Du RSSI au Directeur des risques numériques

Filtrer par catégorie :

20 Avril 2016 by Jérôme Richard
Jérôme Richard

Rôle et périmètre d’action du RSSI

Dans sa nomenclature des métiers 2015, le CIGREF définit le Responsable Sécurité des Systèmes d’Information (RSSI) d’une organisation comme étant chargé de "définir la Politique Sécurité du SI (PSSI) et de veiller à son application. [Il] assure un rôle de conseil, d’assistance, d’information, de formation et d’alerte".

Rattaché à la DSI (Direction des Systèmes d’information) ou à la Direction Générale de l’organisation - en regard des enjeux et risques portés par le SI (notamment juridiques) - son périmètre d’action porte sur un ensemble de thématiques organisationnelles et techniques telles que définies dans l’annexe A de la norme ISO 27001:2013.

Selon le secteur d’activité et la taille de l’organisation, un responsable de la Sûreté complétera son action sur la base des exigences SSI relatives aux thématiques de sécurité physique des personnes, de l’environnement et des locaux que le RSSI aura formalisé.

La transformation numérique, ses enjeux et impacts sur les Systèmes d’Information

Les Systèmes d’Information ont connu plusieurs mutations. La dernière d’entre elles, et non des moindres, porte le nom de transformation numérique. Selon Wikipédia, la transformation numérique (ou Digital) "[…] fait référence aux changements induits par l’utilisation de technologies numériques dans les différents aspects de la société humaine".

Ce concept –tout comme le nom qui le désigne- est décliné selon le contexte. Par exemple, la quatrième révolution industrielle (ou Usine 4.0) fait référence à la transformation numérique appliquée aux moyens de production industrielle (incluant le SI Industriel) ; l’entreprise numérique est quant à elle le résultat de la transformation numérique de la chaîne de production d’une entreprise. Elle est d’ailleurs définie par le CIGREF comme "une entreprise qui tire une partie de sa valeur de la numérisation de ses activités".

Ces termes "marketing" regroupent un ensemble d’évolutions et d’innovations technologiques développées ces dernières années et impactant autant l’architecture que les usages et l’organisation du SI (IoT, Cloud Computing, Systèmes Cyber-Physiques, Big Data, Blockchain, BYOD, mobilité, digital working, …).

Si l’adoption de ces technologies et usages est une opportunité de création de valeur pour les métiers sur l’ensemble de leur chaîne de production (solutions de business et de marketing numérique, digital desktop, ...), ce changement induit également l’émergence de nouveaux scénarios de risques sur les Systèmes d’Information associés. Les exemples suivants sont directement issus de cette transformation :

Risque « systémique : du fait des nombreuses interconnexions entre SI (d'Entreprise et Industriels), l’exploitation d’une vulnérabilité sur une partie de la chaîne de création de valeur impacte l’ensemble de cette chaîne ;

Risques juridiques : l’hébergement, la consultation ou la manipulation de données à caractère personnel ne respectant pas le cadre de loi local (Loi Informatique et Liberté du 6 janvier 1978, directive européenne n°95/46/CE sur le transfert de données hors de l’Union européenne, …) induit des risques de procès ;

Fuite de données stratégiques et/ou confidentielles : la multiplication de nouveaux usages (BYOD/mobilité, télétravail, plateformes collaborative, …) complexifie la sécurisation des informations manipulées et augmente ainsi le risque de fuite de données sensibles.

Atteinte à l’e-réputation : l’impact et la probabilité d’occurrence de ce risque préexistant sont accentués par la multiplication des canaux de communication que l’entreprise a déployés dans le cadre de sa stratégie numérique (pages Facebook, LinkedIn, Viadeo, forums, sites web, Blog, Twitter, …).

- …

Conséquences sur le rôle du RSSI

L’information – y compris sensible- dont la diffusion était relativement contrôlée, est désormais échangée avec un nombre croissant d’interlocuteurs (clients, SI internes ou partenaires) pour y être consultée, enrichie, transformée et même hébergée en dehors des Datacenters de l’entreprise.

Le « barycentre » du SI de l’entreprise s’en trouve modifié, impliquant de faire évoluer le rôle du RSSI. Celui-ci doit revoir son périmètre d’action afin de se doter d’une approche globale, seule à même d’assurer une couverture satisfaisante des risques portant sur les SI. Ceci implique notamment :

de disposer de compétences sur les concepts et technologies liés à la transformation numérique afin de mesurer leur impact sur le SI tels que - par exemple - les liens logiques et physiques induits (SIE, SII, Sûreté) et les risques associés ;

de contribuer au plan de conduite du changement (définition, suivi et pilotage) sur la thématique des risques SSI spécifiques à la transformation numérique, au travers d'actions de formation et de sensibilisation des parties prenantes ;

de contribuer à une évolution maîtrisée (au sens SSI) des processus, services et environnements, en accompagnant les acteurs (métier, DSI) tout au long des projets de transformation digitale ;

de contribuer - en lien avec la Direction juridique

à la formalisation d'exigences SSI destinées à couvrir les risques d'ordre juridique liés à ce contexte (cycle de vie de l'information, auditabilité du SI, réversibilité, ...) ;

d'influer sur la gouvernance d'entreprise au regard des enjeux de cette transformation pour l'organisation (lien entre DSI, métier et digital, rôles et responsabilités, ...).

Conclusion

Le rôle du RSSI a évolué en lien avec les différentes mutations qu’ont rencontré les Systèmes d’Information. D’expert technique, il est devenu chef de projet aux compétences multiples, capable de définir une politique SSI mais également de coordonner sa mise en œuvre, tant sur le plan technique que sur le plan juridique ou organisationnel. Il doit à nouveau évoluer pour devenir artisan de la confiance numérique en communiquant vers les métiers et accompagner plutôt que subir les transformations à venir.

Références

[CIGREF1] Nomenclature des métiers 2015:
    http://www.cigref.fr/nomenclature-rh-cigref-nouveautes-2015

[ISO1] ISO 27001:
    http://www.iso.org/iso/fr/iso27001

[WIKI1] "Digital transformation":
    https://en.wikipedia.org/wiki/Digital_transformation

[CIGREF2] Les risques numériques pour l'entreprise:
    http://www.cigref.fr/les-risques-numeriques-pour-lentreprise

[WIKI2] Internet des Objects:
    https://fr.wikipedia.org/wiki/Internet_des_objets

[ECO1] Digital Center ECONOCOM: Exemples d’application de la transformation numérique appliquée aux domaines de la santé, de l’éducation, et de la mobilité:
    http://www.econocom.com/innovation/the-digital-center

[LEGI1] "Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés":
    https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460

[LEGI2] "Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995 [...]":
    http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:31995L0046