Secu
RSSI et DAF : vers une coopération profitable
Par CESIN, publié le 05 mars 2018
La direction administrative et financière a été l’un des premiers secteurs de l’entreprise à avoir mis en place des systèmes d’information pour optimiser ses processus. Dans certaines organisations de taille moyenne et où l’activité est dédiée à la production, on constate parfois que le directeur financier encadre la DSI. Le directeur de la cybersécurité (RSSI ou CISO : Chief Information Security Officer) est encore trop régulièrement rattaché administrativement au DSI bien qu’il ait des actions transverses dans presque tous les autres domaines de l’entreprise. C’est donc souvent par le biais de cette DSI que les relations avec le directeur financier s’opèrent.
Une multitude de points d’adhérence
Pour autant, c’est par la taille de l’entreprise et l’application de standards internationaux qu’une fonction Audit rapportant au conseil d’administration, vient challenger les actions du DAF et auquel le CISO peut alors se rapprocher. Ce dernier définit une politique sécurité de l’information et contrôle l’application des standards de sécurité issus de la politique et contrôle son application ; il s’assure aussi de réduire les risques et menaces auxquels est confronté l’entreprise.
Le DAF est responsable de plusieurs processus importants de l’entreprise pour essentiellement limiter le risque de fraude : la séparation des tâches (SoD) en coopération avec la RH qui autorise les droits d’accès aux systèmes d’information, la co-validation du plan de recouvrement des systèmes d’information qui est aussi validé par le comité de direction et comprend la durée de conservation des documents électroniques (nécessité de conserver le système financier opérationnel sur 5 ans et un historique de 10 ans des données financières), ainsi que la revue de nombreux processus relatifs à la gestion des stocks des mouvements de produits, des achats et tous les mouvements financiers : paye, gestion des actifs /passifs bancaires. Il est aussi parfois responsable de l’assurance contre les risques et de la sécurité physique des accès aux bâtiments ; autant de domaines connexes avec le CISO.
Un dialogue sur l’investissement dans la cybersécurité
Au sein du CESIN (Club des Experts de la Sécurité et de l’Information Numérique) et en partenariat avec OpinionWay, nous avons lancé un sondage auprès de ses membres (près de 400 RSSI et directeurs de la sécurité des SI d’entreprises françaises), pour étudier entre autres les investissements dans le domaine de la cybersécurité. Le budget est l’un des objets de nos discussions et 2017 – 2018 verra une augmentation des budgets relatifs à la protection de l’information. Nous pensons aujourd’hui qu’un budget compris entre 6 et 10% du budget SI doit être dédié à la sécurité de l’information ; comme c’est déjà le cas dans le domaine de la banque assurance.
Le rôle du CISO est d’analyser les risques sur le capital informationnel de l’entreprise et de proposer des actions pour faciliter la mise en place et l’exécution des contrôles dont ceux supervisés par la direction financière ainsi que ceux de la direction informatique*. A ce titre, il propose des investissements dont : l’installation de solutions techniques, une organisation capable de gérer ces solutions et, définit les processus associés. De l’autre côté, le DAF s’assure que les investissements permettent le développement de l’entreprise.
Une grande partie de la protection des données tient dans l’efficacité de la coopération entre ces deux acteurs importants du fonctionnement de l’entreprise. Le CISO doit réussir à convaincre la direction financière et la DSI des investissements nécessaires pour réduire les risques et préserver l’entreprise.
*Il s’agit majoritairement de vérifier l’état « sanitaire » des infrastructures (Maintien en Condition Opérationnelle) sous la responsabilité du Chief Technical Officer (CTO) qui doit produire un rapport mensuel de l’application des standards de sécurité.
Tribune réalisée par Michel Juvin, membre du CESIN
