|
|
SECURITE |
Le RSSI de la Caisse des Dépôts mise sur la communication et les services |
Invité à une table ronde du salon NetSec / Seti 2004, Alain Bouillé est revenu sur les grandes lignes directrices qui guident son action à la CDC : communication, implication, services.
(31/03/2004) |
|
Intervenant dans le cadre d'une table ronde intitulée "Politique et
budget sécurité" organisée sur le salon NetSec /
Seti 2004, le RSSI (Responsable de la sécurité des SI) de la Caisses
des dépôts et consignations - Alain Bouillé - a détaillé
les grandes lignes de sa politique de sécurité.
En préambule de cette table ronde, Pierre-Luc Réfalo, directeur
associé de Comprendre et Réussir, a précisé : "En règle
générale, l'action d'un RSSI évolue entre quatre grandes
composantes dont il doit tenir compte au quotidien : la lutte contre la fraude
informatique, la
protection
du patrimoine intellectuel de l'entreprise, la lutte contre l'espionnage économique
et la protection de la vie privée. Ce qui se décline selon plusieurs
axes, dont la réglementation, la formation et l'éducation des salariés,
mais aussi le choix d'outils adaptés, la veille et, bien entendu, l'aspect
économique de ce qui est mis en place".
Pour Alain Bouillé (Caisses des dépôts et consignations),
la première des priorités est de définir une doctrine via
une politique. Les exigences doivent ensuite être précisées
via des directives et les engagements attendus de la part des salariés
via une charte. Le code de bonne conduite est quant à lui rappelé
par l'intermédiaire d'un guide utilisateur.
"L'absence
de budget ou de motivation du management n'est pas une excuse favorable" |
"Pour optimiser son action au quotidien, le RSSI doit par ailleurs adopter
une méthode rigoureuse d'analyse des risques et mettre en place une organisation
clairement définie (le "qui fait quoi"). Bien entendu, une architecture
sécurisée est nécessaire, ainsi qu'un processus de supervision
et des tableaux de bord. Il faut accompagner le tout par un programme de sensibilisation
et de formation à différents niveaux", note Alain Bouillé.
Les objectifs qu'Alain Bouillé s'est fixés sont de quatre ordres.
Le premier est de connecter la sécurité des SI aux objectifs de
l'entreprise, le second de permettre à chacun d'exercer ses droits et ses
devoirs "en conscience", le troisième de légitimer les
acteurs impliqués, notamment en inscrivant noir sur blanc dans leurs objectifs
- et même dans leur contrat de travail - les tâches qui leur incombent.
Le quatrième est de respecter les lois et réglements en vigueur.
"Les projets que nous menons aujourd'hui sont directement liés à
la politique décidée il y a trois ans. En termes d'organisation,
mon travail au quotidien est d'accompagner les acteurs, en termes de formation
mais aussi de définition des objectifs. Et la structure de pilotage évolue
sans cesse, en fonction de l'organisation de l'entreprise.
Le RSSI de la Caisse des dépôts et consignations veille particulièrement
à ce que la politique antivirus, la gestion des accès externes et
des habilitations bénéficient d'un suivi particulier au sein des
infrastructures communes (350 applications au siège).
"De nouveaux services sont en cours d'étude ou de déploiement,
comme la supervision, la signature unique, la sécurisation des postes de
travail et les accès distants", précise-t-il, avant de conclure,
avec beaucoup de réalisme : "l'absence de budget ou de motivation
du management n'est pas une excuse favorable !".
|
|
|