Un tremplin vers de nouvelles responsabilités

24/02/2006 à 00h00

Le chef de projet de sécurité va prendre de l'étoffe. Il devra parler technologie avec ses équipes, besoins métier avec les utilisateurs et urbanisation du système d'information avec la DSI.

Une bonne nouvelle pour les chefs de projet de sécurité. En 2006, leur charge de travail tend à s'accroître, et leurs responsabilités à s'étendre. Mieux : ils gagneront sans doute en reconnaissance de la part de leurs collègues. Et cette tendance devrait perdurer en 2007. La raison en paraît simple : à mesure que les équipes informatiques développent l'agilité du système d'information, le poids de la sécurité augmente. Il en est ainsi des technologies de mobilité, qui permettent aux collaborateurs de travailler n'importe où à tout instant. Elles impliquent une sécurisation accrue des accès, une gestion de la conformité des postes nomades, une ouverture du système d'information, et donc une surveillance des opérations effectuées. De ce fait, le chef de projet de sécurité se retrouve naturellement impliqué en amont dans nombre des décisions de la direction des systèmes d'information.Pour autant, les projets à mener conservent un air de déjà-vu d'une année sur l'autre. La recrudescence des nuisances dites classiques (virus, vers, chevaux de troie, spywares, spam) reste une préoccupation majeure et une source sans fin d'attention. En revanche, le barycentre du métier se déplace de la technologie vers la sensibilisation des utilisateurs à la sécurité. Désormais, il s'agit moins d'un travail pédagogique sur la nécessité de la sécurité que d'une plus grande acculturation aux métiers et à leurs besoins.

Se rapprocher des utilisateurs

Plus proche des métiers, le chef de projet doit adopter leur langage. ' Il n'est pas censé transformer les gens du métier en experts en sécurité, mais plutôt les aider à formuler des demandes de sécurité ', explique Bernard Cardebat, directeur des grands projets sécurité chez Euriware. En échange, les chefs de projet doivent fournir des systèmes adaptés aux enjeux des métiers. La fonction entre dans l'ère de la sécurité motivée : c'est par la satisfaction d'un besoin métier que le chef de projet justifie le mieux ses investissements en sécurité. Cette posture va de pair avec une mutation de la fonction, qui s'éloigne du seul rôle d'expert technique. Bernard Cardebat insiste sur cet aspect : ' La sécurisation forme un acte d'urbanisme du système d'information. 'On ne saurait mieux expliquer la multiplication des projets de gestion des identités : pour la première fois, l'individu n'est plus considéré comme le maillon faible de la chaîne de sécurité, mais avant tout comme un utilisateur et un acteur du système d'information. La gestion des identités nécessite de prendre en compte les interactions directes et indirectes de chaque employé avec le système d'information. Elle exige donc une compréhension très fine du fonctionnement de l'entreprise, des métiers et des rôles de chacun. Ce qui fait dire à Bernard Cardebat que ' la multiplicité de compétences que l'on doit réunir sur un projet de sécurité est supérieure à celle qu'il faut posséder dans d'autres projets '.

L'avis du chef de projet : Philippe Gros, directeur de projet schéma directeur sécurité, direction de l'informatique des services financiers de La Poste

' Les projets de sécurité dopés par l'ouverture au monde '
' Relever les défis que fait naître l'essor de la mobilité constituera l'orientation majeure des projets de sécurité dans les deux années à venir. Il en découle de nombreux projets autour des thèmes de l'authentification, du contrôle d'intégrité des postes nomades et de la traçabilité des opérations au sein du système d'information. Laquelle satisfait à la mise en conformité avec les réglementations et la politique de sécurité de l'entreprise. '

' Un rôle à jouer aux côtés des métiers '
' Le chef de projet est perçu comme l'apporteur de solutions techniques. Dorénavant, nous devons connaître le métier et savoir parfois abandonner notre jargon. Certes, nous ne pouvons pas maîtriser une connaissance de tous les flux d'information, au sens processus. Mais comment analyser correctement les risques sans les gens du métier ? A nous de traduire leur définition du risque en besoins fonctionnels de sécurité et de leur expliquer ensuite nos méthodologies. '

' Demain, tous responsables de la sécurité des systèmes d'information ? '
' Devenir RSSI ? Oui, sous réserve de posséder une culture orientée politique de sécurité, organisationnel. Un chef de projet purement technique ne pourrait pas le devenir. En revanche, quelqu'un qui gère des ressources, des délais, des coûts ou des charges se révèle déjà un manager. La différence avec un directeur métier réside dans labsence de liens fonctionnels entre les collaborateurs. Les liens ne sont que matriciels. '

Vincent Berdot, Clarisse Burger, Claire Chevrier, Philippe Davy, Olivier Discazeaux, Marc Etienne, Kareen Frascaria, et Anicet Mbida