Les RSSI de l'année 2008

Sept trophées RSSI, dont un Grand Prix et un Prix spécial du jury, sont remis cette année par 01 Informatique. Cinq secteurs d'activité sont distingués : banque-finance-assurance ; industrie ; construction-réseaux-transports ; administration-service public, et commerce-distribution-services. Le jury a distingué le RSSI, son approche, sa vision des problématiques de sécurité, son parcours, sa personnalité et ses challenges comme la qualité technique de ses réalisations. Ce sont donc plus des managers que des applications ou des projets (réalisés) qui ont été mis à l'honneur. Le Grand Prix, décerné à Serge Saghroune, RSSI du groupe Accor, témoigne de cette évolution. Ce trophée récompense à la fois le RSSI, l'homme d'expérience ayant créé il y a dix ans un département sécurité, et le vice-président du Clusif (Club de la sécurité de l'information français). De même, l'attribution du trophée pour l'industrie à Hervé Dubillot, de Mercedes-Benz en France, consacre la jeune carrière d'un RSSI de 36 ans. Celui-ci a revêtu l'habit en 2002, lorsque fut décidée par le groupe allemand la création d'un poste de RSSI par pays, la France ayant été retenue comme pilote.

' Un RSSI ne doit pas se cantonner à une posture répressive vis-à-vis des utilisateurs ', faisait remarquer Valérie Tudoux, RSSI de Natixis, en préambule des délibérations du jury RSSI 2008 dont elle était un des membres. Une assertion qui trouve un écho chez plusieurs candidats de cette édition. ' La sécurité des SI est souvent perçue comme une gène ou un frein. Le rôle du RSSI n'est pas de se lancer dans une évangélisation à tout prix, mais d'alerter les acteurs du SI des risques encourus, tout en étant force de proposition en les informant des solutions possibles ', expliquait Hervé Dubillot dans son dossier de candidature. Une véritable gageure, mais qui s'inscrit pleinement dans l'évolution du profil des RSSI. Du ' pur ' technicien qu'il était à l'origine, le RSSI doit avoir, aujourd'hui, la connaissance fine des métiers de son entreprise, et des capacités organisationnelles ou d'architecture du SI. La sécurité et la gestion des risques se limitent de moins en moins au seul cadre restrictif du SI. A charge pour le responsable de la sécurité d'identifier où sont les nouveaux risques et les enjeux qui en découlent pour l'entreprise. Au Clusif, on n'hésite pas à prôner la transition de l'homme-orchestre de la sécurité informatique à l'homme-orchestre de la sécurité du patrimoine informationnel.

De même, le rattachement hiérarchique de la fonction, transversale par nature, est variable, même si le RSSI est souvent associé à la DSI. C'est le cas lorsqu'il doit contribuer au développement d'une prise de conscience sécurité au sein même de la DSI. Mais la nature de ce rattachement dépend aussi de l'entreprise, de son organisation et de son degré de maturité face à la problématique sécuritaire. Cette année, certains candidats étaient rattachés à la direction générale quand un autre dépendait de la direction des risques de son entreprise.

Le périmètre d'intervention des RSSI a, semble-t-il, mué notamment sous l'effet des évolutions technologiques et réglementaires. Certes, leur mission de base consiste à définir et à mettre en ?"uvre la politique de sécurité de l'entreprise, quitte à sous-traiter la maîtrise d'?"uvre à des prestataires quand c'est nécessaire. D'autres sont happés par ces missions de maîtrise d'?"uvre et de gestion de la relation avec les utilisateurs du système d'information. En dehors de cet éternel débat sur le périmètre des responsabilités du RSSI entre maîtrise d'ouvrage et maîtrise d'?"uvre, plusieurs des candidats signalent la mise en route de chantiers liés à la certification 27001 ou 27002, ou la mise en place de tableaux de bord de sécurité et d'outils de pilotage ad hoc. Le contrôle, la supervision, voire la mise en cohérence des plans de continuité d'activité font également partie de l'extension du champ de leur responsabilité. Tout comme la prise en charge des déclaratifs auprès de la Cnil (Commission nationale de l'informatique et des libertés).