Digitalisation : le RSSI doit changer de démarche
Assises de la sécurité. Les RSSI sont venus à Monaco pour se poser quelques questions existentielles. Certaines anciennes, par exemple quelle est leur place entre la DSI et les directions métier, d'autres plus nouvelles, sur leur rôle avec la digitalisation des entreprises.
Le métier de RSSI se définit par quelques données de base. Leur positionnement ? 70% d'entre eux sont rattachés à un DSI, 30% naviguent entre le directeur de la sécurité ou d'autres responsables métiers. Le rattachement au DSI vient d'une conception plus technique, axée sur le choix de produits et la préconisation, les autres solutions reposent sur une acceptation plus large, une conception moins technique.
Au quotidien, rappelle Alain Bouillé, Président du Cesin, les fonctions d'un DSI vont de l'organisation, à la sensibilisation, entre les deux des responsabilités nouvelles affluent, de plus en plus nombreuses et éparses : IAM, prise en compte de la téléphonie, surtout mobile, le vieux serpent de mer de la cartographie des risques, sans oublier Scada, Informatique et Libertés, les Plans de continuité. Bref, « on » rajoute aux RSSI des responsabilités nouvelles, en fonction des nouveaux domaines d'intervention des entreprises.
Des positionnements très divers
Moins global, Jean-Michel Mattéi occupe aux Douanes une sous-direction, équivalent à une fusion entre DSI et RSSI. Avec Areva, tout autre schéma, on se retrouve à l'extérieur de la DSI et c'est voulu, avec Gilles Afchain, responsable de la protection de l'information et responsable par ailleurs du CDSE, Club des directeurs de sécurité des entreprises, où la sécurité informatique est justement vue comme un élément de la sécurité globale.
Problème de positionnement dans l'organigramme ou problème d'évolution ? « Que la digitalisation soit réelle ou pas, note Alain Bouillé, il faut s'assurer que la sécurité soit correctement embarquée avec les bons niveaux de sécurité ». Autrement dit, le RSSI doit s'occuper de la sécurité même s'il n'est pas consulté au départ, c'est probablement le cas avec les nouveaux sujets de digitalisation, ou il peut se retrouver fréquemment contourné.
Peut-on interdire le Wifi ?
Un sujet au combien sensible. Deux exemples. Celui des Douanes toujours, où une directive interdit le Wifi. Le service informatique en réceptionnant les nouveaux PC enlève donc systématiquement toute possibilité de communiquer ainsi sans fil. Normal, il poserait un problème de sécurité. Sauf que certains fonctionnaires des Douanes qui vont fréquemment à Bruxelles en réunion, ne peuvent accéder aux documents que par Wifi. La Commission fait la chasse au gaspillage papier. Pour eux, le service informatique des Douanes a donc rétabli le Wifi. Egalement pour les haut-fonctionnaires dirigeants, qui travaillent le week-end et auxquels il est difficile de refuser le sans-fil.
La digitalisation, sujet vague de premier abord, touche de plein fouet les RSSI, leurs responsabilités sont d'ailleurs souvent écartées. Avant de proposer des solutions, ils doivent rétablir leur pouvoir. « Il est clair que la digitalisation va nous atteindre, souligne Alain Bouillé, il faut que le RSSI change sa démarche, aujourd'hui clairement il n'est pas dans la digitalisation. Pour le RSSI, c'est le moment de changer. On ne peut pas rester dans la posture : je filtre, j'autorise ou pas, il faut avoir des solutions alternatives, sinon le filtrage que vous avez mis en place sera contourné.
Identifier son patrimoine
En s'attaquent à la digitalisation, le RSSI s'infiltre probablement dans les directions métiers. « Ils doivent identifier leurs bijoux de famille, note Nicolas Pley, chef de service à la DSI de la Banque de France, les classifier suivant plusieurs axes : confidentialité, disponibilité, intégrité, durabilité ». C'est le schéma idéal. Dans les faits, les frictions ou l'ignorance mutuelle perdurent. « Les métiers sont las que les RSSI ne viennent jamais les voir, remarque Gilles Afchain, au nom du CDSE. Tous, responsables sécurité ou métiers, devraient concourir à sécuriser le patrimoine applicatif de l'entreprise. Visiblement les choses sont loin d'être clarifiées. Pour le RSSI, il y va de sa légitimité et de son avenir. «Les entreprises ont besoin d'un fédérateur et d'un chef d'orchestre en matière de sécurité » plaide Alain Bouillé.