Le RSSI, un gestionnaire des risques

' Aujourd'hui, la première qualité d'un RSSI doit être sa capacité d'adaptation aux enjeux des différentes directions métier, aux évolutions technologiques, et aux nouvelles réglementations, souligne Thierry Rivat, qui exerce ce métier depuis quatre ans au sein de la direction informatique du CHRU de Strasbourg. Il faut qu'il ait également une vision globale et cohérente du périmètre de la sécurité dans sa structure, ainsi que du bon sens '. Doté d'une spécialisation en gestion de la sécurité des systèmes d'information (SI), cet ingénieur généraliste est devenu RSSI après deux expériences en audit des SI chez Andersen, puis en interne chez Bouygues. Son poste était alors avant tout technique. En quatre ans, celui-ci a évolué vers une gestion globale des risques liés aux systèmes d'information. Il se positionne désormais ' à l'intersection de plusieurs fonctions d'entreprise - informatique, juridique, communication, et organisation '. Les connaissances techniques de base s'avèrent donc indispensables, mais il convient également d'être un bon communicant, et de posséder des compétences juridiques et organisationnelles. ' Je consacre 95 % de mon temps à des tâches non techniques, telles que l'organisation de la sécurité (audit, analyse des risques, définition et suivi de la politique de sécurité, maîtrise d'ouvrage des projets de sécurité), explique-t-il.

Intervenir en amont des projets

Pour maintenir ses connaissances à jour, Thierry Rivat participe à diverses rencontres sur la sécurité, et échange des bonnes pratiques avec ses confrères du Club de la sécurité de l'information régional (Clusir) Est. Grâce à sa certification CISSP (Certified Information System Security Professional), ses compétences sont reconnues. Nadine Delouche, responsable sécurité de Cigmagca (centre informatique de trois grands groupes de protection sociale : MV4 Parunion, Audiens et Taitbout), joue, quant à elle, un rôle de ' manager de réseau '. Informaticienne d'origine, elle anime un réseau de 15 relais sécurité parmi les experts techniques du centre et les responsables sécurité des groupes de protection sociale, parfois avec l'aide de consultants extérieurs. Cette organisation la conduit à faire face à de nouvelles contraintes, à savoir assurer une obligation de continuité d'activité dans un environnement multi-plate-forme, rendu complexe par le nomadisme des cadres. ' L'évolution de notre métier vers le " risk management " nous aide à gérer les priorités ', souligne-t-elle. De son côté, Stéphane Rouhier, chargé de la communication du Cigref, constate que de nombreux RSSI sont des correspondants informatique et libertés (CIL). Ils sont également ' de plus en plus associés, très en amont, à des projets importants '. Ainsi, au CHRU de Strasbourg, la sécurité est intégrée dans la démarche projet. Par ailleurs, trois fois par an, le RSSI anime des réunions du comité de sécurité des systèmes d'information qui regroupe tous les représentants des principaux métiers, sous la présidence de la direction générale. Dans ce cadre sont traités le suivi des risques, des projets, et de la politique sécurité des systèmes d'information.c.peressini@01informatique.presse.fr