«Le RSSI, dans les faits, dix ans après le Livre blanc»

Transcription

1 «Le RSSI, dans les faits, dix ans après le Livre blanc» -Rapport du groupe de travail «Fonction RSSI, dix ans après le livre blanc» 1

2 2

3 Remerciements Le Forum des Compétences des Systèmes d Information remercie ses Etablissements Membres qui ont participé à la réflexion et à la rédaction de cet ouvrage présentant Dans le cadre de la protection du patrimoine Informationnel des entreprises. Il tient à remercier particulièrement les personnes du groupe de travail Fonction RSSI, dix ans après le livre blanc qui ont contribué à cet ouvrage 3

4 4

5 Sommaire Introduction... 7 Thème Métiers... 9 Thème Politique Thème «In-formation» Thème Plan de Continuité de l Activité - PCA Thème Contrôle Interne Thème Maîtrise d Ouvrage des projets de sécurisation Thème Gestion des accréditations Thème Juridique

6 6

7 Introduction Où en est la fonction de responsable de la sécurité du système d information (RSSI) dix ans après sa naissance? À partir de nos expériences diverses et du recul acquis, un groupe de travail ( Le RSSI dans les faits, 10 ans après le Livre Blanc ) a été créé pour faire le point sur ce sujet au sein du Forum des Compétences*. Depuis dix ans, l environnement du RSSI s est complexifié. Sous l autorité de la direction générale, en appui du contrôle permanent, sa mission l a conduit à travailler avec les directions métiers de la banque ainsi qu avec la direction informatique, en bénéficiant du support des directions de la communication, des ressources humaines et de la direction juridique, en collaborant avec les risques opérationnels, les assureurs et la conformité, en dialoguant avec le contrôle périodique. Tout en respectant les directives de la Commission bancaire, en s appuyant sur le Livre Blanc, Bâle II, le CRBF 97-02, les normes, sans oublier la CNIL, l AMF, le CFONB, la BRI et le tableau est loin d être complet. Le RSSI assume une fonction transversale par excellence. Son environnement est marqué par une accélération des changements: les systèmes d information (SI) sont, notamment, de plus en plus ouverts sur l extérieur. COMMENT AVONS- NOUS PROCÉDÉ? Pour réaliser cette étude, le Forum a recensé auprès de ses membres, les différentes missions unitaires assurées par les uns et les autres ; celles-ci ont été classées par thèmes. Puis un questionnaire a été réalisé et il a été demandé à chaque RSSI de se positionner par rapport à ces missions. Les résultats ont été dépouillés et trois catégories ont émergé : les missions que la majorité des RSSI déclare assurer, celles qui sont hors champs et celles qui font l objet de débats au sein du groupe de travail. QU EN EST-IL AUJOURD HUI? Il apparaît que les RSSI sont les rédacteurs de la politique de sécurité du système d information et des chartes relatives à la sécurité du système d information. Ils participent à des comités de sécurité de haut niveau présidés par la direction générale ou un membre du comité de direction générale. C est ici qu ils exercent une part significative de leur devoir d influence. Ils assistent également au comité de pilotage des grands projets informatiques; ils contribuent à l élaboration des plans de continuité d activité (PCA) et sont membres de cellules de crise décisionnelles. En aval de ces instances décisionnelles, ils animent dans les métiers bancaires, des réseaux de correspondants sécurité du système d information et jouent auprès de ces derniers, un rôle de conseiller. Ils ont une fonction de sensibilisation et de conception des formations Sécurité du Système d Information (SSI). L idéal serait que la SSI fasse systématiquement partie du contenu standard de la formation pour un poste. Les RSSI participent aux formations, en tant qu animateurs ou coanimateurs. En matière de contrôle, les RSSI sont promoteurs et acteurs du contrôle permanent. Ils animent, par exemple, une autoévaluation de la sécurité du système d information. Ils contribuent au rapport de contrôle interne réglementaire pour son volet système d information et peuvent être amenés à le présenter au comité d audit, dont ils ne sont cependant pas membres. En revanche, le RSSI n est pas prescripteur, ni acheteur d une solution technique qui doit se conformer à ce qui est défini dans la politique SSI. Il n est pas non plus le gestionnaire de composants techniques. Enfin, il ne fait pas partie de l organe du contrôle périodique : sa mission peut naturellement être auditée et inspectée. Entrer ces deux bornes, se décline un certain nombre de missions qui font l objet de débats sur le fait de savoir si elles relèvent ou non du poste du RSSI. Les situations varient en fonction de chaque établissement, mais visent en général à établir un équilibre harmonieux entre les prérogatives du RSSI, du responsable des PCA et de celui des risques opérationnels dont la fonction a été créée le plus souvent bien après le Livre Blanc. 7

