TRANSFORMATION & ORGANISATION

Lumière sur les CISOs et les DPOs

Une étude menée par PwC Luxembourg, en collaboration avec le CLUSIL et la CNPD, met en lumière l’importance grandissante des fonctions de Chief Information Security Officer et de Data Protection Officer.

October 27, 2022

Une étude menée par PwC Luxembourg, en collaboration avec le CLUSIL (Club de la Sécurité de l’Information Luxembourg) et la CNPD (Commission Nationale pour la Protection des Données), met en lumière l’importance grandissante des fonctions de Chief Information Security Officer (CISO) et de Data Protection Officer (DPO, Délégué à la Protection des Données).

Alors que les questions relatives à la sécurisation de l’information et à la protection des données personnelles n’ont jamais été si prégnantes, PwC Luxembourg s’est une nouvelle fois intéressé aux CISOs et DPOs, c’est-à-dire à ceux à qui ces sujets sont au cœur du quotidien.

« Au travers d’une étude que nous menons désormais depuis quelques années, réalisée cette fois avec la collaboration du CLUSIL et de la CNPD, nous avons voulu voir comment ces fonctions sont perçues et évoluent au cœur des organisations, ainsi que la manière avec laquelle elles interagissent entre elles ou encore avec d’autres services comme le  département informatique par exemple », commente Maxime Pallez, Cybersecurity Senior Manager, PwC Luxembourg. Issus de 90 organisations luxembourgeoises, des CISOs et DPOs, équitablement répartis, ont accepté de répondre de manière anonyme au questionnaire qui leur était soumis.

 

Qui sont les CISOs et les DPOs ?

Les résultats permettent tout d’abord d’en apprendre plus sur les profils qui occupent ces fonctions. « On découvre notamment que les CISOs ont davantage un background technique. 92 % peuvent faire valoir des compétences IT, 78 % en sécurité de l’information, 22 % dans le domaine de l’audit, commente Antonin Jakubse, Senior Manager, PwC Luxembourg. Du côté des DPOs, les compétences relèvent du domaine légal, pour 55% des répondants, de la protection des données pour 19% ou de la sécurité de l’information pour 17%. Pour les quelques répondants occupant les deux fonctions, ce sont souvent les compétences IT qui priment. »

Au niveau de la formation, la grande majorité de ces professionnels peuvent faire valoir un diplôme de master, à savoir 89 % des CISOs, 95 % des DPOs et 63 % de ceux qui déclarent occuper les deux fonctions. Ces acteurs, aussi, s’inscrivent dans des démarches de certifications. Par exemple, 35 % des CISOs sont certifiés ISO 27001 et 26 % des DPOs ont suivi le cycle de formation du CIPP. « Dans l’ensemble, on constate que le niveau de séniorité entre CISO et DPO n’est pas équivalent. Cela s’explique sans doute par le fait que la fonction de DPO est plus récente et que l’offre en formation est moins étendue. Toutefois, il est intéressant de constater qu’uniquement 55% des répondants déclarent suivre des formations en lien avec leurs responsabilités sur base régulière », commente Antonin Jakubse.

 

Répondre avant tout à des exigences réglementaires

Comment s’exercent ces fonctions au sein des entreprises ? L’enquête révèle que 85 % des CISOs occupent cette fonction à plein temps, pour seulement 68 % des DPOs. Parmi les « DPOs à temps partiel », 87,5 % des personnes interrogées déclarent consacrer seulement 25 % de leur temps à cette fonction.  « Les CISO qui n’occupent pas cette fonction à temps plein occupent également les rôles de Chief Risk Officer ou d’Operational Risk Officer, confirmant l’orientation Risk du CISO. Les DPOs, eux, occupent les fonctions de Compliance Officer ou de Chief Risk Officer », précise Maxime Pallez.

L’enquête a aussi souhaité savoir quelles étaient les principales raisons qui, au sein des organisations, ont conduit à la mise en place d’une fonction de CISO ou DPO. Pour 53 % des personnes interrogées, cela découle d’obligations réglementaires. 32 % déclarent qu’elles visent à améliorer la sécurité et la protection des données. Pour 29 %, cela vise à sensibiliser l’organisation vis-à-vis de ses responsabilités. « Dans beaucoup de structures encore, ces fonctions semblent imposées par le cadre légal en vigueur plus que par l’exigence d’effectivement contribuer à une meilleure sécurisation de l’information et protection des données, commente Maxime Pallez. Cela ne signifie pas qu’auparavant les acteurs ne prenaient pas de mesure en matière de sécurité. Au contraire, la plupart d’entre eux n’ont pas attendu de nommer un CISO pour investir dans la sécurité. Cependant, la mise en place de la fonction vient répondre à une exigence réglementaire. »

 

Des freins à « business enabler »

Une majorité des CISOs et DPOs rapportent directement au CEO, au N-1 ou au N-2. C’est un élément essentiel pour que la sécurité de l’information et la protection des données soit considérée au plus au niveau de l’entreprise et que les contraintes aient une chance d’être appliquées. Cela ne signifie pas pour autant que les CISOs et les DPOs sont considérés comme contributeurs au développement du business. En effet, 15% des RSSI, 8% des DPO et 12% des répondants ayant les deux rôles se sentent sanctionnés depuis qu’ils occupent ce poste (gel du salaire, diminution des responsabilités…). « Trop souvent, ces fonctions sont encore considérées comme des freins à la mise en œuvre de certains projets. L’un des enjeux, pour l’avenir, est de faire évoluer la perception du métier vis-à-vis de ces rôles, pour qu’ils soient davantage considérés comme des garants de la pérennité du business, des contributeurs à des développements futurs, commente Antonin Jakubse. CISO et DPO, dans cette perspective, doivent davantage adopter une position de business enabler, intervenant en amont des projets, contribuant à des approches stratégiques. »

Selon l’étude, 62 % des CISOs et 44 % des DPOs sont impliqués dans de nouveaux projets dès leur lancement. 58 % des CISOs et 76 % des DPOs ont une stratégie distincte pour ce qui relève de la sécurité de l’information d’une part et de la protection des données d’autre part. 15 % des CISOs et 12 % des DPOs déclarent ne pas avoir de stratégie.

 

Identifier et documenter les conflits d’intérêt

Certains challenges, toutefois, doivent encore être relevés, au service d’une meilleure sécurité de l’information et d’une protection des données renforcée. 63 % des CISOs et des DPOs définissent leur niveau de maturité en matière de cyber-résilience comme étant de niveau 3 ou supérieur, sur une échelle allant de 1 à 5. 71 % des CISOs et 65 % des DPOs définissent leur niveau de maturité concernant leur conformité au GDPR comme étant de niveau 3 ou supérieur.

« Un point d’attention particulier concerne les potentiels conflits d’intérêts pouvant découler d’une fonction de CISO ou de DPO exercée à temps partiel ou intégrant des fonctions opérationnelles IT ou de sécurité informatique, explique Maxime Pallez. Ces rôles ayant pour mission d’évaluer et de contrôler les mesures de sécurité et de protection mises en place, il est délicat pour ceux qui les assument d’être juge et partie. Si, dans des petites structures, il est difficile de dédier une personne à la fonction, il est toutefois primordial de mener un exercice d’identification des potentiels conflits d’intérêt, de les évaluer, de les documenter pour des besoins de conformité, mais surtout de définir des mesures pour éviter que les besoins toujours plus fort liés à la production viennent mettre en danger la sécurité et la protection de l’information. »

 

Pour télécharger l’étude complète, cliquez ici.

Watch video

In the same category