« La gestion efficiente du risque lié au SI doit se faire avec l’ensemble des parties prenantes, c’est-à-dire tous ceux qui vont faire fonctionner l’entreprise. C’est donc là qu’intervient la partie humaine. Ça se décline en organisation, mais aussi et surtout en communication, c’est un élément très important », explique Thierry Chiofalo, CLUSIF.

La sensibilisation des utilisateurs permet de réduire la surface d’attaque

Le RSSI a un rôle à jouer en tant que composante humaine de l’entreprise, souligne Eric Wiatrowski, Orange. La SSI a aujourd’hui besoin de s’affranchir du positionnement de l’entreprise, et de privilégier la gouvernance. Il recommande, aussi, la création d’un Comité de direction sécurité, qui serait en charge de la gouvernance sécurité, et bénéficierait de relais sécurité sur le terrain. Dans ce schéma, le Comité opérationnel se réunit généralement mensuellement, le CoDirSec trimestriellement et le CoDir une fois par an. Pour Eric Wiatrowski, il s’avère plus facile pour les RSSI de motiver les décideurs en jouant sur le fait qu’ils aiment décider. Il faut donc les pousser à décider sur des choses qu’ils jugent importantes et intéressantes.

Parmi les actions que le RSSI doit mener à bien, la sensibilisation des utilisateurs est un élément essentiel, puisqu’elle permet de réduire la surface d’attaque. Un utilisateur bien formé peut, en effet, valoir tous les IDS du monde, souligne-t-il. Le RSSI est vraiment un chef d’orchestre en la matière. Les actions de sensibilisation peuvent être multiples : posters dans les couloirs, compagne de mailing, site Internet, vidéos, interventions dans des comités spécifiques, réunions avec la DCRI… (en général, les têtes d’affiche attirent du monde), pièce de théâtre, mise en situation… En outre, il est important d’assurer la formation de certains acteurs stratégiques, comme les DSI par exemple.

Toutefois, c’est un processus qui doit s’opérer sur le long terme. En effet, pour être efficiente, la sensibilisation doit être récurrente, relayée par le management, et bicéphale, c’est-à-dire à la fois généraliste, mais aussi ciblée en fonction du métier de chacun. Il est également nécessaire d’évaluer le retour de cette sensibilisation par des questionnaires… Pour lui, l’organisation et la sensibilisation s’avèrent être un duo gagnant pour l’entreprise, et représentent un pas vers l’Homo Securitus.

Le RSSI : un manager transverse

Pour Thomas Jolivet, Harmonie Technologie, le RSSI est un manager transverse, qui doit gérer les risques, être manager et visionnaire. Parmi ses principales missions, il cite entre autres : la gouvernance de la SSI, la sensibilisation à la sécurité, le suivi des indicateurs SSI, la gestion des incidents, la veille sur les menaces, l’analyse des risques... Sa fonction est transverse dans l’entreprise. Le RSSI doit à la fois établir une stratégie, planifier des actions, organiser la gestion opérationnelle, apporter des ressources, piloter, contrôler...

La sensibilisation apparaît également, à ses yeux, incontournable, afin de permettre le développement d’une culture du risque, la prise de conscience des risques et des menaces...

Il recommande de légitimer la sécurité par la doxa. Il peut s’agir d’informer les utilisateurs sur les contraintes réglementaires, d’appuyer son propos sur les audits internes, d’introduire certains aspects sécurité directement dans le volet RH, ou encore de formaliser un SMSI sponsorisé par l’entreprise.

De plus, il est important de motiver les contributeurs à la SSI, en leur démontrant par exemple la valeur apportée par la sécurité : elle permet d’assurer la continuité de l’entreprise et donc du business. Faire de la SSI, c’est un peu comme souscrire à une assurance pour l’entreprise. En outre, il est essentiel de garder à l’esprit que la SSI n’est pas une fin en soi, il faut donc savoir ce qui la motive.

Vers une acculturation aux risques numériques

Pour Pierre-Luc Refalo, Sogeti France, le RSSI se trouve à la croisée des chemins et doit faire face à une problématique complexe. Il observe, en ce sens, cinq principaux constats :

– Des tensions organisationnelles apparaissent souvent dans les entreprises en raison des changements de stratégie, de personnel… La clé repose, selon lui, sur la culture des risques, une SSI plus globale, plus transverse et plus stratégique. Ceci implique aussi une gouvernance à transformer et une implication des dirigeants.

– Le secret existe-t-il toujours ? Il faut, selon lui, revoir les pratiques en matière de culture du secret, revoir la classification dans la pratique, au-delà d’un simple guide. La classification est, en effet, un sujet très important qui doit se faire en collaboration avec les métiers.

– L’opposition actuelle entre propriété et location/partage marque un phénomène sociologique et sociétal important, et soulève la problématique de l’accès à l’information, et de l’accès aux services qui sont offerts à l’utilisateur.

– Il constate également une confusion de fond, y compris chez certains experts, par exemple sur les notions de risques, de menaces et de vulnérabilités... Il est, en ce sens, nécessaire, de développer une culture du contrôle, à la fois en termes de prévention, de détection et de réaction : SIEM, cyberdéfense, SOC... C’est un marché à conquérir et à réinventer.

– L’humain est peut-être le maillon faible..., mais c’est aussi le dernier rempart. La solution se trouve, de ce fait, aussi dans l’acculturation de tous. Il s’agit donc d’un processus organisé dans la durée. Les entreprises doivent avoir conscience que la sensibilisation ne coûte rien par rapport aux risques auxquels elles sont exposées.

Enfin, pour lui, la SSI s’articule aujourd’hui autour de trois métiers : le Data Protection Officer, le Cyber Defense Officer et le Business Security Officer.