Le RSSI: un manager transverse



Documents pareils
Prestations d audit et de conseil 2015

Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013

D ITIL à D ISO 20000, une démarche complémentaire

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

n spécial Assises de la Sécurité 2009

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Energisez votre capital humain!

Information Technology Services - Learning & Certification.

Novembre Regard sur service desk

Le management des risques de l entreprise Cadre de Référence. Synthèse

ITSM - Gestion des Services informatiques

Qualité retour d expérience. Christophe Petit Responsable du pôle qualité de la DSI christophe.petit@ac-lille.fr

L analyse de risques avec MEHARI

Politique et charte de l entreprise INTRANET/EXTRANET

GLOBAL SAAS HR SOLUTION INTÉGRÉE DE GESTION DES TALENTS

ERP SURVEY ÈRE ENQUÊTE EN FRANCE AUTOUR DE LA SATISFACTION DES UTILISATEURS D ERP ET DE PROGICIELS DE GESTION

MESURER LA VALEUR ET LE ROI D UN PROJET DE RÉSEAU SOCIAL D ENTREPRISE

HABILITATIONS dans les systèmes d information Avec la contribution de

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

ITIL v3. La clé d une gestion réussie des services informatiques

ZOOM SUR. le métier du SFE. N 5 Janvier Un nouveau regard sur la stratégie opérationnelle de l industrie pharmaceutique

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Opération Régionale pour l Entreprise Etendue Plateforme collaborative au service des pôles de compétitivité rhônalpins

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

7ème. Forum International de la Cybersécurité. 20 et 21 janvier 2015 Lille Grand Palais. Cybersécurité et Transformation Numérique

WHITE PAPER DES ASSISES 2012

Le Conseil Interne, Accélérateur de performance Jacques Pansard

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Software Application Portfolio Management

I.T.I.L. I.T.I.L. et ISO ISO La maturité? La Mêlée Numérique 10. le 8 juin Luc Van Vlasselaer

Conseil opérationnel en organisation, processus & système d Information. «Valorisation, Protection et Innovation de votre Patrimoine Numérique»

THEORIE ET CAS PRATIQUES

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

Auteur : Françoise NICOLAS, Responsable Qualité. Approuvé par : Michel ROUVELLAT, Président. Dernière date de mise à jour : 01 avril 2015

Sécurité des Systèmes d Information

Piloter le contrôle permanent

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Le grand livre du DSI

Caractéristiques d'un contrat de progrès. Cliquez pour avancer

ELAN Pro. Découverte d un dispositif de développement professionnel. GDF SUEZ Infrastructures

Le 360 T&I Evaluations

Excellence. Technicité. Sagesse

IT CENTRE DE VALEUR la transformation s opère jour après jour. Philippe Kaliky. Directeur Centre de Services. Espace Grande Arche Paris La Défense

De l élaboration d une PSSI d unité de recherche à la PSSI d établissement

Brève étude de la norme ISO/IEC 27003

«LES PRINCIPES ET OUTILS ESSENTIELS DU CONTRÔLE DE GESTION»

L apport d escm dans la mise en œuvre de Centres de Services Partagés (CSP) -

Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Human Relationship Management

RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE

Conseil et Ingénierie des Systèmes d Information d Entreprise

La RSE au service de la stratégie de l entreprise et de la création de valeur

Améliorer l efficacité de votre fonction RH

Se former aux processus aujourd hui? Présentation de l offre de formation Salon DEVPRO Février 2013

Réussir le choix de son SIRH

EVALUATION 360 MODE D EMPLOI

ISO conformité, oui. Certification?

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

La gestion globale des contenus d entreprise

Simplifier vos projets d avenir

LA PROFESSIONNALISATION DU COACHING EN ENTREPRISE :

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Au Service de la Performance IT. Retour d expérience sur la gestion des Incidents et des Problèmes autour du SI

Synthèse. Quelle performance opérationnelle pour la sécurité de l information?

