Le développement des technologies ouvertes de type web et les risques que celles-ci font courir à l’entreprise ont fait émerger ces dernières années un nouveau métier, celui de responsable sécurité des systèmes d’information (RSSI). Son rôle s’apparente à un délicat exercice de funambule. Le RSSI doit sécuriser le système d’information de l’entreprise sans pour autant freiner son évolution technologique. Pour Jean-Claude Tapia, président de XP Conseil (conseil et audit sur le marché de la sécurité), “il s’agit d’un généraliste capable de travailler sur l’organisation, les technologies, les ressources humaines et la réglementation. Un manager qui tient un discours technique, stratégique, voire marketing à sa direction générale comme aux directeurs fonctionnels.”“C’est un professionnel qui se cherche encore, constate de son côté Denis Lefeuvre, coordinateur des travaux “espace RSSI” au Club de la sécurité des systèmes d’information français (Clusif). Où le placer dans l’organigramme ? Rattaché à la direction de l’informatique, il lui est difficile d’être un moteur de l’entreprise. A l’inverse, un RSSI électron libre qui donnerait des ordres au DSI, cela passerait mal.” Laurent Borowski, directeur expert en sécurité chez Andersen, partage cette inquiétude. “Je vois encore des responsables sécurité dont le rôle principal, voire unique, consiste à ouvrir des droits sur le système. Un RSSI doit, au contraire, avoir son budget, une équipe et une vraie autonomie d’action.”
Un législateur d’un genre nouveau
Alors, qu’attend-on de ce mouton à cinq pattes ? Le RSSI est avant tout un visionnaire capable de se projeter dans le métier de l’entreprise et de précéder ses évolutions. La sécurité est en effet de plus en plus vécue comme une problématique globale, et non uniquement sous l’angle des techniciens en charge de l’installation des pare-feu ou de procédures de sauvegarde.Avec l’essor des PKI (infrastructures à clés publiques) ou de la signature électronique, le RSSI voit également ses compétences s’élargir à des domaines aussi peu techniques que la comptabilité et la fiscalité ?” avec, par exemple, l’instauration des télédéclarations fiscales. De même, l’essor des intranets et autres portails d’entreprise pose des problèmes juridiques et déontologiques ?” confidentialité et respect de la vie privée, etc. ?”, qui font du RSSI un “législateur” d’un nouveau genre, confirme Laurent Borowski.De par l’étendue de sa tâche, le RSSI doit, en bon maître d’ouvrage, disposer de relais en entreprise. “J’ai de bonnes relations avec les directeurs fonctionnels, confirme Didier Gras, RSSI chez l’opérateur Noos. Extrêmement demandeurs, ils sont souvent à l’origine de projets.”En contact permanent avec les utilisateurs, le RSSI doit toutefois faire preuve de tact. Faire comprendre que le risque est avant tout interne ?” accidents, erreurs d’utilisateurs, malveillances, etc. ?” est un message qui ne passe pas toujours bien. On ne résout pas des problèmes structurels et organisationnels par le seul recours à des solutions techniques.Les attaques virales à répétition et l’après-11 septembre ont créé, semble-t-il, une vraie prise de conscience des risques encourus. “Chacun s’est senti concerné, note Pascal Ferard, chef de groupe réseaux sécurité internet à TF1. Le RSSI doit en profiter pour surfer sur la vague et sensibiliser un maximum d’utilisateurs.”
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
