Selon Gartner (1), d’ici 2016, deux tiers des travailleurs nomades détiendront un smartphone, et 40% de la force de travail sera mobile. Cette tendance n’est pas sans impact pour le Système d’Information, tandis que dans le même temps celui-ci évolue au gré des Systèmes basés sur le protocole IP tels que la téléphonie, la vidéoconférence ou plus récemment les Smart Buildings. Alors que la sécurité est déjà un enjeu permanent pour le Système d’Information, quelles vont être les conséquences de la multiplication de ces nouveaux objets et systèmes connectés ? Au coeur de ces questions, le Responsable de la Sécurité des Systèmes d’Information (RSSI) voit son périmètre s’élargir et son rôle évoluer, à l’instar des transformations du métier des DSI ces dernières années.

Les systèmes connectés, de plus en plus nombreux et divers, ont bouleversé le visage du bâtiment qui, aujourd’hui, se doit d’optimiser sa performance énergétique en fonction de critères économiques et écologiques. Après la téléphonie et les terminaux mobiles, ce sont désormais les équipements de vidéosurveillance, les éléments climatiques (chauffage/climatisation) ou encore l’éclairage qui sont gérés par des systèmes IP – sur la base de capteurs qui permettent une remontée d’informations en temps réel. Alors que le bâtiment devient ainsi «performant et intelligent » (ou dit encore « e-efficient » ou e-fficient), les codes du secteur s’en trouvent bouleversés, les rôles redistribués.

Cette tendance implique en effet l’ouverture des SI à ces nouveaux systèmes connectés, sur des périmètres tout à fait nouveaux. De fait, la sécurité prend une autre dimension avec la multiplication de Systèmes sur IP. De ces nouveaux usages découlent de nouvelles menaces en matière de cybercriminalité : si la téléphonie sur IP a vu l’émergence des fraudes téléphoniques, il est évident que les risques liés à la sûreté des bâtiments vont devoir être pris en compte. Le champ d’action du RSSI ne se limite plus seulement à l’IT, mais désormais à tous les Systèmes sur IP.

Le « RSS IP », nouveau chef d’orchestre de la sécurité de l’entreprise

Une complexité « de plus », pourrait-on dire, tant elle s’ajoute à celles déjà apparues depuis quelques années. Le Cloud et les terminaux mobiles (dont le phénomène du BYOD) ont en effet étendu les frontières du SI au-delà des murs des entreprises, et par ricochet, le périmètre du RSSI s’est élargi.

Il doit aujourd’hui veiller à maintenir un niveau de sécurité malgré la tendance du SI à devenir « virtuel » (Data Center) et « mobile » (Environnement Utilisateur). Comment gérer la sécurité des

données réparties entre le Cloud, le Data Center et les terminaux? Quels sont les menaces et les risques liés aux nouveaux terminaux mobiles (Os et Applications) ? Ces sujets, qui évoluent vite, complètent la (déjà) longue liste des briques d’une politique de sécurité, qui comprenait les infrastructures, les contenus, les applications, etc.

Dans ce nouveau contexte, l’enjeu principal du RSSI est de pouvoir sensibiliser des utilisateurs de plus en plus avertis aux problématiques de sécurité, tout en étant à l’écoute de leurs besoins. De cette dualité, naît le « RSS IP » : après avoir été expert en technologies, puis chef de projet en charge de la gouvernance de la sécurité, il est maintenant un médiateur à la quête d’un équilibre entre la politique de sécurité de l’entreprise et les besoins tous particuliers des utilisateurs et des différentes directions métiers – sur un périmètre qui englobe tous les Systèmes IP de l’entreprise.

Un RSSI constamment en alerte

Afin de répondre à cette évolution des usages impactant le système d’information, le RSSI doit pouvoir interagir étroitement avec le DSI, afin de mieux cerner les besoins tous particuliers des utilisateurs et des différentes directions métiers. Il doit pouvoir prendre en compte les nouveaux usages, mais aussi les nouvelles réglementations : le RSSI est de plus en plus en relation avec les services juridiques, R.H. et financiers. Ainsi, des normes liées à la performance énergétique, jusqu’aux impacts juridiques des réseaux sociaux ou aux enjeux RH liés au BYOD ou au travail à distance, la gestion de la sécurité d’une entreprise est aujourd’hui une mission qui fait appel à des compétences étendues, pour pouvoir bénéficier d’une vision à 360° de son nouveau périmètre d’actions.

________________
(1) Gartner, Says 821 Million Smart Devices Will Be Purchased Worldwide in 2012; Sales to Rise to 1.2 Billion in 2013