8 Légende : AMF : Autorité des marchés financiers BCE : Banque centrale européenne BDF : Banque de France BRI : Banque des règlements internationaux CFONB : Centre français d organisation et de normalisation bancaires CMF : Code monétaire et financier CNIL : Commission nationale de l informatique et des libertés LCEN : Loi pour la confiance dans l économie numérique LSF : Loi sur la sécurité financière PP SBFI : Profil de protection pour services bancaires et/ou financiers sur Internet RH : Ressources humaines Les fiches qui suivent détaillent nos réflexions selon les thèmes que nous avions retenus. 8

9 Synthèse Nous animons des réseaux correspondants Sécurité du Système d Information pour les métiers bancaires. Nous jouons également un rôle de conseillers pour ces métiers. Nous assistons au comité de pilotage des projets Système d Information stratégiques. Contexte Nous avons parlé du devoir d'influence du RSSI vis à vis des dirigeants de l'entreprise. Mais son action serait très partielle si le RSSI n'exerçait aucune influence au niveau du terrain, des maîtrises d'ouvrages, au coeur des projets. En outre, le RSSI oeuvre souvent dans des environnements complexes. L'entreprise au sein de laquelle il agit est, dans bien des cas, un groupe d'entreprises qui peut aussi être géographiquement étendu. L'action du RSSI d un tel Groupe serait très virtuelle s'il ne s'appuyait pas sur un réseau de correspondants, de relais, de délégués. Les plus de cette approche Nous avons rappelé dans l introduction les missions inhérentes à la charge des RSSI : émission de la politique de sécurité, participation active à l'analyse de risque, sensibilisateur, évaluateur... Il se doit d'intervenir dans les projets, lorsque l'idée germe dans un métier. Mais quel progrès pourrait on escompter si le RSSI ne recevait que l'information émise dans l'immeuble où se situe son bureau et n'influençait que les personnes géographiquement proches? En s'appuyant sur un réseau, le RSSI a davantage de chances de collecter une information importante (démarrage d'un projet, incident, faiblesse organisationnelle). En outre, il la collecte tôt, à la source, encore peu déformée. Dans l'autre sens, il confie à ses délégués, répartis dans les métiers, le soin de sensibiliser, de conseiller, d'analyser, d'évaluer, de contrôler de façon spécifique à la nature de la filiale, au métier exercé. Le correspondant peut décliner, dans une version acceptable localement, la politique de sécurité. Il ne faut pas oublier qu'une filiale d'un grand groupe peut être directement assujettie à la réglementation bancaire et financière. Dans ce cas, le correspondant du RSSI du Groupe n'est autre que le RSSI de la filiale. Enfin, la simple existence d'un réseau de correspondants accroît le nombre de personnes sensibles à la sécurité dans l'entreprise, contribuant ainsi à l'échafaudage d'une masse critique. Les Risques Thème Métiers Animer un réseau ne consiste pas à nommer des personnes. Il faut s'assurer que les correspondants partagent tous la même idée des mécanismes de gouvernance sécuritaire, la même conception de leurs missions, la même acception de leurs responsabilités. Il est important qu'une documentation, rédigée préalablement aux nominations, évite toute forme d'autodétermination sur les points cités précédemment. Il faut aussi qu'une documentation informe les gens qui auront à nommer un correspondant local sinon les malentendus sur les critères d'éligibilité du correspondant seront nombreux. Il est nécessaire que les délégués locaux bénéficient des mêmes types de rattachement que leur «tuteur». En particulier, le rattachement à une direction informatique locale est très défavorable. Enfin, le réseau doit être l'objet d'une animation permanente, sinon, il devient une collection de personnes qui seront rapidement happées par d'autres missions. Le RSSI devra assurer un support réactif de son réseau : les questions sur la technique, les méthodes devront être traitées rapidement sinon le réseau se délitera de lui même. Lorsque la structure locale est réduite, le correspondant local est souvent correspondant d'autres filières de contrôle (contrôle permanent, risques opérationnels, Bâle II ). Il est important que le RSSI et ses homologues d'autres filières harmonisent leurs exigences. Dans le pire des cas, un correspondant doit pouvoir consacrer hebdomadairement un jour plein à sa mission SSI. 9

