Le concept de Security 2.0 ne relève pas simplement du slogan marketing. Cette expression définit avec justesse les contours de la tâche des Responsables de la Sécurité des Systèmes d'Information (RSSI), à l'heure du business. « Bien au-delà de la protection des investissements, la mission Security 2.0 consiste à protéger la création de valeur dans un univers mouvant, élastique, et fondamentalement anti-sécuritaire » précise Eric Domage, Research Manager, Security Products & Services chez IDC.

Devant un parterre de RSSI, lors de la 7e édition de la conférence annuelle Risk Management d’IDC, Eric Domage a plaidé pour que la sécurité devienne un outil de croissance et de conformité. On est alors loin des discours techniques. « Considérer une politique de sécurité uniquement d’une point de vue technologique est forcément une impasse intellectuelle » prévient-il. Des conseils et directions donnés par IDC à cette occasion, aucun n’est d’ailleurs d’ordre technologique. La priorité est donnée à des processus de sécurité, et leur contrôle, intégrant le management, l’utilisateur, le législateur/régulateur, et le RSSI, dans un travail permanent. Les recettes tiennent d’un travail d’éducation d’une pensée sécuritaire :

• médiatisation des accidents de sécurité (et minimisation de ceux internes)
• nécessité de convaincre de l’importance de la sécurité le PDG plutôt que les DSI ou Directions Métiers
• calcul du Retour Sur Investissement dès que possible (un exercice jugé toutefois périlleux)
• démonstration de la valeur de la sécurité (une sécurité avancée rassure les clients, le choix d’un fournisseur réputé conforte une crédibilité)

Technicien de haut niveau, manager, le RSSI doit aussi revêtir le costume de BOP, Business Oriented Professional. C’est à cette condition – en intégrant la dimension business de sa mission - qu’il sera en mesure de parler le même langage que les interlocuteurs qu’il a à convaincre. Cela ne se fera pas sans une remise en question de sa posture face au risque.  « Craignez tout autant les nouveaux arrivants, que les partants, les patrons, et les ultra compétents » avertit Eric Domage. Chacun représente une menace. Chacun n’hésitera pas à  contourner, pour d’excellentes raisons à ses yeux, les barrières des systèmes d’information. Ce qui fait dire au Directeur de Recherches d’IDC  que « le futur Jérôme Kerviel est déjà chez vous ! ».

Une fois ce logiciel Security 2.0 maîtrisé, il sera temps de penser à la mise à jour. Eric Domage conclue en définissant 4 domaines que le futur RSSI aura à couvrir à l’heure de la Security 3.0 :

1. Information Warfare : le contrôle de flux entrants et sortants, et de la connaissance
2. Bits and bytes : la défense classique contre les malveillances
3. Compliance mission : régulation interne et externe, mise en conformité, gouvernance
4. Security as a Business : vers une constante création de valeur