Assumer les contraintes métiers et réglementaires

Mise en conformité réglementaire : voilà une préoccupation majeure des entreprises. D'autant plus forte que cohabitent divers cadres légaux, européens (Directive sur la protection des données), américains (Sarbanes-Oxley Act) ou français (Informatique et libertés et Loi de sécurité financière), sans parler des dispositifs verticaux (Bâle II pour les banques) ou des standards industriels (Itil ou ISO 17799). Ces textes imposent d'évaluer la qualité du système d'information (plan de secours, protection des données, maîtrise des évolutions, contrôle des sous-traitants, etc.) et de rendre compte des procédés de contrôle interne. Les RSSI doivent s'assurer que l'entreprise garde trace de toute opération (qui accède à quoi, quand, et comment). Le secteur bancaire déploie ainsi depuis deux ans des projets de gestion des identités et des accès. ' Nous avons amélioré la surveillance permanente : supervision des opérations des utilisateurs, audits et tests de pénétration pour vérifier les contrôles ', note le RSSI d'une grande banque.

Un enjeu capital

L'enjeu est d'importance pour les sociétés cotées. L'Autorité des marchés financiers veille à la gestion effective des risques et a les moyens de sévir. Ces obligations n'occultent pas l'importance d'une juste adéquation entre la gestion du risque et les priorités métiers. Lesquelles doivent être en accord avec les dispositifs juridiques. Ainsi, chez AG2R, mutuelle de santé, ' les réglementations sectorielles sont portées par les directions métiers ', indique Paul-Olivier Gibert, directeur de la sécurité et de la déontologie. Avec l'obligation, par exemple, d'informer les bénéficiaires d'une assurancevie au décès d'un assuré. Ce qui nécessite de rapprocher des bases de données. ' La direction de la sécurité veille auprès de la DSI à ce que ce traitement respecte la réglementation Informatique et libertés ', poursuit-il. L'interprétation technique des besoins aboutit à transmettre l'information sous contrôle et de façon automatisée. Pas question d'aller farfouiller dans les bases.Chez le transporteur DHL Express, pour s'assurer que les besoins du métier sont entendus, une cellule se charge de leur collecte dans chaque département. Ces responsables sont à 80 % issus du métier et à 20 % de l'informatique. ' Ils transmettent leurs doléances à un pôle d'une vingtaine de personnes, qui cernent le périmètre sécurité de chaque demande ', développe Christophe Pipparelli, responsable de la sécurité de l'information de DHL. Ce pôle regroupe d'anciens chefs de projet, non issus directement du métier, ce qui contrebalance les demandes du métier. Pour éviter des demandes irréalistes ? ' C'est inutile, répond Christophe Pipparelli, car les responsables métiers savent pertinemment ce qui est critique. ' L'écueil à éviter est la trop grande confiance dans la robustesse de l'informatique, ' comme la tendance à sous-évaluer le coût d'une interruption de serveur ', conclut-il.