10 Synthèse Thème Politique Nous sommes les rédacteurs de la politique de sécurité du Système d Information, et des chartes 1 relatives à la Sécurité du Système d Information. Nous participons à des comités de Sécurité de haut niveau (présidés par le Directeur Général ou un membre du comité de Direction Générale). C est par ce comité que nous pouvons exercer une part significative de notre devoir d influence. Cela montre l importance des qualités de communication à haut niveau du RSSI. Contexte La Politique Générale de Sécurité s (PGSSI) d une entreprise, élaborée par le RSSI, est promulguée et soutenue par la Direction Générale ; elle traduit sa volonté et ses exigences en matière de sécurité (SSI). Le RSSI est le garant de sa mise en œuvre et fait un reporting régulier à la Direction Générale sur l évolution du risque et des écarts existant entre cette politique et son application opérationnelle en s appuyant éventuellement sur les corps de contrôle. Cette politique définit l organisation, le champ d application et la responsabilité des différents acteurs. Elle respecte les obligations réglementaires et promeut leur application. Elle doit d être en accord avec la gouvernance et la stratégie de l entreprise. Les plus de cette approche Le RSSI s appuie sur la PGSSI pour promouvoir une approche économique de la SSI visant à atteindre un équilibre entre une prise de risques calculée et les dépenses relatives à la sécurité des SI, afin d éliminer les risques inacceptables. La PGSSI est un cadre qui exprime les valeurs de la banque et les grands principes, c est une cible et chaque métier doit ensuite développer sa propre politique et ses modalités d application, ou plutôt ses objectifs de maîtrise des risques sécurité dans le cadre de la politique générale. Bien que la forme puisse varier d une entreprise à l autre, cette politique s appuie sur la mise en place de domaines de confiance basés sur les valeurs de l entreprise et sur la classification des ressources selon les critères de Disponibilité, d Intégrité, de Confidentialité et de possibilité de Preuve. La PGSSI comporte un volet sensibilisation et formation ciblant toutes les catégories de personnel, de la Direction Générale à l utilisateur final, dans l objectif d une plus grande responsabilisation de l ensemble des acteurs de l entreprise par rapport à la SSI. Il s agit en particulier de renforcer les «maillons faibles» de la chaîne de la sécurité qui se trouvent souvent liés aux facteurs humains. La capacité de réaction aux incidents est aussi intégrée dans la PGSSI, avec la préconisation d un dispositif de veille en amont, d une analyse en forte concertation avec les lignes métier en cas d alerte ou d incident avéré, puis, en aval, d une réaction proportionnée pouvant aller jusqu a la mise en place d un PCA 2. La PGSSI préconise également la mise en œuvre d un comité de pilotage de haut niveau et proche de la Direction Générale, alimenté régulièrement par un tableau de bord permettant d une part d identifier les risques résiduels, l évolution des menaces et les incidents avérés, d autre part de mesurer l effort déployé et enfin d apprécier l efficacité des actions ainsi que les progrès accomplis. Ce tableau de bord est complété par une enquête d auto-évaluation s appuyant sur la norme ISO (ou ISO 2700x) 1 Dans le cas des chartes, le RSSI peut être le contributeur à un document Ressources Humaines 2 PCA = Plan de Continuité de l Activité 10

11 Les dispositions de la PGSSI contribuent à une communication proche des lignes métiers et elles permettent un dialogue permanent avec toutes les composantes de l entreprise, afin de faire passer un message essentiel : «la sécurité, c est 80% d organisationnel et 20% de technique». Les Risques La PGSSI doit définir clairement les responsabilités des divers acteurs intervenant sur le système d information ; elle doit spécifier la gouvernance à mettre en place pour assurer la séparation des pouvoirs afin de garantir, en particulier, que le RSSI ne soit pas juge et partie. En référence au thème contrôle interne, même si la politique, avec le règlement intérieur qui en est une partie intégrante, définit les sanctions applicables en cas de non-respect de la PGSSI, l exécution de ces sanctions n est pas du ressort du RSSI. L articulation des entités en charge de la SSI avec les entités en charge des risques opérationnels et des PCA, mais aussi de la conformité, doit aussi être définie ; cette articulation peut aller d une séparation forte jusqu'à une intégration complète. C est une décision importante pour le risk management de l entreprise qui relève donc de la direction générale. 11

