L’impact de l’évolution de l’intelligence des bâtiments sur la gestion de la sécurité

Les systèmes connectés, de plus en plus nombreux et divers, ont bouleversé le visage du bâtiment qui, aujourd’hui, se doit d’optimiser sa performance énergétique en fonction de critères économiques et écologiques. Après la téléphonie et les terminaux mobiles, ce sont désormais les équipements de vidéosurveillance, les éléments climatiques (chauffage/climatisation) ou encore l’éclairage qui sont gérés par des systèmes IP – sur la base de capteurs qui permettent une remontée d’informations en temps réel. Alors que le bâtiment devient ainsi « performant et intelligent » (ou dit encore « e-efficient » ou e-fficient), les codes du secteur s’en trouvent bouleversés, les rôles redistribués.
Cette tendance implique en effet l’ouverture des SI à ces nouveaux systèmes connectés, sur des périmètres tout à fait nouveaux. De fait, la sécurité prend une autre dimension avec la multiplication de Systèmes sur IP. De ces nouveaux usages découlent de nouvelles menaces en matière de cybercriminalité : si la téléphonie sur IP a vu l’émergence des fraudes téléphoniques, il est évident que les risques liés à la sûreté des bâtiments vont devoir être pris en compte. Le champ d’action du RSSI ne se limite plus seulement à l’IT, mais désormais à tous les Systèmes sur IP.
Le « RSS IP », nouveau chef d’orchestre de la sécurité de l’entreprise

Une complexité « de plus », pourrait-on dire, tant elle s’ajoute à celles déjà apparues depuis quelques
années. Le Cloud et les terminaux mobiles (dont le phénomène du BYOD) ont en effet étendu les frontières du SI au-delà des murs des entreprises, et par ricochet, le périmètre du RSSI s’est élargi.

Il doit aujourd’hui veiller à maintenir un niveau de sécurité malgré la tendance du SI à devenir « virtuel » (Data Center) et « mobile » (Environnement Utilisateur). Comment gérer la sécurité des données réparties entre le Cloud, le Data Center et les terminaux ? Quels sont les menaces et les risques liés aux nouveaux terminaux mobiles (Os et Applications) ? Ces sujets, qui évoluent vite, complètent la (déjà) longue liste des briques d’une politique de sécurité, qui comprenait les infrastructures, les contenus, les applications, etc.
Dans ce nouveau contexte, l’enjeu principal du RSSI est de pouvoir sensibiliser des utilisateurs de plus en plus avertis aux problématiques de sécurité, tout en étant à l’écoute de leurs besoins. De cette dualité, naît le « RSS IP » : après avoir été expert en technologies, puis chef de projet en charge de la gouvernance de la sécurité, il est maintenant un médiateur à la quête d’un équilibre entre la politique de sécurité de l’entreprise et les besoins tous particuliers des utilisateurs et des différentes directions métiers – sur un périmètre qui englobe tous les Systèmes IP de l’entreprise.

Un RSSI constamment en alerte

Afin de répondre à cette évolution des usages impactant le système d’information, le RSSI doit pouvoir interagir étroitement avec le DSI, afin de mieux cerner les besoins tous particuliers des utilisateurs et des différentes directions métiers. Il doit pouvoir prendre en compte les nouveaux usages, mais aussi les nouvelles réglementations : le RSSI est de plus en plus en relation avec les services juridiques, R.H. et financiers. Ainsi, des normes liées à la performance énergétique, jusqu’aux impacts juridiques des réseaux sociaux ou aux enjeux RH liés au BYOD ou au travail à distance, la gestion de la sécurité d’une entreprise est aujourd’hui une mission qui fait appel à des compétences étendues, pour pouvoir bénéficier d’une vision à 360° de son nouveau périmètre d’actions.