Serge Saghroune : Ma mission comporte trois facettes. Un rôle classique de RSSI qui fait des recommandations, définit la politique et sensibilise l'entreprise. Un deuxième d'assistant à la maîtrise d'ouvrage dans l'analyse des impacts en sécurité de ses projets. Enfin, une composante opérationnelle, c'est-à-dire de mise en oeuvre des solutions. Ces trois missions se retrouvent dans tous les grands groupes, mais rarement dans une même entité.

Oui, il est essentiel de ne pas le laisser à quelqu'un d'autre. Cela recouvre la gestion des pare-feu, des outils de détection d'intrusion, des solutions dédiées à la sécurité, des systèmes d'authentification, des tests de vulnérabilité internes, des audits système, etc. Aujourd'hui, le système d'information sert à contrôler tout ce qui se passe sur le réseau. Nous disposons de pare-feu dans le monde entier, avec des niveaux de sensibilité différents selon les pays. Des administrateurs assurent également la supervision sur les sites distants.

En premier lieu, il s'agit effectivement de présenter la stratégie globale de sécurité. De se demander ce que l'on protège en priorité. Il est impossible de calquer la politique de sécurité d'une entreprise à l'autre. Il faut donc réfléchir à partir des besoins de sa société et disposer de qualités certaines en matière de négociation. Pour mettre au point cette stratégie, j'assiste par exemple à des réunions qui n'ont rien à voir avec la sécurité. Mais au cours desquelles le top management évoque ses préoccupations par rapport aux informations, me permettant de comprendre les enjeux. On fait une proposition, on discute. Parfois, on considère que notre proposition revient trop cher. Au final, l'objectif ne consiste pas à obtenir un document bien écrit et signé une fois pour toutes, mais un document que le responsable de la sécurité et ses collaborateurs garderont en tête et feront vivre. Il contient une déclinaison de la stratégie, avec des éléments tels que des recommandations sur la sensibilité des applications.

Non. Véritablement une politique, qui définit une vision et la mise en oeuvre des moyens de réalisation de cette vision. Pas question de naviguer à vue en matière de sécurité. On doit pouvoir dire quel type d'information, par exemple, n'est plus critique alors qu'elle l'était. Une filiale vendue à 50 %, par exemple, n'a plus les mêmes enjeux. Cette politique est donc revue en fonction des développements, des moyens, des réorganisations, des cessions d'activité, etc. Et généralement renégociée lors des discussions budgétaires. Son intérêt réside dans la cohérence de la sécurité dans l'entreprise. Sans politique, on peut se retrouver avec un véritable blockhaus qui jouxte une salle sans une seule fenêtre fermée... Mon rôle consiste également à sensibiliser l'entreprise sur les risques induits par l'informatique, mais aussi à prévenir le management des différents pays sur ces risques.

Là, on parle d'aider à la définition de la sécurité sur les projets. Il est vrai, aujourd'hui, que nos responsables de maîtrise d'ouvrage sont de mieux en mieux sensibilisés. Ainsi, ils comprennent que l'on ne peut plus écrire une application sans contrôle, ni restriction. Avec la sécurité, il faut faire en sorte que tout ne puisse pas marcher ! Paradoxalement, notre rôle consiste aussi à auditer les préconisations sécurité de ces projets, parce qu'elles sont souvent plus dures que la loi. Enfin, il est essentiel d'identifier les problèmes connexes susceptibles de perturber l'application. Il faut avouer que, dans la réalité, on finit généralement par nous inviter seulement lorsqu'un projet est lancé. Mais nous nous arrangeons pour être présents tout au long du processus, jusqu'à la mise en production.

Je ne m'occupe pas de la sécurité des biens et des personnes. Accor a un directeur de la sécurité physique au niveau du groupe. Nous nous rencontrons, mais il a un tout autre profil, puisque c'est un ancien du ministère de l'Intérieur. Pour les questions liées à la Cnil ou à une usurpation d'identité, par exemple, je m'appuie sur notre service juridique systématiquement. Un de nos juristes est spécialisé dans les aspects informatiques et traite donc de la sécurité.