Le Responsable de la Sécurité
des Systèmes d’Information : organisateur ou technicien ?
Si le poste de RSSI, Responsable de la Sécurité
des Systèmes d’Information, était initialement
vu comme une fonction technique, la raison en incombait à la nature
des risques pesant sur les systèmes d’information.
Tant que
l’architecture des SI était basé sur des architectures
majoritairement propriétaires et des applications maisons, on attendait
du RSSI qu’il connaisse les mécanismes de sécurité à mettre en œuvre, qu’il en vérifie régulièrement
la bonne application (par exemple en effectuant des audits Mehari chaque
année) et aussi qu’il traite des problématiques de
continuité d’activité.
La nature des risques a fondamentalement changé,
lié à la complexité accrue des systèmes d’information,
à l’ouverture aux réseaux, aux nombres de domaines
complémentaires qu’on lui demande de traiter (aspects juridiques,
communication interne et externe). Le RSSI ne peut plus être un
technicien, il lui faut acquérir des compétences organisationnelles
et d’architecte de système d’informations, de connaissance
des métiers et de conduite du changement.
Le rattachement du RSSI : à la Direction des Systèmes
d’Information ou à la Direction Générale ?
Si on voit des rattachements forts différents
dans les entreprises de la fonction de RSSI (à la DSI, à
la DG, à la Direction Financière), cela se comprend aisément
par l’évolution des missions de RSSI : d’homme de la
sécurité informatique vers homme orchestre de la sécurité
du patrimoine informationnel de l’entreprise.
Ce rattachement est donc éminemment dépendant de la maturité
de l’entreprise à la sécurité de l’information.
Pour simplifier, on peut dire qu’en période
de démarrage de la sécurité de l’information,
il est souhaitable que le RSSI soit rattaché à la DSI car
il doit participer au développement d’une conscience sécurité
dans la DSI (elle ne doit pas se faire contre la DSI).
Ensuite sa mission doit évoluer vers du Risk
Management, plus d’organisation et de communication, et là
un rattachement plus proche des utilisateurs est nécessaire.
|
 |
|
|
Évolution des missions
du RSSI lié à la maturité de l’entreprise à
la sécurité de l’information
Quand le poste de RSSI n’existe pas dans une entreprise,
la fonction de sécurité de l’information est assurée
à la DSI sur un plan uniquement technique et souvent au coup par
coup (mise en œuvre d’Antivirus, pare-feu pour site Web).
Dès la prise de conscience, la fonction de RSSI
est créée, soit au travers d’une embauche, soit via
un consultant externe. Sa première mission va être de développer
une Politique de Sécurité de l’Information en s’appuyant
sur des normes et méthodes. Il devra mettre en chantiers l’évaluation
gestion des actifs et des risques, le plan de continuité d’activité,
…
En période de développement, le RSSI va
devoir diffuser cette culture sécurité et avoir une mission
de diffusion de ce savoir et savoir faire dans l’ensembles des entités
de l’entreprise.
Enfin, à la maturité de l’entreprise,
qui correspond à l’époque où la culture sécurité
s’est diffusée dans l’entreprise (comme la culture
qualité), le RSSI sera impliquée dans la stratégie
de l’entreprise et participera notamment à l’élaboration
du schéma directeur.
Évolution des missions
du RSSI lié à la maturité de l’entreprise à
la sécurité de l’information
Dans certaines grandes entreprises, on voit apparaître
deux missions correspondant au partage des responsabilités du RSSI
entre deux interlocuteurs : l'un pour la maîtrise d’œuvre,
et l'autre pour la maîtrise d'ouvrage.
Le CISO (Chief Information Security Officer), a une mission
centrée sur la gestion des risques (Risk Manager) et l’organisation
de la sécurité. Il participera aux réunions du Comité
de Direction.
Le RSSI (Responsable Sécurité des Systèmes
d’Information) a la responsabilité opérationnelle
d’appliquer les règles à l’ensemble du domaine
informatique. Il disposera d'un savoir-faire d’architecte technique
de la sécurité et d'une parfaite connaissance des processus
et des systèmes d'information.
|
Domaines sécurité
