01 Informatique : Considérez-vous votre rôle de responsable de la sécurité des systèmes d’information (RSSI) comme purement stratégique ou proche de la technique ?Serge Saghroune : Ma mission comporte trois facettes. Un rôle classique de RSSI qui fait des recommandations, définit la politique et sensibilise l’entreprise. Un deuxième d’assistant à la maîtrise d’ouvrage dans
l’analyse des impacts en sécurité de ses projets. Enfin, une composante opérationnelle, c’est-à-dire de mise en ?”uvre des solutions. Ces trois missions se retrouvent dans tous les grands groupes, mais rarement dans une même entité.Le volet opérationnel vous paraît-il indispensable ?Oui, il est essentiel de ne pas le laisser à quelqu’un d’autre. Cela recouvre la gestion des pare-feu, des outils de détection d’intrusion, des solutions dédiées à la sécurité, des systèmes d’authentification, des tests de
vulnérabilité internes, des audits système, etc. Aujourd’hui, le système d’information sert à contrôler tout ce qui se passe sur le réseau. Nous disposons de pare-feu dans le monde entier, avec des niveaux de sensibilité différents selon les pays.
Des administrateurs assurent également la supervision sur les sites distants.En quoi consiste la partie de votre mission que vous considérez comme ‘ classique ‘ et que l’on pourrait qualifier de stratégique ?En premier lieu, il s’agit effectivement de présenter la stratégie globale de sécurité. De se demander ce que l’on protège en priorité. Il est impossible de calquer la politique de sécurité d’une entreprise à l’autre. Il faut donc
réfléchir à partir des besoins de sa société et disposer de qualités certaines en matière de négociation. Pour mettre au point cette stratégie, j’assiste par exemple à des réunions qui n’ont rien à voir avec la sécurité. Mais au cours desquelles le
top management évoque ses préoccupations par rapport aux informations, me permettant de comprendre les enjeux. On fait une proposition, on discute. Parfois, on considère que notre proposition revient trop cher. Au final, l’objectif ne consiste pas à
obtenir un document bien écrit et signé une fois pour toutes, mais un document que le responsable de la sécurité et ses collaborateurs garderont en tête et feront vivre. Il contient une déclinaison de la stratégie, avec des éléments tels que des
recommandations sur la sensibilité des applications.Une forme de charte de sécurité de l’entreprise ?Non. Véritablement une politique, qui définit une vision et la mise en ?”uvre des moyens de réalisation de cette vision. Pas question de naviguer à vue en matière de sécurité. On doit pouvoir dire quel type d’information, par
exemple, n’est plus critique alors qu’elle l’était. Une filiale vendue à 50 %, par exemple, n’a plus les mêmes enjeux. Cette politique est donc revue en fonction des développements, des moyens, des réorganisations, des cessions d’activité, etc.
Et généralement renégociée lors des discussions budgétaires. Son intérêt réside dans la cohérence de la sécurité dans l’entreprise. Sans politique, on peut se retrouver avec un véritable blockhaus qui jouxte une salle sans une seule fenêtre
fermée… Mon rôle consiste également à sensibiliser l’entreprise sur les risques induits par l’informatique, mais aussi à prévenir le management des différents pays sur ces risques.L’assistance à la maîtrise d’ouvrage va-t-elle bien au-delà de cette sensibilisation de l’entreprise ?Là, on parle d’aider à la définition de la sécurité sur les projets. Il est vrai, aujourd’hui, que nos responsables de maîtrise d’ouvrage sont de mieux en mieux sensibilisés. Ainsi, ils comprennent que l’on ne peut plus écrire une
application sans contrôle, ni restriction. Avec la sécurité, il faut faire en sorte que tout ne puisse pas marcher ! Paradoxalement, notre rôle consiste aussi à auditer les préconisations sécurité de ces projets, parce qu’elles sont souvent
plus dures que la loi. Enfin, il est essentiel d’identifier les problèmes connexes susceptibles de perturber l’application. Il faut avouer que, dans la réalité, on finit généralement par nous inviter seulement lorsqu’un projet est lancé. Mais nous
nous arrangeons pour être présents tout au long du processus, jusqu’à la mise en production.La sécurité physique ou les éléments juridiques relèvent-ils également de vous ?Je ne m’occupe pas de la sécurité des biens et des personnes. Accor a un directeur de la sécurité physique au niveau du groupe. Nous nous rencontrons, mais il a un tout autre profil, puisque c’est un ancien du ministère de
l’Intérieur. Pour les questions liées à la Cnil ou à une usurpation d’identité, par exemple, je m’appuie sur notre service juridique systématiquement. Un de nos juristes est spécialisé dans les aspects informatiques et traite donc de la
sécurité.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