12 Synthèse Thème «In-formation» Le RSSI a un rôle de sensibilisation et de conception des formations SSI 3. Il influence toujours le contenu des formations (l idéal serait que la SSI fasse partie du contenu des formations normales pour un poste). Il participe aux formations (en collaboration ou non). Contexte La formation, la communication et la sensibilisation à la SSI, que nous regroupons sous le terme générique «in-formation», sont primordiales afin d accompagner le déploiement d une politique de sécurité et sa compréhension par le plus grand nombre. Le RSSI a donc pour mission de s assurer que toute personne ayant accès au SI soit «in-formée» de façon la plus efficace voire efficiente possible, quelle que soit sa localisation géographique (France, Europe, International), son statut (salarié, stagiaire, prestataire en régie ) ou sa fonction (manager/vip, informaticien, utilisateur ). Il lui faut donc commencer par définir un plan d «in-formation» global, qui va mettre en parallèle les différentes populations identifiées, les messages à faire passer en priorité ainsi que les outils les plus adaptés (lettres d information, intranets, vidéos, session plénières, formations techniques ). Cette démarche devra être coordonnée avec la DRH 4 et notamment son département formation interne. Le RSSI sera généralement maître d ouvrage sur ces programmes de formation mais pourra parfois intervenir en maîtrise d oeuvre sur certains sujets. Les plus de cette approche Si définir des règles est nécessaire, elles ne seront suivies avec rigueur que lorsqu elles seront comprises. L Homme s oppose d autant plus au changement et à la discipline qu il ne comprend pas les raisons imposant la mise en place de normes et règlements constituant une PSSI 5. C est pourquoi l «in-formation» est si importante. Une population sensibilisée, non seulement, sera plus réceptive et active dans l application de la PSSI, mais aura également la capacité à prendre les bonnes décisions lorsqu elle sera confrontée à un choix pouvant impacter la sécurité du SI (choix de conception d une application sensible pour un architecte applicatif, effacement sans ouverture d un fichier attaché douteux par une assistante...). Par ailleurs, les différents acteurs de l entreprise auront plus facilement le réflexe de prévenir l assistance informatique voire l équipe SSI en cas d événement inhabituel. Enfin, la sensibilisation peut, dans certains cas, découler d une obligation légale, notamment en matière de protection des données personnelles. En effet, on ne peut pas se contenter de définir des règles (parfois très trop?- nombreuses) et chartes sans donner les moyens nécessaires pour qu elles soient correctement expliquées à ceux qui doivent les appliquer (cas, par exemple, des commentaires à proscrire au sein d un dossier client). Les Risques Même s il peut s agir d un domaine relativement simple pour le RSSI, par rapport à d autres sujets plus complexes, «l in-formation» n est pas toujours si facile à traiter. 3 SSI = Sécurité du Système d Information 4 DRH = Direction des Ressources Humaines 5 On désigne ici, sous le terme «PSSI Politique de Sécurité du Système d Information», toute la hiérarchie de normes sécuritaires allant jusqu aux chartes et procédures de plus bas niveau. 12

13 Il faut en effet travailler en coordination avec la DRH, la communication interne et surtout ne pas développer pléthore de canaux de communication / formation spécifiques qui rendraient la démarche difficile à assumer dans le temps. Par ailleurs, l «in-formation» doit être régulière sans être trop présente. Il faut trouver un juste équilibre entre les actions mises en œuvres et leur distribution dans le temps : trop de communication simultanée ou trop rapprochée risque de la rendre inefficace. A l inverse, si un temps trop important s écoule entre deux actions d «in-formation», les populations concernées risquent de perdre les bons réflexes rapidement. Il faut donc inscrire ces actions dans la durée et surtout s assurer que les nouveaux venus seront également «in-formés» quelques temps après leur arrivée. Il est relativement facile de faire une grande campagne de sensibilisation sur un site ou périmètre géographique précis mais plus difficile de relancer des séances régulières pour les nouveaux arrivants ou d effectuer une piqûre de rappel. Il ne faut pas non plus que l «in-formation» soit surabondante par rapport aux actions, projets et chantiers de sécurité mis en œuvre. On ne doit pas masquer ses échecs par une communication à tout va. En ce qui concerne la direction informatique, il faut faire attention aux actions de sensibilisation des maîtrises d ouvrage qui, si elles étaient faites en avance de phase sur la direction informatique, pourraient entraîner un déphasage important entre la vision sécurité du client interne et de son fournisseur (la direction informatique). Enfin, l «in-formation» a souvent tendance à servir de variable d ajustement dans les budgets SSI au profit d autres investissement apparemment plus stratégiques (PKI 6, SSO 7, gestion des habilitations, etc.). Il est donc primordial de bien sensibiliser sa direction, peut être même en premier, afin qu elle comprenne que le retour sur investissement de «l in-formation» est beaucoup plus important qu elle ne peut l imaginer 6 PKI = Private Key Infrastructure 7 SSO = Single Sign On 13