Auditabilité des SI Retour sur l expérience du CH Compiègne-Noyon

Atelier " Gestion des Configurations et CMDB "

TABLE RONDE TÉLÉTRAVAIL ET BYOD

Guide manager pour l entretien professionnel

Etude réalisée dans le contexte de la conférence AFCDP sur la NOTIFICATION DES «ATTEINTES AUX TRAITEMENT DE DONNEES PERSONNELLES»

Guide pour aider à l évaluation des actions de formation

répondre aux défis de l ingénierie logicielle déploiement et mise en œuvre opérationnelle : l'industrialisation au service de la compétitivité

P résentation. L ensemble des concepts et des outils de la Gestion des Ressources Humaines. La Gestion des Ressources Humaines (collection Les Zoom s)

Dynamiser la performance commerciale des réseaux : une affaire de bonnes pratiques!

Mise en œuvre de la certification ISO 27001

Vers un nouveau modèle de sécurité

Executive Master Class en Intelligence Stratégique

GREENIT Découvrez le Green IT

Les Fonctions SI et Organisation au service des Métiers. Optimiser la création de valeur pour l entreprise

Alignement stratégique du SI et gestion de portefeuille de projets

Comment réussir son projet de Master Data Management?

Accompagner les organisations dans la mise en place de modes collaboratifs pérennes, basés sur l engagement et la confiance. 2 POLES D EXPERTISE

Compte Qualité. Maquette V1 commentée

Aligner le SI sur la stratégie de l entreprise

Conseil / Capital Humain Mars Livre blanc La révolution du Cloud s impose dans les SIRH

Software Asset Management Savoir optimiser vos coûts licensing

politique de la France en matière de cybersécurité

Recommandations sur les mutualisations ISO ISO & ISO ITIL

Jean-Louis FELIPE (Né le 20/11/1960) Consultant sénior ITSM

son offre Executive Education

Club ISO Juin 2009

ITIL : Premiers Contacts

Sécurité des Systèmes d Information. Le pragmatisme et l innovation de PwC à votre service

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Des modules adaptés aux réalités des métiers de la sécurité de l information

Les «BUSINESS DECISION MAKERS» l entreprise numérique. 14 février 2013

Transcription:

Le RSSI: un manager transverse Thomas Jolivet Responsable du pôle Conseil 20/06/2013

Agenda 1. Le RSSI :un manager pas comme les autres 2. Les Interactions entre la SSI et l organisation 3. Mobiliser les contributeurs SSI au-delà de la sensibilisation 2

Le RSSI : Un manager transverse UN MANAGER PAS COMME LES AUTRES 3

Le rôle particulier du RSSI Il doit gérer des risques La SSI n est pas une des fonctions productives de la chaine de la valeur de l organisation, elle doit protéger le patrimoine informationnel de l entreprise, elle apporte à priori des contraintes plus que de la valeur Spécialiste de la sécurité : il ne doit pas être une Cassandre(*) Il doit développer une expertise sur des sujets pointus pour identifier les nouvelles menaces, mais il doit aussi savoir se faire comprendre et convaincre les métiers Visionnaire: il participe aux transformations de l entreprise Il doit comprendre les opportunités business liées aux innovations et les accompagner Manager: il doit mobiliser au delà de son équipe Pour atteindre ses objectifs, il doit faire contribuer des ressources qui ne dépendent pas de lui hiérarchiquement (*) Cassandre reçut d'apollon le don de prédire l'avenir, mais se refusant à lui, le dieu décréta que ses prédictions ne soient pas crues. 4

Un manager atypique Comme tout manager le RSSI Apporte une vision, propose une stratégie Planifie des actions Organise la gestion opérationnelle Pilote Contrôle Mais: Sur des sujets à priori non cœur de métier Sur des projet de sécurité moyens et longs termes, en restant capable d être dans du réactif les menaces ne sont pas toutes prévisibles Sur des ressources humaines réparties dans l entreprise dont la mobilisation peut être un réel challenge Les ROI qu il doit défendre sont plus complexes à appréhender (risque à ne pas faire) 5

Les missions spécifiques du RSSI Les principales missions du RSSI 1. Gouvernance de la SSI 2. Sensibilisation Sécurité 3. Suivi des indicateurs SSI 4. Gestion des incidents 5. Veilles sur les menaces 6. Analyse des Risques 7. Prise en compte de la sécurité dans les projets font de lui un manager transverse. Implication et mobilisation de contributeurs appartenant à l ensemble des directions de l entreprise : Direction Générale Direction des Risques Directions Métiers DRH DSI 6

Le RSSI : Un manager transverse LES INTERACTIONS ENTRE LA SSI ET L ORGANISATION 7

