Le responsable sécurité devra-t-il quitter la DSI ?

Réglementations, conformité et respect de la législation sont autant de contraintes pour le responsable sécurité des systèmes d'information (RSSI). Poussé à développer des compétences qui dépassent la technique, celui-ci considère désormais cette dernière comme un simple moyen, même si elle n'est pas devenue anecdotique. Le RSSI pense avant tout stratégie. Il évalue l'environnement de l'entreprise, voire l'audite, et analyse les enjeux liés au risque opérationnel, tout comme les usages informatiques qui peuvent exposer la société juridiquement (vol de propriété intellectuelle, perte de données confidentielles ou clients, etc.).Pour y parvenir, le rapprochement entre le responsable sécurité et les directions métier est nécessaire. D'une part, afin de mieux appréhender leurs besoins ; d'autre part, pour les sensibiliser aux problématiques de sécurité selon leur degré d'exposition. Une direction comptable n'a pas les mêmes responsabilités que celle des ressources humaines. Cette dernière, par exemple, pousse fortement le RSSI à s'engager dans des projets de gestion des identités et des accès : comment s'assurer que les collaborateurs de l'entreprise ont bien vu leurs droits modifiés en fonction de leurs mouvements dans l'entreprise ou en cas de départ ? Seules les ressources humaines ont la main aujourd'hui sur ces questions.

Un rapprochement indispensable avec les métiers

Pour réussir à mettre en place une politique de sécurité adéquate, et trouver les modalités techniques qui l'accompagnent, une étape préalable de consultation de l'ensemble des directions est donc indispensable. Une phase qui s'avère généralement longue, mais déterminante pour le succès de l'opération.La DSI, qu'on peut qualifier de prestataire informatique interne, répond à des demandes émanant de la direction générale sans avoir nécessairement les compétences pour appréhender les risques induits. Pour cela, “ il est important de séparer la DSI de la sécurité des systèmes d'information afin que personne ne soit à la fois juge et partie. Chez nous, la direction informatique appartient au comité de pilotage de sécurité du système d'information mais elle est présidée par le directeur des risques et de l'audit ”, explique Fabrice Lecheref, DSI de Sodebo. Un RSSI d'un grand groupe se rappelle : “ Il y a dix ans, nous avions une démarche intuitive. Un risque, c'était un virus, et les impacts qu'il pouvait avoir sur le système d'information. Aujourd'hui, il existe des méthodes pour quantifier les répercussions sur le business. ”Pour toutes ces raisons, le RSSI sera probablement amené à quitter la DSI pour rejoindre, qui sait, une direction de la sécurité des systèmes d'information.