Digital Risk Officer : tout un concept

Ce phénomène implique certains bouleversements notamment au niveau organisationnel où il devient indispensable de répartir au mieux les rôles et la charge de travail de chacun. C’est dans ce contexte qu’intervient un nouveau type de collaborateur, le Digital Risk Officer (DRO). Edouard Barbier, spécialiste Risques, Gouvernance et Conformité chez Devoteam, nous apporte quelques précisions sur ce poste.

Les risques numériques

Le terme de DRO a été conceptualisé par le cabinet Gartner en 2014 pour désigner le poste qui devrait émerger dans les entreprises pour prendre en compte les évolutions de l’IT dans un monde où le numérique est devenu un levier de croissance indispensable. Paul Proctor, Chief of Research for Risk and Security, Gartner, précise « Le Digital Risk Officer sera composé d’un mélange de sens aigu du business et des connaissances techniques pour évaluer et construire des recommandations pour traiter de manière appropriée les risques de l’entreprise numérique ».

« Le rôle du DRO reste encore très théorique, on n’a pas encore de retours d’expérience, peu d’entreprises pour le moment ont fait appel au DRO » explique Edouard Barbier. En effet, si pour le Gartner cette innovation de poste semble indispensable dans le futur, les entreprises elles, n’ont pas encore adopté ce nouveau poste. Pourquoi ? Tout simplement parce qu’il est déjà représenté par différents éléments au sein de l’entreprise, à commencer par le RSSI ou la direction des risques.

DRO : entre RSSI et diplomate ?

Cependant, il existe une différence notable. Le DRO est une personne qui va devoir anticiper et identifier les tendances sur le long terme à contrario d’un RSSI qui lui va chercher une approche ultra-sécuritaire sur le moyen terme pas forcément en adéquation avec les réels besoins métiers. « Ce qu’il faut voir, c’est qu’au sein des entreprises depuis une dizaine d’années, on a vu éclore un certain nombre d’évolutions comme l’apparition d’objets connectés et autres. Le DRO a pour vocation d’orienter la gouvernance de l’entreprise et les décisions qui seront prises relatives à ces changements » souligne Edouard Barbier, « il y a un fossé culturel qui se crée entre les équipes SI et les équipes non-SI, celles qui prennent les décisions. Il a pour objectif de faciliter l’émergence du numérique au sein des métiers en disant que ce n’est pas forcément quelque chose de très technique ou compliqué ». Dans une entreprise possédant déjà une direction des risques, le RSSI pourrait alors se transformer en DRO.

Une nouvelle organisation

Au niveau de la hiérarchie, le DRO aurait un rôle de Senior Executive. Il interviendra en dehors du giron de l’IT et sera à un niveau juste en dessous de la direction afin de faciliter la communication entre les deux « castes » de l’entreprise. On pourrait le définir comme un consultant interne possédant la culture métier de la société, avec pour objectif d’influencer les prises de décision pour mener l’entreprise à se lancer dans de nouveaux défis comme la mobilité ou l’IoT, certainement incontournables dans les dix années à venir.

« Le DRO doit être capable de réaliser certains compromis entre la protection de l’entreprise en termes de risques mais aussi la capacité de la société à développer son business, d’avoir une activité optimale. C’est arriver à positionner son curseur entre les risques acceptables et une capacité à développer les business de manière convenable » commente Edouard Barbier.

Bien sûr les entreprises vont revoir leur organisation. La création ex nihilo d’un poste entraîne forcément des changements de structure et de distribution des rôles, « l’objectif est vraiment d’avoir une approche unifiée au niveau des risques numériques au sein de l’entreprise. Il y a un gap qui existe entre le business et la technologie mais justement le DRO doit être capable de faire le pont, de faire la jointure entre ces deux visions ».

Ainsi, le DRO compile la technique, le savoir, la culture d’entreprise et l’anticipation des tendances et possède les casquettes d’un consultant, d’un RSSI et d’un diplomate… A voir si les entreprises adopteront réellement les recommandations du Gartner.