14 Synthèse Thème Plan de Continuité de l Activité - PCA Le RSSI est un contributeur majeur au plan de continuité des opérations de l'établissement financier (PCA / BCP Business Continuity Plan) et fait partie du processus de décision de la cellule de crise. C est lui qui s assure, ès qualité, de l existence d un PSI Plan de Secours Informatique qui fait naturellement partie du PCA et en est un élément essentiel. L attribution d autres chapitres du PCA (immeubles...) à la même personne est possible mais il faudra alors veiller à ce que, au-delà de l aspect SI, l ensemble des aspects du PCA soit bien pris en compte. Contexte Le PCA couvre la continuité de toutes les opérations de l'établissement financier (front/middle/back office, fonctions support ) et comprend donc aussi la continuité des opérations informatiques (PSI - DRP : Plan de Secours Informatique - Disaster Recovery Plan). La disponibilité est l'une des quatre faces de la tétralogie de la sécurité (D-Disponibilité / I-Intégrité / C- Confidentialité / P-Preuve et contrôle) et rentre donc bien dans les responsabilités du RSSI, mais pour cette dimension système d'information. L'extension aux aspects logistiques, organisation, back office peut être discutée au cas par cas. Les plus de cette approche Il est naturel et efficace que le maintien de la disponibilité des SI, en cas [1] de problème informatique circonscrit (incident matériel ou logiciel, bogue applicatif, erreur humaine ) et [2] de sinistre simple ou extrême (panne d'électricité, indisponibilité des locaux ou de personnels ) soit traité de manière similaire par un seul acteur, le RSSI. Le RSSI s assure que la continuité des opérations informatiques est adéquate : couverture des besoins du business, moyens en ordre de marche, procédures existantes et connues, tests et exercices réguliers... La gestion de la crise, matérialisée par les réunions du comité de crise, comprend des décisions importantes comme le déclenchement du PCA, la bascule sur des moyens alternatifs de production (site de secours, locaux de repli ), comme la gestion opérationnelle de ces moyens de secours et enfin la décision de revenir aux moyens/sites normaux (quand cela est possible bien sûr). Le RSSI doit alors être un acteur dès la prise de ces décisions, en relation bien évidemment avec le métier et les autres fonctions de support. Son avis, pour les SI, doit éclairer les décisions du directeur informatique (déclenchement du PSI/DRP ). Les Risques Les deux rôles RSSI et RPCA 8 ne sont pas incompatibles et peuvent donc être exercés par la même personne/entité. Dans ce cas, des garde-fous et des définitions précises des rôles et responsabilités de chaque acteur doivent être formalisés pour bien couvrir toutes les dimensions et pas seulement la partie SI. A contrario, cette dimension "disponibilité" ne doit pas prendre le pas, et donc occulter, les trois autres dimensions (I-Intégrité/C-Confidentialité/P-Preuve et Contrôle) et mettre le RSSI en conflit d'intérêt. Enfin, les aspects logistiques, humains, sanitaires, immobiliers, communications inhérents au traitement d'une crise d'indisponibilité, doivent être traités de concert avec les entités en charge (Moyens généraux, DRH, Direction de la communication ) et pas par le RSSI/RPCA seul. 8 RPCA = Responsable Plan de Continuité de l Activité 14

