Qui détient le pouvoir ? Ceux qui font tourner les applications ou ceux qui défendent les secrets de l'entreprise ? La position du RSSI est parfois difficile.
La dernière conférence thématique du Clusif en juin dernier à Paris sur le rôle du RSSI a montré les difficultés inhérentes aux structures informatiques lourdes. Le CLUSIF, club de la sécurité informatique a rappelé que les RSSI (Responsables de la sécurité des systèmes d'information) étaient désormais présents dans la plupart des secteurs professionnels. Inconnu dans les années 70, le poste de RSSI existe désormais dans 54 % des entreprises privées, interrogées dans le cadre de l'enquête 2012 du Clusif sur les entreprises de plus de 200 personnes, et dans 32 % des collectivités territoriales. Pour autant, la définition et l'exercice de cette fonction diffèrent beaucoup d'une entreprise à l'autre. L'organisation en mode «râteau» avec un directeur par service suit d'abord la hiérarchie et l'historique «maison». Celui-ci repose souvent sur des rachats successifs. Pour beaucoup d'entre elles, la division sécurité a débuté dans d'autres domaines (détection incendie, normes de fabrication, protection des ouvriers) que celui de l'informatique et dépend alors directement de la direction générale.
Sous la coupe du service informatique, la sécurité tend à se démarquer
La dépendance vis-à-vis de la direction du système d'information est réelle et peut conduire à de vrais conflits ou du moins à des tensions parfois inutiles. L'exemple le plus connu est celui du Byod (Bring Your Own Device) où la direction générale demande à la direction informatique des outils de reporting sur les Smartphones et tablettes, un cas ou souvent les RSSI ne sont pas consultés. A ce propos le 3 octobre 2012, Patrick Pailloux, lors d'une conférence d'ouverture des Assises de la Sécurité, le directeur général de l'Anssi (agence nationale de sécurité informatique) poussait carrément à l'affrontement. «Il y a des solutions, ou du moins elles commencent à pointer leur nez, qui permettent de répondre au besoin de mobilité et qui s'adaptent tant bien que mal aux nouvelles technologies.
Mais Je vais vous dire ma vision des choses : il faut entrer en résistance contre la liberté totale dans l'usage des technologies de l'information. Dans une entreprise : non on ne travaille pas avec son terminal privé, non on ne connecte pas un terminal contrôlé par un tiers, non on n'installe pas le dernier joujou à la mode, non je ne mets pas les données de mon entreprise dans le Cloud gratuit, non je ne mets pas au même endroit mes données sensibles et les autres, non je ne laisse pas mon ordinateur connecté si je ne suis pas là.
La sécurité c'est aussi avoir le courage de dire non.
Évidemment, c'est au patron de l'entreprise d'assumer ces règles et croyez-moi, c'est comme l'hygiène, c'est possible. En matière de sécurité, pardonnez-moi cette référence détournée : il est autorisé d'interdire»
(http://www.ssi.gouv.fr/fr/anssi/evenements/discours-de-patrick-pailloux-directeur-general-de-l-agence-nationale-de-la.html)
Pour bien des RSSI pourtant, le travail de sécurité se limiterait à une forme d'accompagnement et de «défense passive» face à une informatique toute puissante. Seule la politique d'information des utilisateurs sur les postes clients masque parfois une réelle inertie générale sur les serveurs et réseaux. Pour la plupart des entreprises, cette actuelle inertie n'est que le reflet de budgets limités qui s'opposent parfois à des travaux herculéens pour remettre tous les ordinateurs en conformité avec les politiques de sécurité mises en place.
Coincé entre les utilisateurs et la DSI
Entre la défiance des utilisateurs et celle du service informatique, inquiet d'une remise en cause de ses prérogatives, la vie du RSSI est souvent une éternelle négociation, tendue. Pour être efficace en termes de sécurité, il faudrait dans beaucoup d'entreprises souvent repenser des applications entières avec, par exemple, la mise à jour de systèmes transactionnels conçus lorsque internet n'existait pas. C'est malheureusement souvent impossible de vraiment changer la situation en profondeur tant les investissements sont importants. Le directeur informatique a depuis quelques années parfois l'impression qu'il ne fait que maintenir l'existant en état de fonctionnement avec un budget de plus en plus réduit et que le service sécurité surveille tous ses faits et gestes. De son côté, le RSSI a, lui, parfois l'impression d'être à l'écart et de ne servir à terme que de fusible en cas de problème. Un RSSI du secteur alimentaire, qui n'a pas voulu être cité pour des accords de confidentialité, nous a avoué avoir été en conflit permanent avec sa direction informatique. «Chez les RSSI, il y a ceux qui se résignent et qui ne font que l'essentiel et ceux qui luttent tous les jours pour améliorer la situation. Dans les deux cas, les conflits d'intérêt avec la direction du système d'information sont souvent latents.» Chaque fois, par exemple, que l'on installe le moindre pare-feu ou des filtres logiciels, ce sont les débits des applications qui sont ralentis. Chaque modification dans la sécurité engendre des modifications de paramétrage dans les applications stratégiques. Cela soulève souvent des tensions pour intégrer les opérations de sécurité dans le planning de maintenance. «Personne n'en parle ouvertement, précise Gérard Rio, le créateur des assises de la sécurité, mais si les RSSI aiment se retrouver entre eux, c'est souvent pour identifier les mêmes contraintes dans un environnement difficile. L'événement de Monaco qui rassemble acteurs, utilisateurs finaux et décideurs de la Sécurité des Systèmes d'Information (RSSI, DSI, DI, Risk managers, CIL) traite non seulement des problématiques sécuritaires mais de plus en plus des problèmes de ressources humaines liés à ces activités.»
