Le RSSI, chef d'orchestre de la sécurité

Filtrer par catégorie :

17 Février 2016 by Grégoire Besluau
Grégoire Besluau
On trouve régulièrement dans la presse numérique des articles traitant du RSSI et essayant de positionner son rôle dans l'entreprise. Certains le considèrent comme un technicien de la sécurité, d'autres comme un manager pur et dur appliquant les politiques de sécurité.
Je pense que le RSSI a un rôle très similaire à celui d'un métier vieux de plusieurs siècles : le chef d'orchestre. Certes les activités ne sont pas les mêmes, mais nous allons voir que, dans la méthode, ces deux métiers sont très proches.


Définitions

La définition de Wikipédia 1 :
Un chef d'orchestre est un musicien chargé de coordonner le jeu des instrumentistes des orchestres symphoniques, de jazz, d'harmonie ou de fanfare. Sa tâche consiste, sur le volet technique, à rendre cohérent le jeu de l'ensemble des musiciens par sa gestuelle, notamment en leur imposant une pulsation commune. Il règle par ailleurs l'équilibre des diverses masses sonores de l'orchestre.

Ma proposition de définition du RSSI :
Un RSSI est un gestionnaire chargé de coordonner les activités de sécurité assumées par les différentes fonctions, des administrateurs infra/réseau aux développeurs en passant par le marketing et les VIP. Sa tâche consiste, sur le volet technique, à rendre cohérentes les différentes activités SSI : des contrôles de premier niveau à la révision de l'appréciation des risques et des différentes politiques SSI pour les volets plus organisationnels, en leur imposant notamment des règles de gestion à travers une politique de sécurité commune.

Cet exercice amusant déroulé, je propose d'entrer dans le détail suivant plusieurs points relevés dans les définitions : coordonner, rendre cohérent, imposer et instaurer des règles.

Coordonner

Un des premiers rôles concrets du chef d'orchestre est de faire jouer ses musiciens en rythme et ensemble. Chaque musicien a sa partition à jouer et celle-ci est différente de celle des autres musiciens. Ainsi le chef, de par sa gestuelle, coordonne son assemblée.

Le RSSI a un rôle similaire. Sans pour autant gesticuler, il doit coordonner la sécurité de son SI sur plusieurs fronts et rythmes :

alertes de sécurité : coordonner la résolution de l'alerte avec les acteurs concernés ;
sécurité dans les projets métiers : coordonner les activités de sécurité dans les différentes phases du projet ;
contrôles et revues : coordonner les activités avec les asset owners2 et la DSI et les fonctions de contrôle ;
appréciation des risques SSI : travail de maintien à jour en coordination avec les assets owners, éventuellement les risks owners3 mais surtout les différents acteurs responsables des mesures de sécurité.4
Cette coordination se fait à des niveaux de granularité différents et fait intervenir des acteurs de divers métiers et périmètres, d'où la subtilité de la mission du RSSI !

Rendre cohérent

Une fois que les musiciens jouent ensemble, il faut rendre cohérente la musique, la faire vivre afin qu'elle sonne avec justesse et relief. Pour le RSSI c'est la même chose : si le travail de coordination n'est pas fait en cohérence, il lui sera difficile d'être efficace !
Faire le lien entre les activités de sécurité et leurs objectifs premiers est un exercice trop souvent oublié. Pourtant c’est bien cela qui rend la SSI pérenne ! Par exemple, bien souvent lorsque des tests d’intrusions sont effectués sur une application ou une machine, les résultats sont suivis et les correctifs déployés. Mais savons-nous pourquoi nous déployons ces correctifs et dans quel but ? Si le budget est limité, quelles actions sont à prioriser ? Et si le RSSI n’est plus disponible pendant une période (congés, malade…) qui peut répondre à ces questions ?

En rendant les activités de sécurité cohérentes les unes entre les autres, on permet ainsi d'être :

efficace dans les activités SSI ;
pertinent dans la justification d'une mesure par rapport à un objectif donné (très utile pour les audits) et tracer la réflexion ;
à même de choisir intelligemment les activités à prioriser.
Cette mise en cohérence est un travail difficile. C'est ici que l'on peut évaluer l’efficacité du RSSI. Donner du sens à la sécurité et pouvoir justifier ses actes est une des bases de gestion en général mais qui est souvent mise de côté pour privilégier l'application des procédures : ce travers pose beaucoup de problèmes actuellement en SSI.

