Organiser ou réorganiser la filière sécurité d’une grande entreprise – retours d’expérience

Cyberrisk Management & Strategy

Publié le

Nostalgie, nostalgie… rappelez-vous des organisations sécurité il y a 20 ans. Impossible de faire plus simple ! L’équipe « type » était composée d’une quinzaine de personnes au sein des opérations de la DSI, toutes passionnées de technique : ça causait nombre de VLAN, filtrage internet, comparatif anti-virus… Les attaques étaient encore rares, la pression des régulateurs restait limitée, le top management ne maîtrisait rien… bref, les RSSI avaient une paix royale ! Certes, les premières réflexions sur le positionnement du RSSI dans l’organisation commençaient à émerger (équilibre des forces avec le DSI, rapprochement avec la Direction des Risques…) mais ces débats d’expert restaient encore très confidentiels.

20 ans après… la situation est totalement différente et la sécurité a pris une toute autre dimension dans les entreprises. Les chiffres parlent d’eux-mêmes : en France, on constate en moyenne 1 ETP sécurité pour 500 à 3000 employés, avec une moyenne tournant aux alentours de 1 pour 1000. Certains acteurs de la Finance peuvent même atteindre des ratios record de 1 pour 200 en intégrant les différentes lignes de défense. Je vous laisse faire le calcul : cela représente rapidement plusieurs centaines, voire milliers d’employés ! Les RSSI sont donc maintenant aux commandes d’un effectif pléthorique et sacrément diversifié. Les experts historiques ont été rejoint ces dernières années par des cargaisons de chefs de projet, PMO, COO, Directeurs de Programme, voire parfois par des acheteurs et RH spécialisés, qui apprennent progressivement à travailler ensemble. Tel un coach sportif, le RSSI doit désormais composer avec un tel effectif et trouver la bonne organisation, le bon système de jeu pour obtenir des résultats.

 

PAS DE REVOLUTION, LA FILIÈRE FONCTIONNELLE RESTE LA NORME

 

No alt text provided for this image

 

Les raisons qui poussent à se réorganiser sont toujours globalement les mêmes : manque de maîtrise, sentiment d’inefficacité, responsabilités diffuses… et le travail de remise à plat peut sembler colossal. Cela amène certains RSSI à envisager très rapidement des solutions en rupture, et en particulier celle du regroupement de toutes les ressources sécurité dans une seule et même équipe hiérarchisée. Ne perdons pas de temps et soyons très clairs : dans 95% des cas, cette solution n’est pas retenue. Un tel mouvement présente tout simplement trop de risques d’exclusion de la fonction sécurité, difficilement conciliable avec le besoin de proximité métier de certaines activités : accompagnement de projets métier, sensibilisation des populations spécifiques, négociations budgétaires… La filière fonctionnelle reste la norme : une équipe centrale et des relais (RSSI locaux, correspondants sécurité…) répartis partout dans l’organisation. Certains acteurs industriels ont toutefois récemment franchi le cap de la centralisation, mais le mouvement est davantage motivé par une volonté de rapprochement des ressources cybersécurité avec l’équipe sureté, particulièrement mature dans ce secteur.

Le rattachement du RSSI reste également un élément de débat, très largement relayé et commenté depuis des années. DSI, Direction des Risques, Direction Financière, CEO… on a parfois l’impression que c’est une course à qui sera le plus haut dans la hiérarchie ! Mais contrairement aux idées reçues, on ne constate pas forcément sur le terrain de tendance à la sortie de la DSI. Bien au contraire : 3 RSSI sur 4 rapportent au DSI dans les grandes entreprises et la plupart des réorganisations débouchent sur un tel rattachement. La raison est simple : c’est souvent un excellent point de chute pour être dans l’action, faire avancer ses sujets, obtenir du budget ! Attention : pour ceux qui décident d’un rattachement différent, rappelons-nous que 80% d’un budget cybersécurité tombe dans le périmètre de la DSI. Il est donc indispensable de nourrir une relation de qualité entre le RSSI et le DSI. J’ai pu assister à quelques rapports de force ces dernières années, et c’est rarement le RSSI qui gagne 😉

Ça y est… on tient les principes de base : une filière fonctionnelle, souvent rattachée au DSI, avec des relais RSSI dans les grands pôles d’activité de l’entreprise. Il s’agit maintenant de répartir dans cette organisation toutes les activités de cybersécurité, et elles sont nombreuses : politiques, études, sensibilisation, Programme cybersécurité, accompagnement projets, audits, SOC, CERT…