La communication reste le meilleur moyen de faire passer ses idées
Même si le culte du silence fait partie des repères en sécurité, il y a aussi des RSSI frondeurs qui racontent ce qu'ils changent dans l'entreprise ou les collectivités locales. On se souvient ainsi du licenciement du RSSI de l'état de Pennsylvanie aux USA, Robert Maley, début 2010 à la suite d'une conférence RSA qui avait marqué les esprits. Maley avait détaillé une faille d'un site web qui servait de système d'inscription aux examens du permis de conduire. Elle avait permis à certaines auto-écoles de son état d'inscrire tous leurs élèves sans délais. Une faille anodine qui en ridiculisant un peu le service informatique local avait déclenché les hostilités. Pour l'avocat de Robert Maley, l'état de Pennsylvanie, l'employeur de Maley s'était servi de cette histoire pour mieux suivre ses objectifs de réduction de personnel et de budget sécurité.
Pour Thierry Chiofalo du Clusif les deux points de vue, celui du directeur informatique (DI) et du du RSSI doivent se concilier. Au sein de l'organisme, la sécurité du SI doit permettre d'optimiser les processus de la chaîne de valeur. Ce faisant, elle peut devenir un facteur de maîtrise des coûts. La politique de communication et de diffusion de la SSI se veut générale, chaque acteur de l'entreprise devant regarder dans la même direction. Ainsi, le RSSI doit organiser un véritable «business model» et attacher une grande importance à la communication.
Dépendre de la DSI ou de la direction générale ?
Si idéalement pour le Clusif, le RSSI est rattaché à la direction de l'entreprise, informatique et sécurité informatique vont se stimuler. Pourtant, ce n'est le cas que dans 32 % des entreprises. Les RSSI récemment nommés au sein des PME et PMI, selon le Clusif, sont encore souvent rattachés à la DSI; un glissement de la DSI vers la Direction Générale ou autre direction de type «Audit et Contrôle» pourrait s'opérer dans les prochaines années.
Le RSSI n'est pas théoriquement dépendant du service informatique et il doit d'abord entretenir des relations avec tous les acteurs de l'entreprise. La direction générale, qui détient le pouvoir décisionnel et les budgets, peut devenir un moteur des projets sécurité, si on lui explique les enjeux et les risques de ne pas agir à temps. Pour les RSSI, les directions métier sont des influenceurs essentiels vers les utilisateurs, en contact direct avec le monde extérieur et les enjeux commerciaux.
Dans les phases projets logiciels, le RSSI doit intervenir pour organiser une maîtrise de la sécurité en amont. Il doit suivre les indicateurs, réaliser une veille et analyser les risques au quotidien. Ponctuellement, il gère les incidents de sécurité.
Pour l'informatique, en général il s'agit actuellement encore de réduire les coûts d'exploitation et d'intégrer les nouvelles pratiques issues d'une consommation courante de l'informatique. La bataille sur l'accès ou non aux réseaux sociaux et à tout internet, tout en favorisant une meilleure productivité n'est pas facile à mettre en œuvre. Du côté méthodes de développement surtout avec une infogérance galopante, il faut souvent réduire l'adoption hâtive de systèmes qui «court- circuitent» la sécurité et enfreignent les politiques de sécurité mises en place. La plupart des nouvelles technologies (Wifi, claviers sans fils, blogs d'entreprises) sont vues par la sécurité comme des failles dangereuses dans le périmètre de sécurité que le RSSI maintient coûte que coûte.
Le RSSI, un homme seul
Enfin, selon Thomas Olivet, responsable du pôle conseil d'Harmonie Technologie, une SSII spécialisée en sécurité : «Le RSSI est souvent seul, avec peu de moyens propres, il doit donc convaincre d'autres contributeurs qui ne sont pas sous sa responsabilité. Idéalement, chaque employé de l'entreprise, pour la sécurité, doit être mis à contribution». Ces utilisateurs pourront être mobilisés en intégrant la sécurité via les ressources humaines par les contrats de travail, le règlement intérieur, la charte informatique ou encore les objectifs personnels. Les critères de sécurité deviennent des besoins d'accessibilité, d'identité, de confidentialité et de traçabilité des produits manufacturés. Toutes ces évolutions sont autant de modifications des applications, un travail supplémentaire que doit accepter le service informatique. Bref, la politique de gestion des risques, au-delà de celle de la protection des données doit s'inscrire dans une démarche collaborative ou sécurité et informatique doivent s'entendre absolument.
