Aucun autre poste de l’entreprise n’est affublé du titre de responsable. Face à la pression que les entreprises subissent, les RSSI doivent repenser leur rôle et leurs objectifs. Le Clusif fait le point.
La prise de conscience puis l’appropriation de la problématique « sécurité de l’information » est aujourd’hui de plus en plus présente dans les entreprises. « Le monde a bien changé en quelques années, introduit Alexandre Fernandez-Toro, RSSI d’une entreprise du secteur industriel et auteur du livre Sécurité Opérationnelle, Conseils pratiques pour sécuriser le SI[1]. Il y a peu encore, le RSSI était seul dans l’entreprise à porter le sujet de la sécurité, aujourd’hui, c’est un véritable sujet de société pour lequel tout le monde se sent concerné. Et la Sécurité du SI est devenue un marché porteur. Qu’est-ce que ça change ? Alors que le RSSI devait « vendre » son sujet, il doit désormais faire avec de nombreuses parties prenantes ».
« Lorsque j’ai pris ma fonction de RSSI du GIE AGIRC-ARRCO, la description de poste du Cigref datait de plusieurs années et n’avaient pas été réactualisé, explique Brigitte Declerck-Peyrard. La sécurité se situait alors du côté de la production (on disait exploitation à l’époque). Cela se fait plus trop aujourd’hui mais où qu’elle se situe dans l’organisation, la sécurité a besoin d’un sponsor fort pour être prise en compte à son juste niveau ». Même son de cloche chez Serge Saghourne, RSSI du groupe Accor, « lorsqu’il existe un responsable sécurité et réseau, il fait surtout du réseau. Demander à faire les deux c’est pousser les gens à la schizophrénie ».
L’affaire du distributeur Target, entre autres, qui s’est fait voler des dizaines de millions de données personnelles, suffira pour s’en convaincre. « Ce contexte s’inscrit dans une triple révolution, poursuit Etienne Bouet, Consultant chez Solucom : la transformation numérique, l’amplification des attaques ciblées et le renforcement de la réglementation ». Dans ce nouveau contexte, il sera désormais être amené à travailler avec le responsable en charge de la DSI, le contrôle interne, l’audit ou encore la direction commerciale pour satisfaire à des exigences de sécurité liées à un nouveau marché.
Cette prise de conscience peut être apportée par différents biais : un besoin de conformité indispensable à l’obtention d’un marché, la conscience de la possession de données confidentielles, un besoin de disponibilité essentiel sur certaines ressources, une expérience vécue de vol de données, etc. Sachant que par ailleurs l’arrivée de la transformation numérique ajoute une nouvelle couche de complexité et de responsabilité à prendre en compte. Il n’est plus de nouveaux projet informatique, qu’il concerne la relation client, l’optimisation de la production, la gestion des chantiers ou encore l’optimisation de flottes qui ne se décline en priorité en projet informatique.
Lancement du CLUSIR Aix Marseille
Le Territoire CLUSIR a été lancé mardi 13 octobre lors de la plénière des associations MedinSoft, CIP Paca et CLUSIR Paca, au Pays Aix Rugby Club ! L’équipe du CLUSIR Aix Marseille a été présentée et a pu constater l’attente de la communauté IT en matière de Sécurité des Systèmes d’Information.
Dans cette structuration du métier émergent deux types de profils : le RSSI de terrain qui sera le plus souvent « en soute avec les vrais gens qui mènent les projets » et sera chargé de la sécurité opérationnelle et le RSSI groupe qui aura une mission plus stratégique incluant la connaissance et l’évaluation des risques, la connaissance du niveau de sécurité, la définition de la gouvernance de sécurité de l’entreprise et la sélection des outils utilisés par le RSSI de terrain.
« La mission du RSSI déborde largement la seule mission de la seule SSI, considère Etienne Bouet, consultant du cabinet Solucom, il doit assurer la cohérence de la politique de sécurité mise en œuvre. Il faut aussi abandonner le vieux modèle du « château fort » pour adopter celui mieux adapté à la situation actuelle de l’aéroport où coexistent plusieurs zones à criticité différente avec une tour de contrôle pour organiser l’ensemble ».
Aujourd’hui, pour le RSSI, l’enjeu est d’identifier en quoi son rôle a évolué en relation avec l’évolution de l’écosystème de la SSI dans son organisation. Ceci implique de valoriser ce qu’il a apporté jusque-là à sa structure et, ensuite, de comprendre et de définir quels devront être ses apports et contributions futures dans le contexte de son organisation digitale.
Au-delà des limites de sa propre organisation, le RSSI doit également évoluer dans un contexte nouveau et changeant de la lutte contre la malveillance interne, la cybercriminalité externe ou encore l’intelligence économique et étatique, ce qui amène à se poser la question de la relation à établir avec des parties prenantes externes. « Quelle que soit sa position dans l’entreprise, RSSI groupe, RSSI métier, RSSI orienté sur les fonctions informatiques », le RSSI doit s’adapter à l’organisation conclut Etienne Bouet.
Paroles de RSSI
Brigitte Declerck-Peyrard, RSSI GIE AGIRC ARRCO
« Il faut adopter une approche pragmatique et prouver le ROI de la sécurité du SI tous les jours. S’il n’y pas d’incidents, c’est en fait que des événements ne sont pas transformés en incidents »Alexandre Fernandez-Toro, RSSI d’une entreprise du secteur industriel
« J’ai été regonflé à bloc lors d’une conférence de l’ANSSI pendant son directeur nous a dit que nous étions garants de la sécurité nationale. Dans une présentation interne de mon interne sur la sécurité, j’ai eu droit à 10 minutes de temps de parole entre deux sujets la prévention contre l’alcoolisme et les bonnes positions pour ne pas avoir mal au dos ».Martine Guignard, RSSI de l’Imprimerie Nationale
« Parmi les enjeux à venir dans notre entreprise : déploiement d’un SOC, mise en place d’indicateurs, conformité aux réglementations françaises et européennes de plus en plus nombreuses, sensibilisation des métiers à la sécurité ».Lararo Lazaro Pejsachowicz, Animateur de la Communauté SSI MOE, Formation, Sensibilisation à la CNAMTS
« Un RSSI profite des situations pour faire avancer la cause de la sécurité (…) Il faut aller vers un management transversal de la sécurité (…) Rien ne se retire en sécurité, tout s’ajoute ».Benoit Fuzeau – Casden |Banque Populaire
« L’enjeu est de remettre la SSI au cœur de l’entreprise et faire en sorte que le RSSI soit au CODIR. Il faut faire valider la PSSI (Politique de Sécurité du SI) par le Conseil d’administration. »Antoine Bajolet, RSSI à TDF
« Avant, un nouveau salarié qui entrait dans l’entreprise avait eu assez peu de contact avec l’informatique. Aujourd’hui, celui qui arrive à déjà ses propres comportements acquis depuis des années qu’il est plus difficiles de changer ».
__________
[1] Sécurité opérationnelle, Conseils pratiques pour sécuriser le SI, Alexandre Fernandez-Toro, Eyrolles, Collection : Solutions d’entreprise, avril 2015