Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

7è RIAMS : SSI, comment impliquer la direction générale et les métiers ?

mai 2011 par Emmanuelle Lamandé

A l’occasion de la 7ème édition des RIAMS, un RSSI Groupe est venu nous faire part de son retour d’expérience sur la responsabilisation de la direction générale et des métiers à la sécurité des systèmes d’information. Pour lui, chaque acteur de l’entreprise a son rôle à jouer, notamment dans la phase d’analyse de risques.

Lors de sa prise de fonction en tant que RSSI Groupe, le constat était double : une sécurité à bon niveau, mais une absence totale d’implication des métiers, qui avaient une vision très technologique de la sécurité des systèmes d’information. Les actions menées par la DSI étaient pertinentes, mais sans véritable partage, avec qui plus est un manque de visibilité sur les risques de sécurité du SI.

Son objectif principal reposa alors sur la construction d’un réseau, d’une organisation, entre autres via la création d’un COSSI, ainsi qu’une analyse des risques.

Pour lui, le RSSI ne doit pas déresponsabiliser les métiers. De plus, les RSSI de branches doivent remonter les risques au RSSI groupe et alerter le directeur de branche, voire le président.

Parmi les outils de responsabilisation des directeurs de branche, il a mis en place au sein de l’entreprise :
- Une note au président diffusée au COMEX tous les semestres,
- L’intégration des risques SSI dans les cartographies de risques des branches,
- Un reporting SSI cosigné par le RSSI et le directeur de branche : le fait de signer suppose qu’il accepte les risques résiduels et les plans d’actions. La signature représente un vrai changement culturel, elle s’intègre d’ailleurs dans la norme ISO 27001.

Concernant les métiers, ils sont responsables :
- des analyses de risque SSI,
- de l’application de la méthodologie d’intégration de la sécurité dans le projet SI,
- des choix des cibles et du suivi des contrôles SSI.

Selon lui, la responsabilisation des directeurs et des métiers permet, dans un premier temps, de sortir les risques qui sont portés par la DSI. La DSI porte à elle seule aujourd’hui beaucoup trop de risques. Elle permet également d’obtenir des budgets, de faciliter la gestion du changement, ou encore de faire du RSSI un partenaire du business.

Parmi les principaux facteurs de réussite, il souligne le fait :
- d’avoir un sponsor au niveau du COMEX,
- de savoir positionner les risques SI par rapport aux autres risques opérationnels,
- et de démontrer rapidement l’intérêt de la démarche pour le métier.

Pour cela, le RSSI doit, entre autres, comprendre les enjeux de l’entreprise et sa capacité à faire, savoir où l’entreprise en est et sa capacité à aller quelque part, accepter certains risques, être pragmatique, …

« La SSI n’est pas uniquement un sujet de DSI et d’experts. Si tous les acteurs ne sont pas intégrés dans la gestion du changement, vous vous prendrez les pieds dans le tapis » conclut-il.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants