Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le RSSI chef d’orchestre de la SSI des entreprises

octobre 2015 par Marc Jacob

Pour sa conférence de rentrée le CLUSIF a choisi pour thème : « Le RSSI : quelle valeur ajoutée et quel rôle dans l’organisation ? ». Pour cet événement plusieurs RSSI de différents secteurs avaient accepté de donner leur point de vue. Pour l’ensemble du panel consulter le RSSI doit être un chef d’orchestre de la SSI de leur organisation.

En préambule, Florence Hanczakowski a annoncé la refonte du site web qui inclut une nouvelle charte graphiste mais aussi des espaces collaboratifs pour les groupe de travail. Lazarro Pejsachowicz, le Président du CLUSIF, a annoncé la création du CLUSIR PACA qui regroupe déjà 150 personnes.

Puis, Thierry Chiofalo a introduit le sujet. Pour lui, le RSSI dans le passe était plutôt seul, aujourd’hui il travail en équipe. La SSI est au cœur des préoccupations. Si hier, il fallait vendre ce sujet, actuellement il est devenu un thème d’actualité. Le RSSI travaille avec la DG, le contrôle internet, les métiers, les DAF...

RSSI poste clé, mais qiu reste dans l’ombre…

Un RSSI a abordé le rôle du RSSI en matière de sécurité opérationnelle. En introduction, il a rappelé les priorités des entreprises : la maîtrise des coûts et l’innovation. Pour maîtriser ces deux points, les entreprises se lancent dans des projets d’entreprise comme par exemple celui de la relation clients, l’optimisation de la production, l’adaptation de la production a la demande, la gestion des chantiers, l’optimisation des flottes.... Tous ces projets d’entreprises dépendent à un moment ou un autre par l’informatique. Ce qui fait la réussite de ces projets, c’est au final la fluidité de l’informatique. Ce schéma passe par la virtualisation, le Cloud... mais aussi des outils industriels avec des solutions de Big Data et de reporting… Au niveau de la sécurité, ce tableau nécessite le déploiement de solutions de MDM pour gérer la mobilité, mais aussi du Web SSO pour gérer l’authentification… Ainsi, le RSSI doit entre-autre gérer les ESB. Il faut donc réaliser une cartographie des flux, analyser les liaisons avec les partenaires, les flux d’échanger de donner....

Dans le cas d’un focus opérationnel sur le Web SSO, plusieurs questions se posent : quel protocole mettre en œuvre, quelles stratégies de mécanisme de repli, comment je gère les cookies, quel boîtier webSSO dois-je déployer... Enfin, il faut aussi trouvera le budget...

Dans ce contexte, quel est le rôle du RSSI dans l’organisation ? Pour lui, le rôle du RSSI de terrain est d’être « en soute » avec les gens qui font la production.

Pour le RSSI Groupe, il doit connaître les risques, le niveau général de sécurité de l’entreprise, ce qui reste très opérationnel avec des outils de vérifications sur les déploiements. Il doit donc gouverner la sécurité du groupe mais aussi fournir des outils pour les RSSI de terrain.

En conclusion, il estime que la valeur ajoutée du RSSI est d’être un poste clé, mais qui reste en arrière-plan des grands projets d’entreprise.

RSSI chef d’orchestre de la sécurité

Étienne Bouet, Senior manager de Solucom explique que les entreprises vivent une triple révolution : la révolution numérique, la prééminence de la sécurité, et la montée des cyber-menaces. Il y a une augmentation des attaques ciblées du fait des gains importants, de l’expertise des attaquants, des cibles de plus en plus nombreuses et des risques faibles pour les attaquants. Ainsi, la visibilité du sujet cyber est croissante. Ce thème concerne la DG, les DSI, la direction des risques... Ainsi, la sécurité n’est plus le fait uniquement du RSSI de ce fait, le RSSI est l’acteur idéal pour piloter cette filière de la sécurité. Par contre, il doit faire évoluer sa posture pour accompagner les transformations du métier de la sécurité. Il doit devenir « une tour de contrôle de la sécurité ». Il doit aussi s’adapter à l’organisation de l’entreprise et du SI. Il voit trois types de RSSI : un au niveau du groupe et des RSSI orienté métier et les derniers sur les fonctions de sécurité opérationnelle (IT).

