Passer au contenu

Les RSSI de l’année 2008

Sept RSSI ont été distingués cette année. Leurs profils, tant par leur personnalité que par leur entreprise, sont variés. Ils ont été choisis pour leur itinéraire, l’étendue de leur mission, leur défi et leur réalisation. Ces
RSSI concilient management de la politique sécurité du SI et sa mise en ?”uvre avec l’extension régulière de leur responsabilité.

Sept trophées RSSI, dont un Grand Prix et un Prix spécial du jury, sont remis cette année par 01 Informatique. Cinq secteurs d’activité sont distingués : banque-finance-assurance ; industrie ;
construction-réseaux-transports ; administration-service public, et commerce-distribution-services. Le jury a distingué le RSSI, son approche, sa vision des problématiques de sécurité, son parcours, sa personnalité et ses challenges comme la
qualité technique de ses réalisations. Ce sont donc plus des managers que des applications ou des projets (réalisés) qui ont été mis à l’honneur. Le Grand Prix, décerné à Serge Saghroune, RSSI du groupe Accor, témoigne de cette évolution. Ce
trophée récompense à la fois le RSSI, l’homme d’expérience ayant créé il y a dix ans un département sécurité, et le vice-président du Clusif (Club de la sécurité de l’information français). De même, l’attribution du
trophée pour l’industrie à Hervé Dubillot, de Mercedes-Benz en France, consacre la jeune carrière d’un RSSI de 36 ans. Celui-ci a revêtu l’habit en 2002, lorsque fut décidée par le groupe allemand la création d’un
poste de RSSI par pays, la France ayant été retenue comme pilote.

Vers une connaissance plus fine des métiers

‘ Un RSSI ne doit pas se cantonner à une posture répressive vis-à-vis des utilisateurs ‘, faisait remarquer Valérie Tudoux, RSSI de Natixis, en préambule des délibérations du jury RSSI 2008
dont elle était un des membres. Une assertion qui trouve un écho chez plusieurs candidats de cette édition. ‘ La sécurité des SI est souvent perçue comme une gène ou un frein. Le rôle du RSSI n’est pas de se lancer dans
une évangélisation à tout prix, mais d’alerter les acteurs du SI des risques encourus, tout en étant force de proposition en les informant des solutions possibles ‘,
expliquait Hervé Dubillot dans son dossier de
candidature. Une véritable gageure, mais qui s’inscrit pleinement dans l’évolution du profil des RSSI. Du ‘ pur ‘ technicien qu’il était à l’origine, le RSSI doit avoir, aujourd’hui, la
connaissance fine des métiers de son entreprise, et des capacités organisationnelles ou d’architecture du SI. La sécurité et la gestion des risques se limitent de moins en moins au seul cadre restrictif du SI. A charge pour le responsable de
la sécurité d’identifier où sont les nouveaux risques et les enjeux qui en découlent pour l’entreprise. Au Clusif, on n’hésite pas à prôner la transition de l’homme-orchestre de la sécurité informatique à
l’homme-orchestre de la sécurité du patrimoine informationnel.De même, le rattachement hiérarchique de la fonction, transversale par nature, est variable, même si le RSSI est souvent associé à la DSI. C’est le cas lorsqu’il doit contribuer au développement d’une prise de
conscience sécurité au sein même de la DSI. Mais la nature de ce rattachement dépend aussi de l’entreprise, de son organisation et de son degré de maturité face à la problématique sécuritaire. Cette année, certains candidats étaient rattachés
à la direction générale quand un autre dépendait de la direction des risques de son entreprise.

Un champ de responsabilité en extension

Le périmètre d’intervention des RSSI a, semble-t-il, mué notamment sous l’effet des évolutions technologiques et réglementaires. Certes, leur mission de base consiste à définir et à mettre en ?”uvre la politique de
sécurité de l’entreprise, quitte à sous-traiter la maîtrise d’?”uvre à des prestataires quand c’est nécessaire. D’autres sont happés par ces missions de maîtrise d’?”uvre et de gestion de la relation avec les
utilisateurs du système d’information. En dehors de cet éternel débat sur le périmètre des responsabilités du RSSI entre maîtrise d’ouvrage et maîtrise d’?”uvre, plusieurs des candidats signalent la mise en route de chantiers
liés à la certification 27001 ou 27002, ou la mise en place de tableaux de bord de sécurité et d’outils de pilotage ad hoc. Le contrôle, la supervision, voire la mise en cohérence des plans de continuité d’activité font également
partie de l’extension du champ de leur responsabilité. Tout comme la prise en charge des déclaratifs auprès de la Cnil (Commission nationale de l’informatique et des libertés).

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Frédéric Bergé et Christophe Élise