Les RSSI de l’année 2008
par mail
l'article
Sept trophées RSSI, dont un Grand Prix et un Prix spécial du jury, sont remis cette année par 01 Informatique. Cinq secteurs d’activité sont distingués : banque-finance-assurance ; industrie ; construction-réseaux-transports ; administration-service public, et commerce-distribution-services. Le jury a distingué le RSSI, son approche, sa vision des problématiques de sécurité, son parcours, sa personnalité et ses challenges comme la qualité technique de ses réalisations. Ce sont donc plus des managers que des applications ou des projets (réalisés) qui ont été mis à l’honneur. Le Grand Prix, décerné à Serge Saghroune, RSSI du groupe Accor, témoigne de cette évolution. Ce trophée récompense à la fois le RSSI, l’homme d’expérience ayant créé il y a dix ans un département sécurité, et le vice-président du Clusif (Club de la sécurité de l’information français). De même, l’attribution du trophée pour l’industrie à Hervé Dubillot, de Mercedes-Benz en France, consacre la jeune carrière d’un RSSI de 36 ans. Celui-ci a revêtu l’habit en 2002, lorsque fut décidée par le groupe allemand la création d’un poste de RSSI par pays, la France ayant été retenue comme pilote.
Vers une connaissance plus fine des métiers
“ Un RSSI ne doit pas se cantonner à une posture répressive vis-à-vis des utilisateurs ”, faisait remarquer Valérie Tudoux, RSSI de Natixis, en préambule des délibérations du jury RSSI 2008 dont elle était un des membres. Une assertion qui trouve un écho chez plusieurs candidats de cette édition. “ La sécurité des SI est souvent perçue comme une gène ou un frein. Le rôle du RSSI n’est pas de se lancer dans une évangélisation à tout prix, mais d’alerter les acteurs du SI des risques encourus, tout en étant force de proposition en les informant des solutions possibles ”, expliquait Hervé Dubillot dans son dossier de candidature. Une véritable gageure, mais qui s’inscrit pleinement dans l’évolution du profil des RSSI. Du “ pur ” technicien qu’il était à l’origine, le RSSI doit avoir, aujourd’hui, la connaissance fine des métiers de son entreprise, et des capacités organisationnelles ou d’architecture du SI. La sécurité et la gestion des risques se limitent de moins en moins au seul cadre restrictif du SI. A charge pour le responsable de la sécurité d’identifier où sont les nouveaux risques et les enjeux qui en découlent pour l’entreprise. Au Clusif, on n’hésite pas à prôner la transition de l’homme-orchestre de la sécurité informatique à l’homme-orchestre de la sécurité du patrimoine informationnel.
De même, le rattachement hiérarchique de la fonction, transversale par nature, est variable, même si le RSSI est souvent associé à la DSI. C’est le cas lorsqu’il doit contribuer au développement d’une prise de conscience sécurité au sein même de la DSI. Mais la nature de ce rattachement dépend aussi de l’entreprise, de son organisation et de son degré de maturité face à la problématique sécuritaire. Cette année, certains candidats étaient rattachés à la direction générale quand un autre dépendait de la direction des risques de son entreprise.
Un champ de responsabilité en extension
Le périmètre d’intervention des RSSI a, semble-t-il, mué notamment sous l’effet des évolutions technologiques et réglementaires. Certes, leur mission de base consiste à définir et à mettre en œuvre la politique de sécurité de l’entreprise, quitte à sous-traiter la maîtrise d’œuvre à des prestataires quand c’est nécessaire. D’autres sont happés par ces missions de maîtrise d’œuvre et de gestion de la relation avec les utilisateurs du système d’information. En dehors de cet éternel débat sur le périmètre des responsabilités du RSSI entre maîtrise d’ouvrage et maîtrise d’œuvre, plusieurs des candidats signalent la mise en route de chantiers liés à la certification 27001 ou 27002, ou la mise en place de tableaux de bord de sécurité et d’outils de pilotage ad hoc. Le contrôle, la supervision, voire la mise en cohérence des plans de continuité d’activité font également partie de l’extension du champ de leur responsabilité. Tout comme la prise en charge des déclaratifs auprès de la Cnil (Commission nationale de l’informatique et des libertés).
Sept responsables de la sécurité de SI Élus
Les lauréats 2008 sont issus d’une présélection qui comptait une vingtaine de candidats. Ils ont été récompensés par un jury composé de personnalités extérieures et de membres de la rédaction de 01 Informatique (voir ci-dessous), selon le secteur d’activité de leur entreprise. En plus des cinq trophées “ sectoriels ” retenus, un Grand Prix et un Prix spécial du jury ont été décernés, soit, au total, sept RSSI distingués par notre jury. Les lauréats sont : Serge Saghroune, Grand Prix (RSSI, groupe Accor) ; Emmanuel Garnier, Prix spécial (RSSI, Systalians) ; Eric Doyen, trophée Banque-finance-assurance (responsable de la sécurité de l’information, Crédit Immobilier de France) ; Christophe Pipparelli, trophée BTP-réseaux-transports (Information Security Manager, DHL Express) ; Hervé Dubillot, trophée Industrie (RSSI, Mercedes-Benz France et Mercedes-Benz Financial Services France) ; Eric Grospeiller, trophée Administration-service public (responsable mission sécurité, ANPE) ; Alexandre Planche, trophée Commerce-distribution-services (Information Systems Security Manager, HR Access).
Le jury
Valérie Tudoux, RSSI de Natixis ; Elisabeth Conseil Colonna, responsable de l’offre management de la sécurité chez Telindus (Belgacom) ; Eric Domage, directeur de recherche, produits et solutions de sécurité chez IDC Europe ; Gilles Cornillère, directeur des activités internationales chez Capgemini Telecom Media Défense ; Didier Gras, responsable des activités MSS chez Alcatel-Lucent ; Frédéric Simottel, rédacteur en chef de 01 Informatique ; Frédéric Bergé, chef de rubrique à 01 ; Christophe Elise, rédacteur en chef du site Lesnouvelles.net.
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
