SPECIAL FIC : 6 actions pour résister aux cybermenaces de 2030

Bien positionner le RSSI dans l’organisation

Le responsable de la sécurité des systèmes d’information est un acteur essentiel dans l’entreprise pour structurer les efforts en matière de réduction du risque numérique. À condition de recruter la bonne personne et de la positionner au bon endroit de l’organigramme.

« Lorsque nous intervenons auprès de directions générales pour leur apprendre de nouveaux réflexes cyber, c’est parce qu’elles sont conscientes de leur forte dépendance à l’IT. Mais aussi du fait que ce sont elles qui devront répondre aux questions des journalistes, des clients et des actionnaires en cas d’attaque informatique. Pas la DSI… », constate Sébastien Jardin, instructeur en crise cyber chez IBM. La sécurité est donc une affaire de direction, avec comme interlocuteur privilégié le RSSI.

« Le RSSI doit avoir culture et compétences, afin de maîtriser les deux faces de la pièce qu’est la cybersécurité : la face technique et la face métier. Ce doit être “le meilleur ami” de la direction, mais aussi des métiers. Car ceux-ci doivent pouvoir le solliciter en cas de doute, ou suite
à une manipulation ayant pu mener à une compromission du système d’information. »

Il n’est dès lors pas étonnant que ce responsable soit de plus en plus choisi parmi les experts en sécurité offensive, ces profils s’intéressant de près aux usages – et donc aux usagers – de l’informatique. D’une part, leur regard critique sur les solutions IT est un atout. D’autre part, pourvu qu’il ait les qualités humaines ad hoc, il est plus à même de convaincre et de mobiliser les utilisateurs, pour en faire le meilleur rempart possible contre les attaques.

Mais que peut bien faire un RSSI sans moyens et sans pouvoirs ? « Un RSSI doit avoir les moyens de disposer d’une vue holistique du risque numérique. Il doit donc pouvoir échanger d’égal à égal avec toutes les directions et être présent – ou au moins représenté – au Comex », résume Sébastien Jardin. Se pose dès lors la question de son positionnement dans l’organisation de l’entreprise.

Rattacher le RSSI à la direction du risque plutôt qu’à la DSI

L’erreur classique consiste à rattacher le RSSI à la DSI. Car la DSI est une fonction support, dépendant souvent de la DAF, et que cela place le RSSI dans une position très inconfortable, lui qui doit proposer, voire prendre, des décisions stratégiques.

« Rattacher le RSSI à la DSI peut être source de difficultés, confirme Sébastien Jardin. Imaginons que le RSSI décide de renforcer la politique d’application des correctifs. La DSI n’aura pas forcément le temps ou les moyens financiers de concrétiser ce plan d’action. Elle pourrait donc décider de ne pas l’appliquer. Ces difficultés peuvent même tourner au conflit d’intérêts : face aux réticences de la DSI, le RSSI pourrait décider de basculer certains actifs stratégiques vers le cloud, afin que les derniers correctifs de sécurité leur soient toujours appliqués. Mais la DSI perdrait alors une partie de son budget de fonctionnement ou de ses collaborateurs… »

Dans un monde idéal, le RSSI, responsable de la sécurité de la pièce essentielle de l’entreprise qu’est son système d’information, devrait être indépendant de la DSI et représenté au Comex de l’entreprise. Dans la pratique, ce n’est encore que trop rarement le cas. « Faute de le faire siéger au Comex, il est possible de le rattacher à une direction qui sera capable de faciliter son action. Par exemple la direction des risques. » DAVID FEUGEY

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !

Suite de l'article : 1234567