Avec la nécessité pour les entreprises de développer des stratégies face aux nouvelles menaces informatiques, le rôle du Responsable de la Sécurité des Systèmes d’Information est de plus en plus connu.

Avec lui, il est possible d’aborder de nouvelles problématiques, telles que la sécurité des applications en ligne, les modes de stockage, le concept du BYOD (Bring your own device) ou encore l’utilisation de supports mobiles tels que les ordinateurs portables ou les Smartphones.

Mais toutes les entreprises peuvent-elles se permettre le recours en interne à des compétences aussi spécialisées ? Quelles sont les missions du responsable de la sécurité des systèmes d’information, et comment ses responsabilités se définissent-elles vis-à-vis de la DSI ou encore de la direction de l’entreprise ? Telles sont les questions que nous allons tâcher d’aborder dans cet article.

 

RSSI : pour quelles entreprises ?

Toutes les entreprises ne disposent pas forcément d’un responsable de la sécurité informatique. Selon une étude réalisée par le CLUSIF, le club de la sécurité informatique, c’est dans les entreprises de plus de 200 personnes que l’on trouve le plus souvent ce poste, avec 54 % d’entreprises privées concernées.

Pour des infrastructures publiques de même taille, de type collectivités territoriale, le responsable de la sécurité des systèmes d’information est présent à 32 %. Mais dans des structures de moindre importance, le rôle du responsable de la sécurité des systèmes d’information sera généralement tenu par le directeur des systèmes d’information ou le directeur informatique.

Les principales missions du RSSI

Établir la politique de sécurité du système d’information

Parmi les principales missions du responsable de la sécurité des systèmes d’information, on peut citer le suivi et l’application de bonnes pratiques de sécurité, tels que des normes ISO par exemple. De là lui revient la mission de structurer et de formaliser la vision de la sécurité du système d’information de l’entreprise, a travers par exemple la mise en place d’indicateurs de sécurité, permettant d’identifier les écarts entre le planifié et de réalisé, de vérifier l’efficacité des mesures prises en matière de sécurité, d’établir des comparatifs entre les différents services, de piloter, de communiquer ou encore de déclencher des actions correctrices.

Le responsable de la sécurité des systèmes d’information est également en charge de la gestion des incidents liés à la sécurité, mais dans ce domaine, il n’est pas simplement cantonné aux aspects techniques. Il lui incombe en effet le traitement des crises et des incidents, notamment pour ce qui est des enjeux juridiques.

Pour ce qui est des préconisations et des applications pratiques, si le responsable de la sécurité informatique a un rôle à jouer, il est parfois limité de par sa position hiérarchique au sein de l’entreprise.
Car bien souvent, le RSSI n’est pas rattaché directement à la direction de l’entreprise, mais avant tout à la DSI. Il en résulte de potentielles situations de conflit, lorsque le RSSI souhaite voir évoluer les applications obsolètes de l’entreprise, ou lorsqu’il souhaite ajouter des protections supplémentaires au système d’information, au risque d’en ralentir le fonctionnement ou d’en diminuer l’utilisabilité.

Sensibiliser les collaborateurs

Au-delà de l’établissement de la politique de sécurité, une autre des grandes missions du responsable de la sécurité des systèmes d’information, c’est la sensibilisation des collaborateurs de l’entreprise.

Parce que des phénomènes tels que l’usage des appareils privés au sein du réseau de l’entreprise peuvent avoir, au final, de lourdes conséquences, il est important d’en cerner les risques et d’en contrôler les usages. Ce que l’on appelle plus communément le BYOD se caractérise en effet par des employés qui travaillent avec des terminaux personnels, qui installent des applications non vérifiées par la direction informatique ou encore qui stockent leurs données sur du Cloud gratuits. Il en résulte une mise en danger beaucoup plus importante des données de l’entreprise et l’introduction de nouvelles failles au sein du système d’information.

En fonction de la proportion des effectifs qui accèdent à des données sensibles, on constatera des efforts différents à réaliser en matière de prise de conscience des risques et des menaces, de responsabilisation des personnes et de modification des comportements. Le responsable de la sécurité des systèmes d’information se doit non seulement d’accompagner les utilisateurs, mais aussi de prendre position vis-à-vis de ces sujets, même si le dernier mot revient à la direction.

Et en effet, pour pouvoir effectuer sa mission dans de bonnes conditions, le responsable de la sécurité informatique à nécessairement besoin de l’aval et du soutien de la direction. Sans ce soutien, c’est la porte ouverte à ce que les informaticiens, comme les collaborateurs, ne prennent pas au sérieux les problématiques de sécurité informatique et les risques s’y apparentant.

Pour légitimer ses actions, le RSSI devra s’appuyer sur les contraintes réglementaires, les audits de sécurité informatiques internes et sur l’intégration des aspects de sécurité dans le volet RH.
Ainsi, du côté de l’accompagnement, on peut penser à des initiatives telles que la mention de la politique de sécurité informatique à l’intérieur des contrats de travail, dans le règlement intérieur de l’entreprise, dans l’élaboration d’une charte informatique, ou encore à travers les entretiens annuels.

Et pourquoi pas externaliser la fonction de RSSI

Ainsi, de plus en plus en phase avec les enjeux de sécurité rencontrés par les entreprises, la fonction de RSI n’est pourtant pas ouverte à toutes les structures. Pour des PME ou des TPE, l’externalisation de cette fonction peut se révéler une opportunité intéressante notamment en matière d’optimisation des coûts.

Ainsi, en faisant appel à un prestataire externe, l’entreprise a la possibilité de disposer des compétences d’un professionnel expert dans son domaine, tout en faisant ne faisant appel à lui que ponctuellement. De plus, le recours à cet intervenant apportera à l’entreprise une crédibilité supplémentaire en matière de sécurité informatique vis-à-vis des clients ou des partenaires.
De ce prestataire, on attendra qu’il comprenne les enjeux et les processus de l’organisation, et qu’il sache être un meneur de projets pour pouvoir travailler avec efficacité à la fois avec les informaticiens de l’entreprise et les collaborateurs lambda.

 

Ainsi, en charge de l’élaboration de la politique de sécurité des systèmes d’information, le responsable de la sécurité des systèmes d’information se doit de posséder une expertise pointue en matière de sécurité informatique, et notamment dans l’identification des nouvelles menaces.

Il se doit d’être à même de protéger le patrimoine informationnel de l’entreprise et de gérer les risques et les incidents, mais aussi et surtout d’accompagner les collaborateurs et de les sensibiliser, dans le quotidien de l’entreprise comme dans la mise en place de nouveaux projets.

Si toutes les entreprises ne peuvent se permettre le recours un tel spécialiste en interne, il reste la solution de l’externalisation, qui apporte des réponses tant sur le plan de la spécificité des compétences que sur la réduction des coûts.