Typologies de contributions à la SSI Direction Générale Direction des risques Responsables directions métiers Correspondants Sécurité Managers opérationnels Opérationnels métiers Contributions aux processus SSI Analyses de risques Définition des politiques Habilitation, revue de droits Outillage Sécurité Application des règles de sécurité Dans les projets SI Dans l usage opérationnel des SI Dans les processus métiers et SI Equipe SSI MOA applications métiers MOE DSI Exploitation SI Les normes et référentiels proposent des bonnes pratiques pour organiser ces contributions, mais ne les contextualisent pas. 8

Les modèles d organisation Henry Mintzberg Il est à l'origine d'une typologie des organisations, qui fait référence. Elle permet en particulier de bien appréhender les phénomènes de pouvoir, d'une part, et la conduite du changement, d'autre part 1979 : The Structuring of Organizations : A Synthesis of the Research - traduit en français sous le titre Structure et dynamique des organisations (Éditions d'organisation) 9

Impact du modèle d organisation L'organisation entrepreneuriale L'organisation mécaniste L'organisation divisionnaire L'organisation professionnelle L'organisation innovatrice Activités de type PME, Centralisation des pouvoirs Grandes Organisations Grand nombre de procédures Groupes avec filiales relativement autonomes Activités de spécialistes Journalisme Hopitaux Trading Université Activités de type Projets Consulting Publicité ingénierie Les leviers et relais pour sensibiliser, former, mobiliser et faire appliquer les règles de sécurité vont être différents en fonction du modèle d organisation. Les normes, les référentiels et les bonnes pratiques sont à contextualiser en fonction de la typologie de l organisation 10

Impact de la dispersion du risque Risques concentrés sur une faible population Exemple: Industrie pharmaceutique Risques répartis sur une partie de la population Exemple: Service, Assurance Média Risques forts portés par l ensemble des effectifs Exemple: Banque de financement Trading Entreprise étendue Ouverture des SI aux clients Ouvertures des SI aux partenaires 10% 90% Proportion des effectifs accédant à des données sensibles Le rôle et l impact de la SSI n est pas moins fort, mais les efforts ne sont pas de même nature selon la répartition des risques 11

Le RSSI : Un manager transverse MOBILISER AUTOUR DE LA SSI 12

La sensibilisation La sensibilisation est incontournable Développement d une culture du risque Prise de conscience des risques et des menaces Responsabilisation des personnes manipulant des données sensibles Modification des comportements vis-à-vis de l usage de l IT Mais n est pas suffisante pour mobiliser efficacement Les contributeurs aux projets de sécurité Les acteurs des processus SSI Comment atteindre ces objectifs auprès de populations hétérogènes qui ont elles-mêmes des objectifs parfois à l opposé? 13

Légitimer par la doxa Informer sur les contraintes réglementaires S appuyer sur les audits internes Les injonctions ou recommandations des volets sécurité des audits Formaliser un SMSI sponsorisé au niveau entreprise Il s agit de rendre officiel des processus SSI, les règles et la gouvernance, en faire un processus métier comme un autre Introduire des aspects sécurité dans le volet RH Inclure les actions SSI dans les fiches de postes, les contrats de travail, les objectifs personnels Inscrire les étapes SSI dans les processus métier de l entreprise Les sollicitations du RSSI doivent être légitimées, cependant elle ne reçoivent pas toujours un accueil bienveillant 14

Motiver les contributeurs Convaincre les managers des contributeurs «Si ce n est pas important pour mon chef» Rendre les initiatives autours de la sécurité visibles et valorisées par la direction Démontrer l intérêt pour les contributeurs de consacrer du temps à la SSI. Exemple de la rédaction contributive de la PSSI Les contributeurs doivent identifier leur intérêt propre à s impliquer 15

Démontrer la valeur apportée Continuité Faire de la sécurité : c est un des moyens permettant de garantir la continuité de l activité opérationnelle Assurance Consacrer du temps et des budgets aux sujets SSI c est souscrire une assurance Création de valeur SSI et création de valeur ne sont pas des notions systématiquement contradictoires : CLOUD, BYOD, Mobilité, ouverture du SI aux partenaires, aux clients Le RSSI n est pas quelqu un qui dit toujours non, mais qui doit maîtriser 16

Conclusion Vos retours d expérience à partager? 17

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back