 

CASSER LES SILOS ET RECHERCHER L’EFFICACITÉ OPÉRATIONNELLE

En tant que prestataire, je peux en témoigner : il est assez commun d’être sollicité plusieurs fois pour la même étude au sein d’un Grand Compte, dans plusieurs entités différentes. C’est tout à fait compréhensible : dans un modèle en filière, chaque entité / pays dispose d’une équipe sécurité, et sans règles du jeu clairement établies, la Direction locale a souvent le réflexe de renforcer son équipe au moindre besoin (étude spécifique, résultat d’audit…). C’est tout le piège d’une filière : elle présente de nombreux avantages mais crée de la complexité et des redondances. Et croyez-moi, lorsque le RSSI Groupe se retrouve à expliquer au top management pourquoi l’entreprise dispose de 3 SOC et de 4 cellules de réponse à incidents… c’est rarement la meilleure réunion de sa journée ;-).

 

No alt text provided for this image

 

Pour éviter ce genre de situation, la tendance est au regroupement de compétences et à la création d’offres de service cybersécurité centrales. Très concrètement, cela se traduit pour de nombreuses organisations par une mutualisation de 1. L’expertise cybersécurité (études, innovation, sensibilisation…) 2. La détection et la réponse (SOC, CERT, exercices de crise, Threat Intel…) 3. Les audits et contrôles (pentests, redteam, analyse de code…) 4. La gestion de projet et PMO (reporting, PMO, communication…). Ajoutez une entité gouvernance et stratégie, et vous n’êtes pas loin d’obtenir l’organigramme de beaucoup de RSSI Groupe ! Notons qu’il existe des alternatives : certaines organisations optent pour un modèle distribué, consistant à répartir les services dans les entités (par exemple : les USA sont dorénavant en charge du service de tests d’intrusion pour toute l’entreprise), et les très grandes entreprises optent souvent pour la création de Hubs intermédiaires (par région, par métier…) délivrant ces services. Quelle que soit l’organisation retenue, ce mouvement de consolidation est en cours : on estime à environ 40% le nombre d’employés de la filière travaillant sur des activités à portée transverse… et la progression est exponentielle ces dernières années.

Ce mouvement de centralisation permet de libérer les équipes locales (RSSI ou correspondants métier/pays/entité) qui peuvent ainsi consommer les services et se recentrer sur les activités nécessitant une forte proximité avec leurs métiers : évaluation des risques, intégration de la sécurité dans les projets, recettes de sécurité… Dans les filières sécurité, c’est ici que nous retrouvons encore aujourd’hui l’essentiel des effectifs (facilement 30 à 40%)… mais cette situation est très probablement transitoire ! La généralisation de l’agile impacte de plein fouet ces équipes qui se retrouvent à changer de métier du jour au lendemain car projetées dans les Feature Teams à former, coacher et outiller des « Security Champions » qui gagnent progressivement en autonomie. Résultat : les RSSI locaux s’industrialisent également et organisent leur équipe en centre de services à destination de ces Feature Teams (standards de développement, revue de code, méthodes d’analyse…) Suivez mon regard : le spectre de l’équipe sécurité unique, centralisée, risque de ressurgir assez rapidement dans les débats… et c’est la transformation agile qui accélère le processus !

 

ON PEUT DÉSORMAIS FAIRE UNE CARRIÈRE DANS UNE FILIÈRE SÉCURITÉ

 

No alt text provided for this image

Nous l’avons largement commenté : certaines filières sécurité sont passées de quelques dizaines de personnes, à plusieurs centaines voire milliers en l’espace de quelques années. Certes cela nécessite un brin d’organisation… mais c’est également une formidable opportunité pour tous les employés de la filière ! Gestion de projet, management d’équipe, expertise, communication… très peu de secteurs offrent une telle diversité, et la situation est idéale pour attirer et fidéliser les talents. Je ne peux que vous recommander de profiter d’une réorganisation cybersécurité pour mettre en lumière cette richesse et travailler sur la gestion des compétences : alignement des salaires, re/up-skilling, plans de formation/certification, responsabilités individuelles, processus de mobilité… les sujets à traiter sont nombreux pour booster le well-being et permettre aux employés de se construire une carrière pleine et enrichissante au sein de la filière !