15 Thème Contrôle Interne Synthèse Le RSSI est un promoteur et un acteur du contrôle permanent. C est lui qui anime l auto-évaluation de la sécurité du système d information. Il est une source d informations pour le contrôle interne tant permanent que périodique, et concrètement c est lui qui produit l état de la sécurité SI qui est inclus dans le rapport de contrôle interne réglementaire. Le RSSI n appartient pas à l organe responsable du contrôle périodique (audit/inspection). Sa mission peut naturellement être auditée, inspectée. Contexte Le contrôle interne, organisé par le CRBF 97-02, précise, dès les dispositions générales, qu il a notamment pour objet «de vérifier la qualité des systèmes d information et de communication» (article 5 e). Il ajoute que «les entreprises assujetties [au CRBF 97-02] doivent déterminer le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. Elles veillent au niveau de sécurité retenu et à ce que leurs systèmes d information soient adaptés. Le contrôle des systèmes d information doit notamment permettre de s assurer que le niveau de sécurité des systèmes d informatiques est périodiquement apprécié et que le cas échéant les actions correctrices sont entreprises» (article 14). Le contrôle interne comprend un volet contrôle périodique et un volet contrôle permanent (article 6). Le contrôle périodique est effectué par des agents différents de ceux qui exercent le contrôle permanent (article 6 b). Le contrôle permanent est [notamment] assuré par [des] agents [ ] dédiés à cette fonction (article 6a). «En cas de pluralité de responsables de niveau le plus élevé du contrôle permanent, un membre de l organe exécutif assure la cohérence et l efficacité dudit contrôle» (article 7.1 dernier alinéa). «Au moins une fois par an, les entreprises assujetties élaborent un rapport sur les conditions dans lesquelles le contrôle interne est assuré» (article 42). Les plus de cette approche Le RSSI est, dans l entreprise, le promoteur de la maîtrise des risques des systèmes d information. À ce titre, il exerce sans aucun doute une mission «Contrôle Permanent». Il doit donc être intégré 9 dans le dispositif de contrôle permanent. Son intégration dans ce dispositif facilite la prise en compte chez les acteurs Contrôle Permanent, dédiés ou non, de l analyse des risques SI au même titre que les autres analyses de risques et la mise en œuvre dans ce même dispositif des contrôles permettant d en assurer la maîtrise. Globalement, le RSSI a ainsi une légitimité naturelle dans tous les dispositifs de construction et d animation du contrôle permanent quel que soit le modèle organisationnel du contrôle permanent. Si, par exemple, le contrôle permanent est organisé avec un pilotage central et une mise en œuvre locale (par exemple, au niveau des directions ou des métiers), il participera à la définition des objectifs de maîtrise de risques au niveau central et appuiera la mise en œuvre au niveau local. Ainsi, en ouvrant au RSSI le réseau des correspondants locaux Contrôle Permanent, que ceux-ci soient dédiés ou non à la fonction, cette intégration lui permet de s appuyer sur ce réseau pour faire remonter les informations en provenance du terrain (notamment des auto-évaluation sur la maîtrise des risques SI) et servir d appui pour la mise en œuvre de la politique SSI. L exercice des missions de contrôle permanent et de contrôle périodique doit être effectué par des personnes différentes pour qu elles ne soient pas juge et partie. Le RSSI, qui exerce des fonctions de Contrôle Permanent, n appartient pas à l organe en charge du Contrôle Périodique. Par contre, il est à 9 Il faut lire «être intégré» au sens participer de manière intégrée au dispositif mais pas nécessairement en étant rattaché hiérarchiquement au responsable du Contrôle Permanent. Par contre, il faut a minima une coordination efficace. 15

16 la fois source d informations pour le Contrôle Périodique et destinataire d informations en provenance de celui-ci, notamment pour lui permettre d intégrer les recommandations des inspections. Les Risques Cette intégration de la maîtrise des risques SI dans les fonctions de contrôle permanent, au même titre que la maîtrise des autres risques, ne doit pas faire oublier la nécessité de cette approche spécifique d analyse de risques SI. En effet, s il s agit de faciliter l intégration dans l action «habituelle» de chacun, il est encore utile aujourd hui d organiser une animation spécifique SSI 10 au sein de la maîtrise des risques. Si, par exemple, on rapproche la maîtrise des risques SI et les grandes catégories de risques opérationnels, on voit bien qu on ne peut pas réduire la maîtrise des risques SI à la maîtrise de la seule catégorie «Interruption d activités et dysfonctionnement des systèmes». Cette maîtrise touche aussi d autres catégories notamment la «Fraude externe», la «Fraude Interne», ou l «Exécution, livraison et gestion des processus». L existence d acteurs dédiés SSI participant au plus haut niveau du Contrôle Permanent (et des instances de décision de l entreprise) est une condition nécessaire à l efficacité du Contrôle Permanent sur le domaine SI notamment lorsque ceux-ci sont complexes, comme c est le cas dès que l entreprise atteint une certaine taille. Leur nombre et leurs niveaux devront, naturellement, être cohérents avec la structure de gouvernance de l entreprise et de son Contrôle Permanent. L impossibilité d intégrer à un niveau suffisant la maîtrise des risques SI dans le Contrôle Permanent conduira à renforcer le Contrôle Périodique sur le SI. Enfin, n oublions pas que la mission du RSSI ne s arrête pas à l aspect restrictif du contrôle qui se cantonnerait à une simple vérification. Il doit s agir d un contrôle au sens maîtrise comme le joueur de football contrôle son ballon alors que l arbitre se contente de le vérifier. Ce qui est, bien sûr, le rôle d un Contrôle Permanent. La mission du RSSI nécessite notamment la mise en place de politique, de la sensibilisation, du conseil, de la prévention. Ainsi, il faudra s assurer que son intégration au dispositif de Contrôle Permanent n amène pas le RSSI à négliger ces missions essentielles de prévention et d assistance pour la maîtrise des risques SI. 10 Sécurité du Système d Information 16