Chez un de ces clients, dans le cadre de la réorganisation de son entreprise, le RSSI avait pour tâche de rehausser le niveau d’exigence de l’entreprise. Ainsi, ses missions ont été réaffirmées. Pour ce faire, des principes forts ont été pris  : les DSI sont responsables de la mise en œuvre opérationnelle de la sécurité. Le nom du RSSI a été changé par le terme CISO pour qu’il n’y ait plus de Responsables mais des directeurs. Le CISO est rattaché à un membre du COMEX. Il est contrôlé par la fonction risque. On a construit une ligne métier SSI pilotée par le CISO Groupe. Enfin, on a renforcé les prérogatives du CISO Groupe. Au final, il y a eu peu de changement, mais il a été centré sur le « qui fait quoi ». Dans ce nouveau schéma, la place du RSSI est d’être un chef d’orchestre de la sécurité. Quel que soit sa place il doit disposer d’un sponsorship fort et de son propre budget.

Les RSSI doivent prouver au quotidien leur ROI

Cette RSSI rappelle qu’aux Assises de la Sécurité il a été dit qu’un RSSI était un « Hacker en costume »... Pour elle, il y a dix ans, la sécurité était rattachée à la fraude. Aujourd’hui, sans sponsor de poids, on ne peut pas faire de sécurité. Il y a des parties prenantes suivant une courbe de Gauss avec les peu intéressés jusqu’au sponsors. Elle note un intérêt de plus en plus important pour ce domaine. Pour elle, il faut utiliser toutes les fenêtres de tir pour imposer la sécurité : la création de SOC et d’outils et de méthodes, la formation des équipes permettant de surveiller les suspicions d’attaques. La construction de référentiels, méthodologie, PSSI, formulaire, procédures.. Et d’outils du marché partagés. Elle note que les RSSI ne sont plus rattachés à la production, mais plutôt à la DG, la gestion des risques... Il faut aider les RSSI a se dégager de toutes les contraintes comme la partie financière, la formation, le juridique...

Les RSSI doivent prouver au quotidien leur ROI. Ils doivent gérer l’accélération et l’industrialisation des menaces : les DDOS, le vol de secret, d’identité, de données à caractère personnelle, des identifiants biométriques... Il faut sensibiliser les Comités exécutifs et partager avec les acteurs de la SSI en interne, les partenaires les Fournisseurs... Et les Club comme le CLUSIF.

La lettre « R » du RSSI est très importante

Pour cet autre RSSI d’un établissement financier, la lettre « R » du RSSI est très importante. il doit représenter son entité au niveau de son groupe. Il doit être un chef orchestre de la SSI. Il doit décliner la PSSI retour de vendre la SSI afin de ne jamais dire « non ». Il faut rester réaliste et être pragmatique et enfin rester humble... L’important pour lui est qu’au sein de son entreprise tout le monde continu a lui dire bonjour au café. Ses objectifs sont de remettre en place les fondamentaux de la SSI en particulier au niveau de la gouvernance. Il a fait de valider la PSSI au Conseil d’Administration. Il a remis à jour la charte d’utilisation du SI. Il a intégré les analyses de risques sur l’ensemble des projets. Il a redéfini la classification des données avec une cartographie applicative. Il insisté sur la sensibilisation. Pour ce faire, il a même invité l’ANSSI à animer des sessions de sensibilisation. Son objectif est d’être au CODIRE en prenant la place de la DSI... un vœux pieu, ou une réelle ambition…

Le RSSI doit ainsi conduire ce changement de mentalité

Cet autre RSSI rappelle que dans son entreprise, il y a un RSSI depuis 20 ans. Ainsi, il y a une PSSI depuis 2002, ce qui d’un côté est un avantage mais a pour inconvénient est d’être ancienne et donc d’avoir peu évolué. Il est rattaché à la DSI. Parmi les réalisations qu’il a entrepris, il s’est attaché à mener des actions de sensibilisation en remettant à jour la charte de sécurité, en déployant le Serious Game du CIGREF... Il a aussi assuré la conformité pour le traitement des données a caractère personnel, la contribution avec la DSI à la certification ISO 27001...

