Quelle valeur ajoutée et quel rôle aujourd’hui dans l’organisation pour le responsable de la sécurité des systèmes d’information ? Le Clusif, club professionnel dans la sécurité informatique, a répondu à la question.
Le Clusif organisait mercredi 14 octobre à la chambre de commerce de Paris une conférence sur le thème «Le RSSI : quelle valeur ajoutée et quel rôle dans l’organisation ?» Pour répondre à cette question, le Clusif avait invité différents intervenants dont, bien évidemment, des responsables de la sécurité des systèmes d’informations qui ont parlé des principales évolutions métiers et SI, de la transformation de la fonction « RSSI », du positionnement du RSSI par rapport aux autres fonctions en relation avec la gestion des risques du SI, et enfin de la position du RSSI dans la chaîne de valeur de l’organisation.
Travailler de concert avec les métiers
Aux côtés d’Etienne Bouet, de Solucom, Alexandre Fernandez-Toro, RSSI et auteur du livre « Sécurité Opérationnelle », Brigitte Declerck-Peyrard du GIE AGIRC-ARRCO, Martine Guignard de l’Imprimerie Nationale, Antoine Bajolet de TDF et Benoit Fuzeau de Banque Populaire. Thierry Chiofalo, de Provadys, a ouvert les débats en parlant de la prise de conscience puis l’appropriation de la problématique « sécurité de l’information » qui est aujourd’hui de plus en plus présente dans les entreprises. Le RSSI n’est plus seul, affirme-t-il : il peut désormais être amené à travailler de concert avec le responsable en charge des données personnelles, la DSI, le contrôle interne, la direction financière ou encore la direction commerciale pour satisfaire à des exigences de sécurité liées à un nouveau marché.
Aujourd’hui, pour le RSSI, l’enjeu est d’identifier en quoi son rôle a évolué en relation avec l’évolution de l’écosystème de la SSI dans son organisation. Cela implique de valoriser ce qu’il a apporté jusque-là à sa structure et, ensuite, de comprendre et de définir quels devront être ses apports et contributions futures dans le contexte de son organisation digitale.
Au-delà des limites de sa propre organisation, le RSSI doit également évoluer dans un contexte nouveau et changeant de la lutte contre la malveillance interne, la cybercriminalité externe ou encore l’intelligence économique et étatique, ce qui amène à se poser la question de la relation à établir avec des parties prenantes externes.
Autant de nouveaux projets, autant de sécurité en plus
Alors que les projets d’entreprise (relation clients, refonte des processus dans la gestion des chantiers, adaptation de la production à la demande, etc.), augmentent, avec une part de l’informatique de plus en plus grande, le rôle du RSSI prend de l’ampleur devant sécuriser toutes les briques des différents SI en supports des projets, rappelle Alexandre Fernandez-Toro, qui a parlé du « RSSI de terrain dont le rôle est d’être en soute » et du « RSSI groupe qui assure la gouvernance de la sécurité » mais fournit également les outils au RSSI de terrain.
Pour Etienne Bouet, pas de doute le RSSI n’est plus seul, de nombreux acteurs s’intéressant dorénavant à la sécurité, dont les directions générales. La transformation numérique des entreprises, l’augmentation des attaques ciblées ainsi que les réglementations qui s’imposent aux entreprises en sont à l’origine. La sécurité, « ce n’est plus la seule mission du RSSI » indique-t-il, RSSI qui doit « orchestrer tous les acteurs », disposer d’un fort sponsorship « pour que sa voix porte » et de « son propre budget ». Brigitte Declerck-Peyrard abonde dans le même sens. Pour elle, la valeur ajoutée du RSSI consiste à « prouver le ROI tous les jours ». Benoît Fuzeau, qui s’exprimait en son nom propre, a insisté sur ses fonctions de formation et de sensibilisation. Pour lui le RSSI « doit être là pour maîtriser les données ».
Antoine Bajolet a précisé également son rôle de sensibilisation et de formation, dans l’entreprise et au dehors. Sa mission est aussi « d’intégrer l‘axe sécurité dans chaque projet de l’entreprise ». « Je suis consultée à chaque démarrage de projet », soutient également Martine Guignard de l’Imprimerie Nationale, qui déploie actuellement un SOC.
Le RSSI n’est plus ce mal-aimé, mais un acteur aux missions transversales accompagnant les métiers et la stratégie générale de l’entreprise, via ses différents projets.