Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Le rôle du RSSI : entre technique, usages et dialogue ! #FIC2014

Le rôle du RSSI : entre technique, usages et dialogue ! #FIC2014
2014-01-272014-01-27dossiersfr
La table ronde B17 du #FIC2014 a notamment porté sur le rôle du RSSI et... il a intérêt à avoir plusieurs cordes à son arc !
Publié le 27 Janvier 2014 par Rémi Kerhoas dans dossiers
nicolas caproni, isabelle renard, alexandre barbot

La dématérialisation est désormais enclenchée, voire déjà une réalité dans de nombreuses entreprises et organisations. Mais sa mise en œuvre génère des risques et inquiétudes… ça a été le sujet, avec le rôle du RSSI dans ces projets, de la table ronde « B17 » du FIC2014. J’ai personnellement beaucoup apprécié cet atelier, plus humain et moins technique que les autres. Bref, en voici mon résumé :

le RSSI, un rôle de confiance avant tout

L’atelier a commencé sur la question « qu’est-ce qui marche dans un projet de dématérialisation ? » Ce sur quoi Isabelle Renard s’est empressée de répondre : tout et rien à la fois. Le décor est planté : Isabelle considère que les réponses technologiques sont fiables mais qu’il y a un gros problème de confiance (Nicolas Caproni renchérira plus tard : « la base de la sécurité, c’est la confiance »).

Un exemple lancé par la table ronde a été celui de l’intégrité des documents. Auparavant, on possédait des documents au format papier mais maintenant ils sont électroniques… et ce changement perturbe. Nicolas Caproni abondera dans ce sens : « la CNIL a remis en cause les logiciels dits coffres forts car les propriétés requises par ceux-ci ne sont pas définies ».

Bref, le rôle du RSSI dans ce contexte est d’apporter un sceau sécurité aux autres directions/clients.

projet de dématérialisation : sous la technique, l’usage

Ceci dit, les clients (internes ou non) sont convaincus de l’intérêt des projets de dématérialisation. Il n’en demeure pas moins qu’ils sont inquiets vis-à-vis des habitudes de travail, point identifié comme étant le principal frein à la modernisation. On voit qu’on est loin des aspects techniques ! ;-)

On doit donc accompagner ces projets en impliquant le plus haut niveau hiérarchique de l’entreprise : donner un programme, le suivre, l’expliquer et le promouvoir… bref donner du sens à la démarche et faire en sorte que tous y adhèrent.

Cet aspect m’a particulièrement intéressé donc j’ai profité des Q&A de fin pour creuser la chose en posant la question suivante : est-ce qu’intégrer des experts en conduite du changement change la donne ? Alexandre Barbot me l’a confirmé avec enthousiasme : il pense même que ce point est fondamental ! Je le cite : « il ne s’agit pas de mettre un petit coup de communication sur le projet mais bien de l’accompagner de A à Z. »

Le rôle du RSSI semble donc aller plus loin que ce sceau sécurité dont on parlait. Il faudrait dépasser l’aspect humain… oui mais jusqu’où ? La raison de l’humain serait toujours la meilleure ? Nous l’allons montrer tout à l’heure, comme racontait un célèbre poète.

le RSSI : un acteur et non un censeur !

Nicolas Caproni le martelait lors de l’atelier : « la sécurité doit être intégrée dès le début d’un projet ». Ce à quoi Isabelle Renard a fini par répondre : « le bon côté de ces projets [de dématérialisation donc] est qu’il n’y en a plus beaucoup qui ignore totalement la sécurité ». Ceci dit, elle continuera : « malheureusement le RSSI reste trop souvent invisible et finalement n’apparaît que quand il faut interdire quelque chose. »

En bon consultant, Nicolas Caproni a rebondi en soulignant qu’effectivement, le RSSI devait être là pour accompagner les enjeux business et métier avant tout. Le RSSI, en s’intégrant dès le début et on considérant les autres directions peut donc mettre tel ou tel projet sur de bons rails. D’ailleurs, les projets ne sont pas si complexes, seulement pluridisciplinaires : il faut penser à marcher main dans la main avec le juridique, les RH, etc.

Par exemple, dématérialiser les bulletins de salaire est une chose techniquement facile mais qui demande un acte dans la direction juridique : l’ajouter au code du travail (personnellement, je ne savais pas… comme quoi !) sans quoi le projet peut tout simplement tomber du fait d’être resté dans son silo.

conclusion : le rôle du RSSI c’est…

Le rôle théorique du RSSI dans un projet de dématérialisation : assurer la garantie et prouver la sécurité de l'information. Dans la pratique, être là dès le début du projet et penser aux autres directions aussi. Bref, bien plus qu’un simple technicien !

Rémi

Les autres articles/vidéos du #FIC2014 :

  1. la sécurité par les logiciels libres, c’est possible ? #FIC2014
  2. sécurité des mobiles : le RSSI se casse toujours la tête
  3. le professeur Audenard au #FIC2014 - Jour 1 : DDoS, phishing, malwares, API et Cloud
  4. le professeur Audenard au #FIC2014 - Jour 2 : mots de passe, imprimante connectée et sensibilisation à la cybersécurité
  5. cybersécurité & cyberdéfense : des buzzwords ? #FIC2014

1 Commentaire

  • 27 Janvier 2014
    2014-01-27
    par
    Jeff Audenard
    Intégrer des équipes sécurité dès le début d'un projet permet effectivement d'améliorer la communication entre acteurs (pas forcément tous des experts en sécurité) ; ce qui encourage les solutions communes. Le RSSI ou ses équipes sont donc moins dans le "non" mais dans l'accompagnement.
    Ceci dit, ou ça coince le plus souvent c'est quand il faut mettre des ressources sur la table et passer aux choses concrètes et mettre en oeuvre les mesures de sécurité qui sont parfois un peu "remises à plus tard" ou "dans la prochaine version".
    Le RSSI doit donc accompagner mais doit rester dans son rôle de garde-fous : savoir développer une proximité avec les équipes projets et bien, devenir cul et chemise non.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage