Avec d'une part, les évolutions dans le domaine de l'IT et des télécom et d'autre part la maturité évidente du marché de la sécurité, nous pourrions penser que le métier de la sécurité évolue ou va évoluer aussi et que les pratiques d'hier vont lentement disparaître pour donner naissance à de nouveaux paradigmes.
Et bien si nous pensons cela alors peut-être nous trompons-nous. Examinons la situation telle qu'elle est.
L'environnement du SI tout d'abord, l'ouverture des réseaux est avérée. Le réseau de l'entreprise est moins borné qu'hier et ses frontières difficiles à protéger. La "device mania" bat son plein, à juste titre et pour de vrais apports pour l'entreprise et l'utilisateur final. Là aussi, les technologies sont clairement à maturité et "monsieur" tout le monde peut enfin entrevoir les apports des technologies mobiles.
Le cloud computing enfin, nous est présenté comme l'avenir de l'informatique et comme cette troisième voie que les professionnels attendaient ?
Côté organisation maintenant, le corollaire à la "device mania" est que les utilisateurs ont pris du poids dans l'entreprise et l'arrivée de la génération Y nous fait réaliser à quel point les équipes internes doivent faire preuve d'encore plus de professionnalisme et offrir aux utilisateurs des alternatives crédibles "made in" entreprise. L'autre point marquant, très proche du précédent, est le recouvrement entre la sphère perso et la sphère pro. Avec les
nouveaux usages (réseaux sociaux, ...) l'entreprise doit rapidement intégrer cette composante dans la gestion de ses RH et de son image.
La "business agility" est aussi une chose acquise qui implique des changements dans les manière dont les DSI (et à fortiori les RSSI) doivent appréhender telle ou telle implémentation technologique ou organisationnelle.
Enfin, l'aspect réglementaire et normatif loin de s'estomper, s'affirme de plus en plus comme un moteur à l'investissement et pas seulement une contrainte. J'en veux pour preuve l'évolution du discours vis-à-vis de PCI-DSS, la prise en compte des recommandations de la CNIL, l'archivage légal ou les multitudes d'audits "métiers" que les entreprises Françaises "subissent" chaque année.
Certaines évolutions sont majeures, d'autres s'accentuent. Qu'en est-il alors de la fonction sécurité, du métier de la sécurité des systèmes d'information ?
Paradoxalement, il n'a jamais été aussi en phase avec les fondamentaux. Tout d'abord, dans le contexte décrit précédemment, il n'est point nécessaire de réaliser une lourde et couteuse analyse des risques pour affirmer que les préoccupations des entreprises se focalisent sur 3 points (l'ordre dépend des priorités de chaque entreprise) :
- l'image de marque,
- la sécurité et la confidentialité des données,
- la disponibilité des processus métier de l'entreprise.
La sécurité des données reste au centre des débats avec l'émergence du cloud computing et des préoccupations qu'il génère autour de la confidentialité des données. Là encore la question est ouverte.
Enfin, la disponibilité des processus métiers. Cette question va bien au-delà de la simple notion de disponibilité chère aux professionnels. Elle pose la question de la compétence métiers des responsables IT et notamment sécurité. Là encore, il s'agit d'une mutation déjà en cours pour le RSSI mais inévitable et nécessaire à terme.
Finalement, c'est plutôt une bonne nouvelle. En tant qu'experts nous constatons tous les jours que la question de la sécurité dépasse largement la sphère des experts pour s'inviter dans tous les débats.