Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


La Solitude du RSSI


Pour réussir son action, le RSSI doit bâtir un véritable réseau au sein de son entreprise. Cette note d'analyse explique pourquoi.



S'appuyer sur un Comité Sécurité

Dans une société qui se préoccupe en permanence de sa sécurité, la solitude du RSSI peut être perçue comme un paradoxe. Souvenons-nous simplement que la sécurité est vécue comme une contrainte, dès lors qu’elle n’est pas la conséquence directe d’un drame dont nous avons ressenti l’écho ou, plus simplement, qu’elle ne contribue pas à l’amélioration de nos propres performances.

Le plus souvent, dès sa prise de fonction, le RSSI prévoyant lancera quelques chantiers méthodologiques qui permettront de mettre en place des outils structurants. Il devra faire vite, avant d’être pris par la résolution des problèmes quotidiens et par un travail perpétuel de sensibilisation, de communication et de persuasion. Comme il n’est pas non-plus souhaitable qu’une catastrophe vienne lui donner raison, le RSSI, pour sortir de son isolement, devra sans attendre se préoccuper de trouver des relais au sein de son entreprise et constituer ainsi un véritable réseau sur lequel il pourra s’appuyer. La réussite de son action, dont la transversalité n’est plus à démontrer, dépend totalement de ce postulat et, dans cette démarche, aucun secteur de l’entreprise ne peut être ignoré.

En premier lieu, pour que la sécurité de l’information prenne la place stratégique qui est la sienne et que les nombreux arbitrages qu’elle requière soient rendus, le RSSI doit pouvoir s’appuyer sur la direction de l’entreprise en créant un comité de sécurité qui en sera l’émanation. Ce comité, composé d’un représentant des principales directions opérationnelles et fonctionnelles, est placé sous la responsabilité du directeur général. Il a comme principaux objectifs d’approuver la politique de sécurité et les responsabilités qui en découlent, de valider et de contrôler l’évolution du système de gestion de la sécurité de l’information, d’examiner les incidents majeurs qui lui sont soumis par le RSSI et, surtout, de procéder aux arbitrages, notamment budgétaires, qui lui sont proposés.

Soigner le relationnel

Le RSSI veillera également à disposer d’un relais efficace et loyal au sein de la DSI, surtout s’il n’est pas rattaché à cette entité (ce qui est malgré tout préférable) et que celle-ci, avant sa nomination, était en charge des problèmes de sécurité. Ce partenaire doit couvrir le périmètre non traité par le RSSI, faute de temps et, bien souvent, des compétences techniques nécessaires : les choix technologiques, l’administration de la sécurité du système informatique, la veille technologique, etc.

La qualité de cette relation avec la DSI, qui permet d’offrir une image cohérente des activités de sécurité au reste de l’entreprise, est essentielle à la réussite des missions confiées au RSSI. Le binôme ainsi constitué portera en commun un nombre important de projets et permettra au RSSI de ne pas se couper de l’informatique, qui représente toujours une part importante du système d’information. Dans le même esprit, une réelle coopération est essentielle avec le responsable de la sécurité des biens et des personnes, en raison des complémentarités existant entre les deux domaines ; le rattachement au même pôle est d’ailleurs parfaitement envisageable.

Avec le risk manager, s’il en existe un dans l’entreprise, la collaboration devrait, en théorie, se mettre en place assez facilement, son activité rejoignant naturellement celle du RSSI autour de la gestion des risques. Dans la pratique, il est fréquent que chacun travaille avec sa propre méthode et son propre référentiel alors que leur mise en commun engendrerait une bien meilleure efficacité.

Par ailleurs, d’autres supports sont nécessaires, tels que le service juridique ou la direction des ressources humaines, avec qui il existe de multiples connexions.

Installer des synergies internes de confiance

Pour tous ces acteurs la solution consiste à les associer, dès ses prémices, à la démarche sécuritaire impulsée par le RSSI : définition du périmètre de chacun, conception de méthodes de travail collaboratives, mise en place de circuits bidirectionnels de communication, élaboration collégiale de la stratégie et, surtout, recherche des apports réciproques.

Le RSSI ne doit pas adopter une attitude de demandeur mais se positionner comme élément d’un groupe dont chaque membre possède des compétences utiles à tous les autres. Il pourra, par exemple, apporter une contribution profitable au responsable de la sécurité informatique en facilitant ses rapports avec la maîtrise d’ouvrage à travers des outils méthodologiques, aider le responsable de la sécurité des biens et des personnes sur l’écriture et la mise en œuvre des procédures de gestion des accès physiques, faciliter la tâche des juristes dans l’application des dispositions de la loi Informatique et libertés, etc.

La clé se trouve dans les subtiles nuances pouvant exister entre les besoins des uns et ceux des autres et, si on veut bien se donner la peine de s’y pencher, sur l’extrême porosité des différents métiers, au sein de toute entreprise. Mais le RSSI ne devra pas oublier que, le plus souvent, les fonctions de ses partenaires existaient bien avant que soit créé son propre poste.

Penser un peu ROI et beaucoup référentiel

Les directions opérationnelles doivent également être placées au cœur de ses préoccupations et le RSSI doit pouvoir s’appuyer sur elles pour avancer dans sa démarche. Cette synergie peut s’avérer délicate à mettre en œuvre, plus encore dans le secteur industriel que dans le tertiaire, où le système d’information est l’outil de travail. Or il n’est pas envisageable de bâtir une politique de sécurité sans y associer ceux qui, faut-il le rappeler, sont les principaux générateurs de chiffre d’affaires.

Les méthodes proposées plus haut restent valables, mais avec quelques nuances ; il convient ici de définir en quoi l’action du RSSI peut être profitable à chaque domaine d’activité. La réponse est contenue dans le principe même de l’analyse des risques qui, dès lors qu’elle est réalisée selon une approche top-down, permet de travailler sur les processus opérationnels pour en améliorer le fonctionnement et pour augmenter la rentabilité. En d’autres termes, le RSSI emportera l’adhésion des autres directions de l’entreprise s’il s’efforce, avant le lancement de chacun de ses projets, à définir les bénéfices que ses interlocuteurs en tireront dans leur activité quotidienne. Cette méthode de travail nécessite que chaque entité désigne un de ses collaborateurs pour jouer le rôle de relais privilégié du RSSI.

Cette démarche qui, rappelons-le, doit débuter dès la prise de fonction du RSSI, trouvera un appui méthodologique particulièrement efficace dans l’application des normes ISO de la famille 27000 ; ces dernières, en effet, proposent des règles de sécurité réparties à l’intérieur de onze thèmes, chacun naturellement tourné vers un domaine d’activité de l’entreprise.

à suivre...

Nous aurons l'occasion de revenir sur ces normes dans les prochaines notes d'analyse Duquesne.

Nous aborderons en particulier les aspects pratiques de leur mise en oeuvre, y compris pour les sociétés qui ne visent pas une certification mais tout simplement une meilleure sécurité de l'information.

Enfin, nos offres d'audit de l'existant et de formations pratiques sont décrites sur ce site.
DL
Dimanche 30 Mai 2010

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Mercredi 5 Octobre 2016 - 17:48 Attention : un SMCA n'est pas un PCA !


Duquesne Research Newsletter