Instaurer des règles

Un des principaux rôles du RSSI est de mettre en place des règles de gestions en s'appuyant notamment sur la PSSI5 de l'Entreprise. Cette PSSI n'est pas nécessairement le fruit de son travail puisqu'elle comporte notamment des objectifs fixés par la direction. Par contre, il doit en être le premier porteur.
Afin d'avoir un discours clair et cohérent sur la sécurité, il est bon de parler un langage commun et pérenne via des règles. Tout comme on peut avoir des règles à suivre lorsqu'on conduit une voiture, on aura des règles SSI lorsqu'on veut maintenir ou améliorer la sécurité de son patrimoine informationnel. C'est en instaurant ces règles de sécurité que l'on rend plus compréhensible et transparente l'activité du RSSI, surtout pour des acteurs dont la sécurité ne fait pas partie du métier.

Qui doit suivre ces règles ?
Tous les métiers de l'entreprise sont par définition concernés par ces règles de gestions. Principalement les personnes de l'infrastructure IT, du réseau ou de la production, mais aussi de plus en plus les développeurs IT. On prend aussi conscience que les métiers manipulant des données personnelles ou pouvant simplement se connecter à distance pour travailler doivent également suivre un minimum de règles. C'est au RSSI de définir quelles règles s'appliquent à qui et d'imposer ces résultats. Il doit donc avoir le soutien de sa direction : ce dernier point n’est hélas pas toujours appliqué.  

Imposer

Tout RSSI ayant un peu pratiqué sait qu'il est souvent mal reçu lorsqu'il vient faire appliquer de nouvelles règles de sécurité. Activité difficile puisqu’elle est souvent synonyme de contraintes pour l'utilisateur. Pourtant, imposer des règles relève de sa responsabilité ! Le chef d'orchestre s'égare dans le tempo et perd ses musiciens ? En tant que dirigeant, il est blâmable. On peut faire l'analogie avec la sécurité. Si le RSSI ne maitrise pas les différents processus de sécurité et leur application technique dans les temps et qu’un incident de sécurité survient, il sera responsable de ne pas avoir donné la visibilité requise.

Pour éviter cette situation, il doit :

être soutenu par sa direction pour légitimer ses actions ;
avoir des ressources (humaines notamment) suffisantes pour effectuer les différentes activités de sécurité ;
savoir écouter les exigences métiers et se remettre en cause ;
jouer son rôle de support : il doit se donner les moyens d’aider les métiers et les DSI dans leurs activités de sécurité.
Cependant - et cela sera l'objet d'un autre article - si un incident arrive en dehors de cette chaine, c'est à la direction d’en assumer la faute et non au RSSI d’être pointé du doigt.

Une des différences entre le RSSI et le chef d'orchestre est que, contrairement au chef d'orchestre qui a tous les musiciens à sa disposition et sous son commandement pendant le concert, le RSSI doit lui composer avec les acteurs de différents environnements (ingénieurs de production, administrateurs, métiers...) qui possèdent déjà un ou plusieurs chefs hiérarchiques ! La mission est donc compliquée pour le RSSI qui doit faire travailler des personnes qui ne sont pas sous sa hiérarchie à proprement parler et qui doivent déjà composer avec des requêtes et contraintes issues de leur propre responsable, architecte, manager produit...
Pour atteindre ses objectifs, le RSSI va devoir imposer ses règles SSI, activités de contrôles ou encore ses exigences de sécurité dans les projets métiers qui ne doivent pas être optionnelles mais systématiques. Son travail doit donc être cohérent et coordonné s'il veut obtenir l'adhésion des différentes parties prenantes : il aura dans ce cas moins besoin d'user de son autorité. Et si le RSSI devait disparaitre demain, ses règles perdureront : c'en est l'essentiel !

Pour finir

Le chef d'orchestre, bien que souvent excellent musicien et capable de jouer de plusieurs instruments, ne joue pas pendant un concert. Le RSSI peut en faire de même : ce n'est pas à lui d'effectuer des tests d'intrusions ou encore d’effectuer une revue de droits sur une machine. Cependant, tout comme le chef d'orchestre dans son milieu, il doit être en mesure de comprendre ce que font ses musiciens pour les coordonner plus efficacement, de les guider dans leurs travaux SSI et de prendre toutes les mesures correctives nécessaires.

[1] https://fr.wikipedia.org/wiki/Chef_d'orchestre
[2] Il est de plus en plus fréquent que ce soit la direction des risques qui gère cette activité, notamment dans les grands groupes. Dans ce cas le RSSI joue un rôle de support.
[3] Le risk owner (propriétaire d'un risque) est la personne morale ou physique responsable en cas d'occurrence d'un risque sur son périmètre : il définit les niveaux de risques acceptables (en les suivant dans le temps), valide les moyens de traitement (réduction, transfert, acceptation) et alloue les ressources.
[4] L'asset owner (propriétaire d'un actif) est la personne morale ou physique garante de l'actif sur les aspects d'utilisation, de développement et de sécurité. Il n'est pas nécessairement le propriétaire au sens légal du terme. Il doit maintenir le niveau de sécurité de l'actif tel que défini avec le risk owner.
[5] Politique de sécurité du système d'information.