Le Responsable de la Sécurité des Systèmes d Information : organisateur ou technicien?

Transcription

1 Le Responsable de la Sécurité des Systèmes d Information : organisateur ou technicien? Si le poste de RSSI, Responsable de la Sécurité des Systèmes d Information, était initialement vu comme une fonction essentiellement technique, la raison en incombait à la nature des risques pesant sur les systèmes d information. Tant que l architecture des SI était basé sur des architectures majoritairement propriétaires et des applications maisons, on attendait du RSSI qu il connaisse les mécanismes de sécurité à mettre en œuvre, qu il en vérifie régulièrement la bonne application (par exemple en effectuant des audits Mehari chaque année) et aussi qu il traite des problématiques de continuité d activité. La nature des risques a fondamentalement changé, lié à la complexité accrue des systèmes d information, à l ouverture aux réseaux, aux nombres de domaines complémentaires qu on lui demande de traiter (aspects juridiques, communication interne et externe). Le RSSI ne peut plus être un technicien, il lui faut acquérir des compétences organisationnelles et d architecte de système d informations, de connaissance des métiers et de conduite du changement. Le rattachement du RSSI : à la Direction des Systèmes d Information ou à la Direction Générale? Si on voit des rattachements forts différents dans les entreprises de la fonction de RSSI (à la DSI, à la DG, à la Direction Financière), cela se comprend aisément par l évolution des missions de RSSI : d homme de la sécurité informatique vers homme orchestre de la sécurité du patrimoine informationnel de l entreprise. 1 / 6

2 Ce sécurité Pour développement DSI). Ensuite communication, il rattachement est simplifier, souhaitable sa de mission l information. d une et est peut là doit que donc conscience évoluer dire le un éminemment RSSI rattachement qu en vers soit sécurité période du rattaché Risk dépendant plus à proche la de dans DSI Management, démarrage de des la car la DSI maturité utilisateurs (elle de plus doit ne la sécurité doit est participer d organisation de pas nécessaire. l entreprise de au l information, faire et contre de à la la Évolution des missions du RSSI lié à la maturité de l entreprise à la sécurité de l information Quand le poste de RSSI n existe pas dans une entreprise, la fonction de sécurité de l information est assurée à la DSI sur un plan uniquement technique et souvent au coup par coup (mise en œuvre d Antivirus, pare-feu pour site Web). Dès la prise de conscience, la fonction de RSSI est créée, soit au travers d une embauche, soit via un consultant externe. Sa première mission va être de développer une Politique de Sécurité de l Information en s appuyant sur des normes et méthodes. Il devra mettre en chantiers l évaluation gestion des actifs et des risques, le plan de continuité d activité, En période de développement, le RSSI va deveoir diffuser cette culture sécurité et avoir une mission de diffusion de ce savoir et savoir faire dans l ensembles des entités de l entreprise. Enfin, à la maturité de l entreprise, qui correspond à l époque où la culture sécurité s est diffusée dans l entreprise (comme la culture qualité), le RSSI sera impliquée dans la stratégie de l entreprise et participera notamment à l élaboration du schéma directeur. Évolution des missions du RSSI lié à la maturité de 2 / 6

3 l entreprise à la sécurité de l information Dans certaines grandes entreprises, on voit apparaître deux missions correspondant au partage des responsabilités du RSSI entre deux interlocuteurs : l'un pour la maîtrise d œuvre, et l'autre pour la maîtrise d'ouvrage. Le CISO (Chief Information Security Officer), a une mission centrée sur la gestion des risques (Risk Manager) et l organisation de la sécurité. Il participera aux réunions du Comité de Direction. Le RSSI (Responsable Sécurité des Systèmes d Information) a la responsabilité opérationnelle d appliquer les règles à l ensemble du domaine informatique. Il disposera d'un savoir-faire d architecte technique de la sécurité et d'une parfaite connaissance des processus et des systèmes d'information. Quelles sont les entreprises qui ont créé une fonction de RSSI? La majorité des grands comptes en France emploie l'enquête 2010 menée par le Clusid. maintenant un tel manager, selon A l'échelle mondiale, 50% des grandes entreprises sont dépourvues (source KPMG, 2002). d'un poste de RSSI 3 / 6

4 En où l externalisation de le revanche, l'externalisation DSI en assume le poste de souvent de la la mission RSSI fonction les reste de de RSSI rare RSSI responsabilités. dans (voir les article PME Un sur solution les ou avantages les réside entreprises certainement et les importantes, limites dans ). La mission du RSSI vue du terrain «Le RSSI type, c est un moustachu, plaisante Philippe Chalon, Directeur des Systèmes d Information du groupe Total. Un homme de terrain avec beaucoup d expérience, un architecte généraliste technicien. La sécurité est un domaine de responsabilités sensibles. Un RSSI, c est un homme qui a la trempe d accepter cette charge» «Le RSSI est un homme qui répand la sécurité dans l entreprise, avance, Bernard Foray, RSSI de Gemplus. Mais les acteurs de la sécurité, ce sont les gens, non le RSSI.C est à peu de choses près le même discours que peut tenir un responsable qualité.» 4 / 6

5 «On ne s improvise pas responsable sécurité, explique Serge Saghroune, directeur du département sécurité informatique du groupe Accor. Cela requiert de la maturité et des spécialistes chevronnés. On a aujourd hui trop tendance à mettre des jeunes en avant. Or, pour exercer ce métier, une très bonne connaissance et une parfaite maîtrise des systèmes d information est primordial.» Définition de la mission 2002) de RSSI suivant le CIGREF (nomenclature Le RSSI assure un rôle de conseil, d assistance, d information, de formation et d alerte. Il peut intervenir directement sur tout ou partie des systèmes informatiques et télécoms de son entité. Il effectue un travail de veille technologique et réglementaire sur son domaine et propose des évolutions qu il juge nécessaires pour garantir la sécurité logique et physique du système d information dans son ensemble. Il est l interface reconnu des exploitants et des chefs de projets mais aussi des experts et des intervenants extérieurs pour les problématiques de sécurité de tout ou partie du SI. Le RSSI est généralement rattaché à la direction informatique. Profil : Ingénieur ou équivalent bac + 4 ou 5 en informatique. Expérience : 10 à 15 ans d expérience, dont une première domaine de la sécurité. expérience minimale dans le L'externalisation de la fonction de RSSI L'externalisation de la fonction de RSSI peut séduire des PME, mais également des sociétés plus importantes ne disposant pas d un poste de RSSI. Si la première raison peut être budgétaire, cette externalisation de cette fonction peut aussi répondre à d'autres objectifs : 5 / 6

6 - meilleure définition de la mission du futur RSSI - définition du rattachement du RSSI Voir article joint : l'externalisation du RSSI En savoir plus : Dossier du Cigref sur la définition des missions au sein de la DSI : 6 / 6