Son nouveau challenge est de transformer la culture de l’entreprise en termes de sécurité afin qu’elle soit intègre dans tous les projets. Le RSSI doit ainsi conduire ce changement de mentalité. Il doit vulgariser la SSI en dehors de l’entreprise. En effet, le grand public hors de l’entreprise adopte des comportements plus ou moins à risque qu’il est par la suite difficile de changer.

Le RSSI doit accompagner les transformations de l’entreprise

Pour cette autre RSSI, le RSSI doit accompagner les transformations de l’entreprise. Arrivée en 2009, elle a créé le poste et au départ elle a dû revoir sa stratégie de communication. Elle a proposé une première PSSI qui n’a été adopté en 2014. Pour y arrivée elle a dû la rédiger avec la DSI et les métiers. Au final, elle a pu constituer une équipe adaptée au besoin de l’entreprise. Elle a intégré la SSI dans le référentiel, de qualité via le SMSI. La SSI et le CIL (elle assure aussi cette fonction) sont aujourd’hui consultés à chaque démarrage de projet. Elle accompagne les équipes de développement pour garantir la sécurité des applications. Elle est parvenue à cloisonner les réseaux en fonction DSS activités de son entreprise. Enfin, elle réussit à organiser des sessions de sensibilisation à la sécurité.

Pour l’avenir, elle souhaite constituer un. SOC qui est en cours de déploiement. Elle doit améliorer la remontée des indicateurs. Elle doit encore insister sur la sensibilisation. Enfin, elle va devoir prochainement se conformer aux nouvelles réglementations françaises et européennes.

Jean-Marc Grémy, Vice-Président du CLUSIF

La sécurité doit s’imposer par la démonstration des conséquences de l’insécurité

Pour conclure cette session, un débat a eu lieu entre Lazzaro Pejsachowicz et Serge Saghroune animé par Jean-Marc Grémy, Vice-Président du CLUSIF. Lazzaro Pejsachowicz, Président du CLUSIF explique que le rôle du RSSI dépend de la culture de son entreprise. Par contre, il doit profiter de chaque fenêtre de tir pour faire passer ces projets. Pour lui, l’important est que l’on continue de lui sourire à la machine à café car « on en apprend plus sur la sécurité devant cette machine. En effet, selon lui, c’est le meilleur scanner de vulnérabilité de l’entreprise. » Il n’a pas besoin de budget car il est important de mettre la sécurité au cœur de chaque projet. En fait, en sécurité « rien ne se retire car tout s’ajoute ».

Pour Serge Saghroune la sécurité doit être opérationnelle. La politique de sécurité tient sur une double page en gros caractère. Il ne faut pas demander à l’exploitation et/ou au réseau de faire de la sécurité. Le RSSI doit s’en occuper. Pour lui, pour imposer la sécurité, il agit par la démonstration des impacts de l’insécurité sur le business. Le RSSI doit être dans l’opérationnel mais aussi avec la direction générale, ainsi qu’avec la production... Il est pour être entouré par une équipe et travailler avec l’ensemble des collaborateurs de l’entreprise.

Vers un cruel manque de compétence

Lors du débat, le thème de la formation a aussi été abordé. Ainsi, les RSSI présents viennent de différents horizons : la philosophie, le droit, les mathématiques, la physique… mais aussi l’informatique. Par contre, il est clair aujourd’hui, qu’un manque criant de personnel qualifié se fait ressentir et devrait être plus important encore à l’horizon 2020…




Voir les articles précédents

    

Voir les articles suivants