Quelle direction pour la sécurité des systèmes d'information ?

Le sujet de la place du responsable de la sécurité des systèmes d'information (RSSI) suscite un débat. “ Il ne pourra plus s'appeler RSSI s'il ne fait plus partie de la direction informatique ”, affirme Alain Moustard, DSI de Bouygues Telecom. Alors que pour Fabrice Lacheref, DSI de Sodebo, “ il est important de séparer la DSI de la sécurité des systèmes d'information, afin de ne pas être juge et partie ”. Serge Saghroune, RSSI du groupe Accor, estime au contraire que “ si le responsable de la sécurité doit prendre des mesures concernant une analyse de risques qu'il a lui-même faite, il aura à les justifier devant le comité projet, auprès de la DSI, voire face à un comité fonctionnel ”.Au conseil général des Bouches-du-Rhône (CG13), la question s'est posée au moment de la création du poste de RSSI. “ Nous avons choisi d'être rattachés à la DSI plutôt qu'à la direction générale, ce qui, selon moi, n'aurait pas été efficace : il faut connaître les rouages pour structurer l'activité de RSSI et éviter l'effet “ nuage de fumée ”. Etre à la DSI, c'est comprendre les processus, l'organisation, la technique et, surtout, savoir bien exploiter les budgets ”, raconte Marc Dovero, RSSI du CG13.

Dans ou hors de la DSI, c'est l'implication qui compte

Réglementations, conformité et respect de la législation ont poussé le responsable sécurité à sortir de considérations purement pratiques. Car même si la technique est loin d'être anecdotique, il s'agit avant tout de penser stratégie. Un RSSI d'un grand groupe confie : “ Il y a dix ans, notre démarche était intuitive. Comme risques, nous connaissions les virus et les impacts qu'ils pouvaient avoir sur le système d'information. Aujourd'hui, des méthodes quantifient les répercussions sur le business. ”Cela remet-il en cause le rattachement du responsable sécurité à la direction informatique ? “ C'est un faux débat, tranche Bernard Foray, RSSI du Groupe Casino. Dans ou hors de la DSI, c'est la contribution que l'on apporte aux métiers de l'entreprise et la marge de manœuvre que l'on aura qui comptent. ” A plusieurs reprises, il a eu à choisir entre être ou non rattaché à la DSI. Sa décision a toujours été d'en faire partie. “ Sinon, nous perdons le sens des réalités et nous n'avons pas toujours les bons leviers pour agir et faire agir. J'ai connu une RSSI qui dépendait de la sécurité physique et des bâtiments, et qui avait installé son bureau au milieu du personnel de la DSI pour mieux capter ce qui se passait et être au fait des projets en cours. Ainsi, elle savait comment offrir un meilleur service de sécurité à la DSI ”, justifie-t-il.

Un consensus indispensable

Certains parlent pourtant d'une séparation des pouvoirs. L'objectif serait toujours de faire travailler main dans la main responsables de la sécurité et direction informatique. Sauf que le RSSI serait légitime pour imposer le respect matériel ou réglementaire de certaines contraintes. Voire pour être considéré comme autorité. Pour Serge Saghroune, “ la sécurité repose sur un consensus au sein de l'entreprise. Que le niveau soit faible ou élevé, il faut se répartir la responsabilité et partager les informations. Ce qui fait actuellement défaut. ”