17 Thème Maîtrise d Ouvrage des projets de sécurisation Synthèse Être la maîtrise d ouvrage de projets de sécurisation n est pas un objectif permanent et à long terme du RSSI. Cependant, que le RSSI assume ce rôle, pour amorcer voire même conduire un projet de sécurisation qui a du mal à démarrer, peut être pertinent, si c est de manière temporaire et exceptionnelle et sous réserve de précautions indispensables. Le RSSI joue alors le rôle d un «promoteur» de projet, n étant ni le futur utilisateur ou bénéficiaire direct, ni le futur exploitant. Contexte Il n est pas simple de gérer des projets de sécurité, qui apportent soit de nouvelles fonctionnalités aux métiers (émission de certificats par PKI 11, SSO 12, logiciels d aide aux contrôles internes ), soit un meilleur niveau de sécurité sur des infrastructures existantes (durcissement des systèmes ouverts Windows ou Unix, cloisonnement des réseaux ). Bien que convaincus du bien fondé des progrès à accomplir en matière de sécurité sur leurs infrastructures, les acteurs de terrain au quotidien sont le plus souvent démunis de marges de manœuvre pour conduire, en parallèle avec leurs tâches courantes, des projets lourds en temps et en changements induits. Par ailleurs, il est parfois délicat de désigner le maître d ouvrage du développement de nouvelles fonctionnalités transversales à l entreprise. Il ne faut pas que le projet se cale sur les seuls besoins du premier métier utilisateur. En outre, les nécessaires changements de comportement ou d organisation pour obtenir un bon niveau de sécurisation (limitation des droits, contrôles à inscrire dans la durée, etc.) sont parfois difficiles à obtenir de l intérieur même des équipes. Enfin, les budgets de tels projets sont assez conséquents et ne peuvent généralement pas être absorbés dans des budgets récurrents, propres à une seule entité. Les plus de cette approche C est pourquoi, une maîtrise d ouvrage, clairement identifiée, dotée d un budget sanctuarisé, et devant répondre de l avancement de tels projets, constitue un atout pour l entreprise, pour mener à bien, non seulement les réalisations techniques, mais également les changements d organisation ou les évolutions de comportement afférents dans tous les métiers (y compris au sein d équipes informatiques le cas échéant). Confier la maîtrise d ouvrage au RSSI induit plusieurs avantages. D une part, du côté de la maîtrise d ouvrage. Le RSSI connaît tous les projets de sécurisation. Il assure la cohérence entre eux et peut en faire facilement la synthèse. Il peut conduire des actions de fond, dans la durée. Il peut se saisir de sujets de sécurisation en déshérence, le plus souvent par manque de ressources (pour finaliser un diagnostic, pour engager des actions correctrices ). Il peut financer des actions urgentes non budgétés par des métiers ou des services techniques. Il peut conforter des changements d organisation ou de comportements par la mise à disposition d outils d aide à la gestion et au contrôle de la sécurité. Enfin, étant directement responsable du budget de mise en œuvre de sa politique, le RSSI n oubliera pas de prévoir les moyens nécessaires à la prise en compte de la sécurité sur le terrain. L entreprise peut en espérer un meilleur niveau de sécurité global. 11 PKI = Private Key Infrastructure 12 SSO = Single Sign On 17