Inscrivez-vous gratuitement à la Newsletter BFM Business
En dix ans, la tâche du RSSI est passée de la protection du système d'information à celle de l'intégrité de l'entreprise. Ce responsable doit désormais faire équipe avec les métiers pour élaborer une politique de sécurité adaptée à chacun d'eux.
Tout responsable de la sécurité des systèmes d'information (RSSI) porte sur ses épaules l'intégrité de son entreprise. Chaque année, il voit s'élargir un peu plus son champ d'action, ce qui l'oblige à cumuler les casquettes. Il fait également face à des vulnérabilités toujours plus complexes et doit concevoir une politique de sécurité qui reste adaptée à l'ADN de l'entreprise au fil du temps. Très discret, il manie avec subtilité l'art du dialogue, en interne comme en externe. Dire ou ne pas dire ? Et si oui, comment, à qui et, surtout, quand ?
De la technique à la stratégie
“ Sur le long terme, c'est un vrai travail de fourmi qui attend le RSSI. Il lui faut être patient pour changer la culture de l'entreprise, le comportement des informaticiens et celui des utilisateurs. Et faire rentrer la sécurité dans les habitudes quotidiennes de chacun ”, explique Bernard Foray, directeur de la sécurité des systèmes d'information du groupe Casino, dans son livre intitulé La fonction RSSI, publié chez Dunod. Le rôle de ce responsable est devenu plus organisationnel et plus tactique. Dans les années 90, la sécurité informatique consistait à mettre en place des remparts techniques. Il en va tout autrement aujourd'hui. Depuis dix ans, des bonnes pratiques ont fait leur apparition afin d'établir la cartographie des risques auxquels l'entreprise est exposée, de lister les moyens à mettre en place et de bâtir l'organisation qui en découle. Un RSSI d'un grand groupe confie (anonymement) : “ Il y a dix ans, tout cela était intuitif. Un risque, c'était un virus dont on connaissait les effets sur le système d'information. Aujourd'hui, il existe des méthodes pour quantifier et qualifier les impacts potentiels sur l'activité. Ce qui est autrement plus compliqué. ”Pour parvenir à ses fins, le RSSI a dû se rapprocher des directions métier afin de mieux appréhender leurs besoins, de les sensibiliser aux problématiques de sécurité et d'évaluer leur degré d'exposition. Une direction comptable n'aura pas les mêmes exigences qu'une DRH. Cette dernière poussera, par exemple, le RSSI à s'engager dans des projets de gestion des identités et des accès. C'est-à-dire à s'assurer que les droits des collaborateurs sont bien modifiés en fonction de leurs mouvements dans l'entreprise (mobilité interne ou départ de la société). Dans cet exemple, réussir à mettre en place une politique de sécurité adéquate, avec les modalités techniques exactement nécessaires, passe par la consultation préalable de l'ensemble des directions. Une démarche vitale, et très longue.
Vers une direction de la sécurité de l'information
Le respect de la législation contraint également le responsable sécurité à sortir des sentiers battus. Sachant qu'il faut évaluer (voire auditer) l'environnement de l'entreprise, mais aussi être sensible aux enjeux liés au risque opérationnel et en connaître les usages informatiques susceptibles d'exposer l'entreprise juridiquement (vol de propriété intellectuelle, perte de données confidentielles ou clients…), la question de ne pas rattacher le RSSI à la DSI se pose. Car ces tâches exigent de l'indépendance. “ Il est important de séparer la DSI de la sécurité des systèmes d'information pour ne pas être juge et partie. Chez nous, la direction informatique fait partie du comité de pilotage de sécurité du système d'information. Mais ce comité est présidé par le directeur des risques et de l'audit ”, explique Fabrice Lecheref, DSI de Sodebo.
Votre opinion