Avant de rentrer dans le vif des débats, un point a été fait sur les problématiques posées par l’externalisation et les moyens de contrôle de ce type de projet. Pour les différents intervenants, il faut penser en termes de stratégie et non de coût. L’objectif pour une entreprise est avant tout de savoir pourquoi elle fait de l’externalisation et ce qu’il est pertinent d’outsourcer.

A partir du moment où une entreprise externalise, elle se trouve contrainte d’octroyer sa confiance à de tierces personnes. Une étape difficile, à la fois dans le choix du prestataire, mais aussi sur le long terme, afin d’être assuré du niveau de service apporté. Quels sont alors les moyens de contrôles qu’une entreprise peut exiger de ses prestataires ? Comment s’assurer que le prestataire choisi fait bien son travail ? Une entreprise ne peut pas, à l’heure actuelle, auditer son prestataire, toutefois elle peut se fier dans son choix à ceux respectant le standard SAS70. Le principal champ d’action qui s’offre à elle est d’ordre contractuel. Elle devra donc être particulièrement vigilante sur les différentes clauses. Même s’il est difficile dans la pratique d’établir un contrat-type, celui-ci doit a minima spécifier le niveau de service exigé et de confidentialité des données, et contenir une clause de réversibilité. L’entreprise doit également contrôler de manière régulière le niveau de service du prestataire, et lui demander un suivi des résultats et de son activité, afin de s’assurer qu’il ne relocalise pas son traitement ou ne sous-traite pas à un tiers.

Dans le cadre de l’externalisation, le RSSI a surtout un rôle de conseil. Son expérience permettra, en outre, de mettre en exergue les écueils, notamment au niveau contractuel.

La SSI vue depuis la DSI

La relation existante entre DSI et RSSI a également été abordée au travers du témoignage d’un DSI. Pour lui, le rapport existant entre ces deux fonctions est avant tout une affaire de construction commune, pas de confrontation.

Le DSI et le RSSI ont à la fois des parcours parallèles et divergents. Parallèles… car le SI s’avère être de plus en plus stratégique pour l’entreprise. La sécurité du SI devient donc fondamentale et prégnante partout. De plus, ils ont pour même optique de rendre ces problématiques complexes intelligibles et accessibles aux utilisateurs. Divergents… en raison de l’opposition « Time to Market vs Sécurité ». La DSI a, en effet, peur de l’impact de la sécurité sur la livraison des projets et le bon fonctionnement du SI. En outre, le RoI est impossible à calculer et le risque réel très difficile à mesurer.

Pour la DSI, le RSSI doit être à la fois :
– Un « business partner » : la sécurité doit être un facilitateur permettant le développement du business. Le RSSI doit être aligné au business, à l’écoute des besoins business, car c’est le business qui prime.
– Un Risk Manager : qui doit évaluer le niveau de risque sur la base de la stratégie de l’entreprise, de la gestion de risque business, du niveau de maturité de la DSI, et adapter ses politiques à ce contexte là.
– Un analyste/ concepteur / contrôleur : toutefois, il vaut mieux laisser à la production la responsabilité opérationnelle du PRA.
– Pragmatique : il doit adapter la politique sécurité aux enjeux, aux risques et aux bénéfices, en tenant compte de la faisabilité.
– Un communicant : vers le business (parler son langage et connaître les enjeux), le management (vulgariser), mais aussi les collègues (sensibiliser). Quoiqu’il en soit, il faut proscrire le jargon métier.

Gérer l’ultra-mobilité

L’ultra-mobilité s’impose aujourd’hui massivement en entreprise. Si elle veut rester dans la course et répondre aux attentes business, elle n’a d’ailleurs plus vraiment le choix. Mais comment gérer ces utilisateurs qui utilisent de multiples devices ? Quelle stratégie adopter ? En la matière, les différents participants déplorent notamment le manque de maturité des solutions existantes, qui sont soit des solutions de sandbox, soit de gestion de flotte. Certains préconisent de focaliser la sécurité sur l’information, les applications et bases de données, peu importe le device utilisé pour y accéder.

Expertise technique : une "denrée" qui se fait rare

Comment maîtrisez-vous votre savoir-faire technique en matière de sécurité ? Comment s’assurer que les gens en interne ou en externe soient suffisamment compétents pour garantir la sécurité ? Qu’il s’agisse de l’embauche d’un expert en interne ou du choix d’un prestataire externe, le niveau d’expertise technique n’est pas toujours évident à évaluer. Pour ce faire, il est nécessaire de tester les éventuels candidats en situation opérationnelle. Toutefois, pour être à même de juger de leur pertinence et avoir un bon niveau de compréhension avec les experts, les RSSI doivent aussi avoir un background technique.
Quoiqu’il en soit, force est de constater que les compétences et l’expertise technique ont tendance à diminuer et se font de plus en plus rares, certainement en raison du manque de reconnaissance de ce métier en France. Ce phénomène a un impact direct sur le niveau de sécurité global des entreprises. Il est aujourd’hui difficile de trouver des experts, mais aussi de mesurer le niveau de l’expertise.

MOA / MOE : la nouvelle articulation de la SSI

La tendance est au partage de la responsabilité entre les métiers et la SSI. Les uns sont mieux à même d’évaluer ce qui est important pour eux tandis que la dernière est capable de proposer et d’appliquer des solutions. Quels que soient le partage des rôles et l’articulation de la SSI, il en ressort que la fonction d’accompagnement dans la logique sécurité ne doit pas être dédiée à une seule et même personne, mais à un consortium de compétences pluridisciplinaires. On demande beaucoup trop de choses aux RSSI.

Politique de gestion de l’information : nécessaire mais complexe

Face à la quantité d’informations qui envahit aujourd’hui les entreprises, le besoin de mettre en place une politique de gestion de l’information se fait réellement sentir. Toutefois, cette mise en œuvre nécessite à la fois une classification des données, et une gestion des droits efficiente, avec différents niveaux d’accès et de confidentialité. C’est donc toute l’organisation qui s’en trouve modifiée, ce qui rend la tâche complexe.

Bring Your Own Device : quand les utilisateurs choisissent leur terminal

Certaines entreprises proposent désormais à leurs collaborateurs d’utiliser le téléphone mobile ou l’ordinateur portable de leur choix. Mais comment sécuriser une flotte de téléphones, smartphones, tablettes ou de laptops aussi hétéroclites ? L’utilisation de ces terminaux hétérogènes est aujourd’hui inévitable en entreprise, poussée à la fois par les directions générales ou les jeunes générations. Toutefois, la problématique des besoins métier est encore peu développée, car ces devices sont aujourd’hui très peu utilisés pour les applications métier. De plus, la sécurité du device n’est pas un enjeu en tant que tel, contrairement à la protection de l’information.
Néanmoins, il est nécessaire d’établir une charte spécifique à l’utilisation des devices personnels.

Filière sécurité : les opérationnels doivent s’imposer

L’organisation de la filière sécurité dépend de la taille de la structure. Le RSSI évolue aujourd’hui vers la notion de RSI (Responsable de la Sécurité de l’Information). Plus ça va, plus il s’éloigne de la technique. Il est généralement l’intermédiaire entre la direction générale et l’opérationnel. Il est souvent rattaché à la DSI, et de plus en plus au risque opérationnel.
La PSSI évolue elle aussi vers l’acronyme PSI. Pour être efficace, la politique de sécurité ne doit pas être trop compliquée, mais rester réaliste et opérationnelle. Un juste équilibre doit donc être trouvé.