les moins performants.

« Les responsables de la sécurité les plus efficaces sont ceux qui peuvent gérer les facteurs de stress auxquels ils sont confrontés quotidiennement. Pour qu’un RSSI soit performant, il doit maintenir une distinction claire entre le travail et le non-travail, définir explicitement les attentes des différentes parties prenantes dont les responsables business, et déléguer ou automatiser des tâches » conclut Gartner.