DRO (Digital Risk Officer), la nouvelle évolution du RSSI ?

Sarah Le Mesre et David Elbaz consultants au sein de Devoteam Consulting  

Le nombre d’appareils connectés dans le monde de l’entreprise n’a cessé de croître au cours de ces dernières années. L’usage de technologies mobiles (ordinateurs portables, tablettes, smartphones) a permis de rendre les entreprises de plus en plus agiles et productives. De plus, l’introduction du Byod (Bring Your Own Device) au sein des entreprises amène à remplacer progressivement les équipements mobiles professionnels par des appareils à usage personnel.

Une révolution digitale est en marche, mais des vulnérabilités persistent en raison de failles non corrigées que présentent certains systèmes d’exploitation, d’une utilisation non conforme de matériels, de défaut de configuration, etc. D’après le rapport de sécurité d’Alcatel-Lucent sur les attaques de malwares, 16 millions de terminaux mobiles ont été infectés en 2014 à travers le monde, et le nombre d’infections sur les terminaux mobiles a progressé de 25 %. Mais ce n’est pas tout. Récemment, une faille a été découverte sur Android. Les versions touchées exposeraient potentiellement plus de 939 millions de smartphones à travers le monde.

Pourtant, dans leur majorité, les entreprises n’ont pas encore déployé de règles pour gérer le Byod. Près de la moitié des décideurs informatiques se posent la question de la bonne utilisation et configuration des terminaux par les employés. D’après une récente étude Gartner, d’ici 2020, 60 % des entreprises numériques auront subi d’importantes défaillances de services car leurs équipes de sécurité informatique seront incapables de gérer les tendances numériques et les risques liés aux nouvelles technologies. Les entreprises doivent donc faire face à de nouveaux challenges.

Aujourd’hui, dans les grandes entreprises, la sécurité des systèmes d’information (SI) est gérée par le RSSI (responsable de la sécurité des systèmes d’information), responsable sécurité des directions des systèmes d’information (DSI). Ce dernier a un rôle qui peut varier selon le secteur d’activité de l’entreprise, sa culture et son organisation, mais son objectif principal est la gestion des risques SI de l’entreprise. À ce titre, il défi nit la politique de sécurité et contrôle son application.

Cependant, l’avènement de la transformation digitale, qui élargit le SI de l’entreprise aux terminaux mobiles et au domaine personnel, va obliger les entreprises à revoir leur gestion de la sécurité de l’information. Ainsi, Gartner propose, pour surveiller ces enjeux, un nouveau métier, celui de DRO : digital risk officer.

Entre la DSI, la direction commerciale et la direction générale, le DRO pourrait être défi ni comme un manager des risques stratégiques numériques, qui orientera la gouvernance d’entreprise et les décisions relatives à ces nouveaux changements. Il travaillera par conséquent à la fois avec des équipes SI, mais également avec des opérationnels issus d’autres métiers sur des sujets de réglementation, de marketing, d’achat et de contrôle interne. Il s’agira donc d’une personne pluridisciplinaire, qui devra anticiper les besoins de l’entreprise et les transformations digitales. «

Notre expérience en transformation digitale, comme le souligne Régis Tatala, Executive Vice President Devoteam Consulting, nous a montré que certaines entreprises ont déjà pris en compte ces informations et créé une direction du Digital. D’autres, sans aller jusque-là, ont simplement élargi le domaine d’action de leur RSSI ».

Création d’un nouveau poste ou élargissement de rôles existants, les entreprises doivent s’adapter au changement numérique et anticiper les évolutions de demain si elles veulent rester compétitives.