Quelle place pour le responsable sécurité des systèmes d'information dans l'entreprise ?
La sécurité des systèmes d'information doit s'insérer dans la démarche globale de gestion des risques de l'entreprise. Elle implique une sensibilisation de tous les acteurs et une étroite coopération avec les métiers. Tels sont quelques uns des enseignements de la matinée consacrée à l'évolution des politiques de sécurité qui s'est déroulée à l'Automobile Club de France, le 17 avril dernier. Face à la nécessité d'une gestion globale des risques par les entreprises et à la montée en puissance des menaces venant d'internet, les rédactions de Reseaux-telecoms.net et de CIO Magazine ont organisé une matinée sur le thème de l'évolution des politiques globales de sécurité, le 17 avril dernier. Plusieurs filières en charge de la sécurité En ouverture, Jean-Claude Venin, directeur exécutif chez Ernst and Young, en charge des aspects Technology & Security Risk Services, a souligné que la politique de sécurité des systèmes d'information doit s'insérer dans l'ensemble de la gestion des risques de l'entreprise, qu'il s'agisse des risques métiers ou opérationnels. Il a rappelé l'existence de plusieurs démarches orientées sur la sécurité au sein de l'entreprise qu'il s'agisse de la gestion des risques et du contrôle interne, de la conformité réglementaire, du juridique, de la sécurité des biens et des personnes. Une certaine situation de concurrence s'établit même. Or, certains responsables de ces filières sont mieux positionnés que le responsable de la sécurité des systèmes d'information lorsqu'il s'agit d'obtenir l'attention de la direction générale, et donc des budgets. Dès lors, « Le responsable de la sécurité des systèmes d'information doit démontrer sa valeur ajoutée et l'impact sur le métier, a-t-il insisté. Un Risk Manager, Julien Camus de Schlumberger, représentant de l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise) a, pour sa part, montré comment le responsable de la sécurité des systèmes d'information dialogue avec le Risk Manager. Un comité de coordination de la sécurité chez Carrefour Pour sa part, il parie sur une intégration du responsable sécurité dans le Risk Management, afin de prendre en compte les enjeux stratégiques autant qu'opérationnels, la hiérarchisation des risques liés au système d'information et enfin, justifier le financement de certains risques majeurs du système d'information auprès de la direction générale. Une table ronde qui a suivi a permis de recueillir l'opinion de responsables sécurité ... Photo : La table ronde réunissant notamment de gauche à droite, Yvon Klein du CNES, Carlos Martin de Carrefour et Valérie Tudoux, de Natixis BFI. ... de grandes entreprises. Y ont notamment participé Carlos Martin, directeur de la sécurité des systèmes d'information de Carrefour, et Jean-François Louapre, RSSI de AG2R-La Mondiale. On observe alors que par exemple, Carlos Martin voit, pour sa part, son activité rattachée à la DSI. Il est non seulement en charge de la sécurité des systèmes d'information, mais également du risque opérationnel et de la gestion de la conformité du système d'information. Cette direction de la sécurité des systèmes d'information fait partie du comité de coordination de la sécurité, qui réunit en outre, le directeur de l'audit interne, le directeur de la sécurité-sûreté, et le responsable de la prévention des risques. Un rattachement à la direction des risques chez AG2R La Mondiale Autre cas de figure, chez AG2R La Mondiale, la DSI se trouve placée au même niveau que la direction des risques. Cette dernière regroupe la direction sécurité, la conformité, le contrôle interne ou les risques actuariels. Et c'est au sein de la direction sécurité que l'on trouve la sécurité des systèmes d'information dont est responsable Jean François Louapre ainsi que les accès logiques, la sécurité des biens et des personnes, et le PCA. Cette question de l'évolution de la place du responsable de la sécurité des systèmes d'information au sein de l'entreprise déclenche la réaction de Yvon Klein, ...... RSSI du CNES, participant à la même table ronde. « Nous vivons actuellement une phase de transition dans laquelle nous devons gérer l'intégration de la sécurité des systèmes d'information dans la sécurité de l'entreprise dans tous ses aspects, et cela est vrai pour tous les domaines d'activité, constate-t-il. Sensibiliser les utilisateurs Par ailleurs, la table ronde a été l'occasion de souligner l'évolution des missions clé des responsables de la sécurité. La sensibilisation à la sécurité des utilisateurs est indispensable. Elle doit se faire en tenant compte des spécificités de chaque catégorie d'utilisateurs. Chez Natixis BFI, la RSSI Valérie Tudoux a proposé un jeu aux courtiers afin de diffuser les règles, le courtier étant joueur par nature. Chez Carrefour, c'est un petit film ...... qui présente les bons usages du réseau de façon imagée aux différents responsables de rayons des magasins. « Ce qui est essentiel pour une entreprise, c'est son information. Sans être dans le domaine du confidentiel Défense, nous devons protéger notre savoir-faire, et on doit faire en sorte que tous les acteurs dans l'entreprise le protègent. C'est la grosse évolution que l'on voit dans nos domaines, ce n'est plus une affaire de spécialistes, déclare Carlos Martin. Dialoguer impérativement avec les métiers La nécessité du dialogue avec les métiers est soulignée. « En fonction des différentes contraintes métiers et des différents applicatifs, il faut avoir un dialogue de plus en plus étroit, afin de répondre au juste prix, et déterminer ce qui est acceptable et ce qui ne l'est pas. Ce qu'on veut c'est protéger l'information, vis-à-vis d'un certain nombre de risques qui l'entoure. Dans une entreprise comme la nôtre qui emploie 470 000 personnes, il faut que toutes ces personnes pensent que l'information qu'elles ont ne doit pas être diffusée d'une manière non contrôlée. Et c'est là où l'on a une interaction permanente avec les métiers, de telle manière à sortir de cette vue un peu sécurité technique. La sécurité technique, cela s'externalise car elle n'a pas de valeur ajoutée. Protéger une machine n'est pas stratégique. En revanche, nous conservons en interne tout ce tout ce qui a une valeur pour le métier, conclut Carlos Martin. Ce dialogue prioritaire avec le métier se retrouve chez Natixis BFI où Valérie Tudoux, la RSSI, souligne la nécessaire coopération avec les autres organes de contrôle, des risques opérationnels ou du juridique. « Nous allons d'abord voir les métiers, puis les organes de contrôle, puis la DSI, liste Valérie Tudoux.