Le Cesin redessine la place du RSSI alors que les cyber-menaces se multiplient
Le très dynamique Cesin (*) a tenu son congrès annuel à Reims mi-décembre. Nouvelles menaces, nouvelles offres, relations avec les DSI et les métiers, projets 2015 : le RSSI doit sérier ses axes de travail.
Sollicités sur de plus en plus de sujets, les RSSI sont devenus de moins en moins opérationnels, ils managent et opèrent un tri dans les sollicitations dont ils sont l'objet. Des sollicitations anciennes, où il faut assurer le suivi et le renouvellement de leurs actions, d'autres plus nouvelles, comme les APT, les objets connectés, le big data, les comportements personnels, la vie privée, le ByOD, où il faut se mettre très vite en veille et agir, en lien avec de plus en plus d'interlocuteurs dans l'entreprise.
Sur chacun de ces thèmes, le RSSI refonde sa légitimité et se découvre un nouveau périmètre d'activités et de responsabilités (**). Il est sollicité, non seulement sur de nouveaux sujets technologiques, liés aux nouvelles menaces mais aussi par le biais du management, en particulier sur le thème de la cyber-assurance. « Il faut que les entreprises se penchent sur ce sujet des systèmes d'assurance de manière sérieuse » note Alain Bouillé (en photo), Président du club. Le RSSI va donc entrer en relation avec le responsable assurance, un interlocuteur qu'il ne connaît pas, et c'est réciproque, pour un sujet non technique mais très important en termes de budget. Quant aux responsables métier, ils vont solliciter le RSSI en matière de cyber-assurance pour savoir s'ils ont bien les bonnes clauses ou si le RSSI les a prises en compte. Bref, le responsable de la sécurité se retrouve engagé dans une nouvelle boucle de décisions.
Quand le DSI re-centralise
Le shadow IT lui donne également une autre dimension. Plus de 60% des projets informatiques sont désormais financés par les métiers dans les entreprises selon IDC France. Un phénomène fortement dépendant de la modernité de l'entreprise selon le Cesin. Mais où le RSSI est sollicité par les métiers ou par la DSI qui souhaite re-centraliser des décisions qui lui échappent au départ, mais lui reviennent sous l'angle de la sécurité.
Les nouvelles thématiques se multiplient dans la prise en compte de la sécurité. Le big data, les objets connectés, la vie privée vont constituer autant de thèmes pour les mois qui viennent. D'autres surgissent quand on ne les attend pas. L'open source est traité de manière particulière par une note sur le site du Cesin (signée Stéphane Joguet). Intéressante parce que l'open source est censé assurer une totale sécurité alors qu'il provoque de plus en plus de failles : Heartbleed, TrueCrypt par exemple. « Le code doit être sérieusement audité » relève Patrick Chambet, vice-président du club. L'open source nécessite d'autant plus de vigilance qu'il est à la base de la virtualisation des réseaux, avec SDN et NFV, deux sujets encore en gestation mais proches de l'entrée dans la réalité.
Le RSSI garde évidemment au quotidien tout ce qui relève de son périmètre actuel : la sensibilisation, la mise en place de solutions pour les projets et les architectures de l'entreprise, la cartographie des risques, les plans de continuité. La transformation numérique de l'entreprise lui impose de nouvelles exigences, que la sécurité soit correctement embarquée et suivie, le RSSI devient ainsi le garant de la bonne gestion du patrimoine informationnel de l'entreprise
(*) Club des experts de la sécurité de l'information et du numérique
(**) Le cabinet JEEM a publié une excellente étude : « Le RSSI a la croisée des exigences ».
