Inscrivez-vous gratuitement à la Newsletter BFM Business
Une méthode américaine pour répartir la responsabilité du risque
En mai 2009, Barak Obama estimait que le risque informatique n'était pas uniquement l'affaire des directions informatiques dans l'entreprise. Et il précisait “ que tous ses dirigeants doivent être en mesure de réaliser les investissements nécessaires, grâce une bonne connaissance des risques et de leur impact potentiel ”. Cependant, sur le terrain, il en va tout autrement. La sécurité est souvent négligée, d'autant qu'il est presque impossible d'en mesurer le retour sur investissement.
Calcul de l'impact financier
De façon générale, la prise en charge du risque informatique est déléguée au responsable sécurité (RSSI), chargé de consolider toutes les informations émanant des différentes directions métier. Pour appuyer le discours du président américain, l'Ansi (American National Standards Institute) a élaboré une méthode pour répartir les responsabilités sur l'ensemble des directions métier composant une entreprise. Objectif : déterminer l'impact financier de chaque risque. “ Reste à mettre en œuvre cette approche. L'argent, comme indicateur, reste le seul moyen d'obtenir une vue globale des risques et de leurs impacts, métier par métier ”, confie Bruno Kerouanton, RSSI du canton du Jura. D'autres sont plus radicaux. Ainsi, Serge Saghroun, RSSI du groupe Accor, assène que “ culturellement, c'est irréalisable. Nous sommes tous concentrés sur notre cœur d'activité ”. Des exemples de collaboration existent pourtant, dont l'impulsion ne provient pas toujours du responsable sécurité ou de la DSI. A l'Institut Curie, la DRH a joué un rôle très actif en matière de gestion des identités. “ Afin de créer des habilitations, la DSI s'appuie sur les données du personnel que nous saisissons dans notre SIRH (système d'information de gestion des ressources humaine) : la validation des affectations, les renseignements sur les emplois et les postes tenus. ”, explique Martine Duthilleul, responsable du personnel à l'Institut Curie.
Une méthode encore très jeune
La méthode américaine préconise, par exemple, que la DRH gère les accès distants. Alain Bouillé, RSSI de la Caisse des dépôts, ne l'approuve pas : “ Elle n'apporte aucune valeur ajoutée dans le dispositif car elle ne connaît pas les besoins et n'est techniquement pas compétente pour apprécier les risques. Ensuite, le dispositif recommande que la direction financière s'appuie sur une équipe formée au risque informatique. Cela n'est possible que si la DSI y est rattachée et que le RSSI appartient à cette entité. ” Comme dans le cas de toute procédure, surtout aussi jeune, sa mise en œuvre nécessitera des adaptations. Mais elle s'inscrit, comme le souligne Michel Cazenave, RSSI au ministère des Affaires étrangères, “ dans l'ère du temps, et contribuera à l'avancée de la sécurité et de la gestion du risque ”. Si chacun s'accorde sur la participation des directions métier, il reste à en définir des modalités applicables.
Votre opinion