C'est une évidence pour celui qu'on nomme RSSI, ou responsable sécurité des systèmes d'information : la technologie cohabite de plus en plus avec l'organisationnel. Et l'organisationnel aime les procédures. À tel point que certains évoquent la nécessité de doter la profession de RSSI d'un statut. « Un statut : pas nécessairement. Mais une redéfinition de sa fonction plus transversale et plus organisationnelle que technique. Son rôle est de conseiller, alerter et informer la direction générale », constate Marie-Laure Laffaire, avocate au cabinet Lexvia.

« Un RSSI doit aussi recommander, et c'est là que se posent de nouveaux problèmes, liés à l'indépendance de sa fonction, poursuit Garance Mathias, avocate. Va-t-il, par exemple, en matière de protection de la vie privée des utilisateurs, préconiser des règles en faveur de ces derniers ou en faveur de la direction générale ? »

Afin de garantir son indépendance, « la profession doit se doter d'une charte de bonnes pratiques courantes, comme aux États-Unis » , estime Patrick Langrand, RSSI de Natexis Banques Populaires. Cette charte, également guide déontologique, définira le rôle attribué aux fonctions essentielles du RSSI : conseiller, assister, informer, former, alerter et préconiser.

Restent les limites. Gérer les logs ne suffit plus, il faut comprendre dans quelles conditions s'effectue l'accès à des données sensibles. « Nous ne traitons pas les données à la manière d'un DSI » , glisse Patrick Langrand. D'où la notion de délégation de responsabilité et de cogestion des risques avec la direction générale devant les tribunaux. Un RSSI est souvent responsable du contenu qui circule sur l'intranet de l'entreprise. Il peut répondre pénalement du contenu des échanges sur les forums placés sous la responsabilité d'un hébergeur. Enfin, l'aménagement en cours de la loi Informatique et libertés de 1978 peut, éventuellement, le transformer en « correspondant » de la Cnil (Commission nationale de l'informatique et des libertés). « Juridiquement, le rôle de correspondant implique un statut de salarié protégé, comme pour les syndicalistes ou les responsables de CE » , note Garance Mathias.

Pour Pierre-Luc Réfalo, directeur de Comprendre et réussir, société de conseil et de formation, la fonction doit être à l'intérieur et à l'extérieur du système d'information (SI). Mais que veut-on dire par dans et hors du SI, en termes de sécurité ? Quand un RSSI s'occupe de la sécurité des cartes à puce, il va au-delà des problématiques informatiques pures.

Autre débat : quelle formation ou, du moins, quelle certification accorder aux RSSI ? En 2004, la plupart des RSSI n'ont pas de diplôme spécifique à leur fonction. Les examens liés aux certifications doivent pallier ce manque. Mais doit-on en choisir une qui soit reconnue par une norme comme la 17024 de l'ISO ; la CISSP (Certified information systems security professional) d'ISC ² (International Information Systems Security Certification Consortium) ; ou la franco-française ProCSSI ? Beaucoup de questions qui restent en suspens pour une profession qui souhaite désormais des réponses.