 |
|
| |
 |
Sylvain Chapuis
Directeur associé
Consultake |
|
Sylvain Chapuis
"Le RSSI doit désormais évoluer vers un rôle proche de celui du DSI"
Pour générer de la valeur, la sécurité doit s'appuyer sur des métriques pertinentes et alignées sur la stratégie métier. La fonction de RSSI doit être décloisonnée. Une évolution favorisée par le cadre réglementaire.
30/11/2006 |
| |
|
|
JDN
Solutions. Vous faites la promotion de l'informatique raisonnée. De quoi s'agit-il exactement ?
Sylvain Chapuis. C'est d'abord un clin d'il à l'agriculture raisonnée, c'est-à-dire un ensemble de bonnes pratiques. Plutôt que de se focaliser sur des projets technologiques à la mode, la question à se poser avant tout est de savoir comment mon système d'information peut participer à la création de valeur et s'aligner avec la stratégie de l'entreprise.
Et parvenir à ce but ne signifie absolument pas travailler coûte que coûte sur l'apport de nouvelles technologies. La philosophie est donc de ne pas aller systématiquement vers ce que les grands courants de pensées apportent, et d'envisager des solutions raisonnées par rapport à un certain contexte client.
L'application de ce principe de raison, c'est aussi s'engager vers un décloisonnement de la DSI, l'aider à sortir de son métier technique pour la placer au même niveau que les directions métiers et faire en sorte qu'elle occupe une place au sein du comité de direction.
Quels sont les domaines technologiques pour lesquels l'informatique raisonnée tend à trop peu s'appliquer ?
Dans l'ensemble d'entre eux : infrastructure, stockage, sécurité, éditeurs et constructeurs déploient d'importants efforts pour encourager cette course à l'armement sur certains outils. Des fournisseurs vont notamment pousser des entreprises à mettre à jour un système alors que sur le terrain on constate que le taux d'utilisation demeure restreint et limité à seulement quelques fonctionnalités.
Dans le domaine de la sécurité, la tendance est ainsi à la concentration sur des technologies de protection du poste de travail. Le besoin existe, mais il est peut-être possible de le satisfaire en empruntant des chemins de traverse, en s'appuyant sur des solutions autres que celles habituellement proposées par les éditeurs. La virtualisation du poste de travail et l'Open Source sont notamment des possibilités très rarement poussées par les intégrateurs.
|
|
 Le RSSI doit pouvoir présenter des métriques et des indicateurs équivalents à ceux d'une direction financière" |
|
Est-ce qu'en matière de maîtrise et de gestion des risques informatiques, les entreprises doivent aussi revoir leur approche ?
Dans la gouvernance des systèmes d'information, la gestion des risques occupe une place très importante, au même titre que la gestion des risques métiers dans la gouvernance d'entreprise pilotée par la direction générale. La sécurité est le métier sur lequel la justification du ROI est la plus difficile.
La gestion des risques n'est a priori pas un sujet plaisant à traiter. Elle souffre en effet d'un problème d'image, de visibilité et de compréhension en interne. Il est symptomatique notamment pour les RSSI de ne bénéficier que de peu de représentation en interne. La direction générale n'attend pas d'eux un discours technique, mais métier et aligné par rapport à l'activité et la stratégie de l'entreprise.
Les RSSI doivent être capables d'identifier les indicateurs les plus pertinents à présenter, comment et avec quels mots, quelle terminologie. L'objectif est de sensibiliser la direction sur la nature de certains risques afin qu'elles puissent réagir de manière proactive. Et c'est par ce biais, l'opportunité de démontrer la valeur de leur mission en interne.
De quelle nature doivent donc être les indicateurs de sécurité ?
Avant tout, la définition des indicateurs relève d'un projet d'entreprise plus que de la direction sécurité. C'est l'un des postulats de départ si elle souhaite qu'ils soient maintenus dans le temps. Pour les outputs, ils doivent être exprimés dans une terminologie qui à un sens pour la direction générale et donner un état de la performance, de la disponibilité, ou encore indiquer l'exposition au risque.
Le RSSI doit pouvoir présenter des métriques et des indicateurs équivalents à ceux d'une direction financière, aussi bien dans la forme que dans la continuité. Il est nécessaire que ces indices soient persistants, sans quoi la direction se trouve dans l'incapacité de se projeter et d'établir des corrélations avec les indicateurs passés.
|
|
Les réglementations constituent un terrain favorable qui oblige les entreprises à offrir plus de traçabilité, de confidentialité" |
|
C'est un chantier qui peut s'avérer conséquent. Il ne faut pas vouloir traiter tout d'un coup. Les indicateurs doivent en outre concerner les processus de sécurité. Ce sont eux qu'il faut suivre. Ainsi on ne mesure pas la vulnérabilité à une attaque, mais la façon dont l'incident est réglé, la durée d'intervention, l'affectation d'équipe, etc.
Le métier de RSSI en est nécessairement impacté. Vers quoi doit-il tendre désormais ?
Le RSSI ne peut plus se cantonner à une dimension purement technique. Des équipes opérationnelles sont là pour prendre en charge ces aspects de la sécurité. Sur le plan technique, sa fonction a été décloisonnée. Le RSSI doit désormais évoluer dans son poste pour un rôle proche de celui du DSI, voire être équivalent.
Comment cette mutation fonctionnelle va-t-elle pouvoir s'amorcer ?
Le rôle du RSSI est notamment facilité par les obligations réglementaires auxquelles sont soumises les entreprises, qu'il s'agisse de Sarbanes-Oxley, Bâle II, Solvency ou de la loi pour la sécurité financière, LSF.
L'ensemble de ces réglementations constitue un terrain favorable qui oblige les entreprises à offrir plus de traçabilité, de confidentialité. Elles doivent ainsi mettre en place des solutions et processus qui vont garantir que les objectifs de sécurité sont bien atteints et maintenus.
Des commissaires aux comptes peuvent ainsi interroger directement un RSSI sur le suivi des audits de sécurité, contrôler les analyses de recommandations et la manière dont elles sont appliquées, par qui et avec quels résultats.
Et parce que le responsable sécurité voit ses obligations étendues, il faut aussi qu'il soit en mesure de présenter des tableaux de bord à une direction générale, de préférence synthétique. On se situe ici dans le domaine du décisionnel.
|
| |
Propos recueillis par Christophe AUFFRAY, JDN Solutions |
|
|
PARCOURS
|
|
|
| |
Sylvain Chapuis est diplômé de l'ESC IDRAC Paris et d'un BA (Business Administration) de l'université de Newcastle. Il a fondé Consultake en 2006 avec Laurent Chevet.
2003
Il rejoint le Groupe Neurones comme directeur commercial des activités sécurité. Il est ensuite appelé par le groupe Net2S pour prendre la direction commerciale de Cyber-Networks.
1998 Il crée et dirige Innerwaves, société de service intervenant dans le conseil e-business et dans la localisation d'applications BtoB et entertainment.
|
|
|
|
|
|
|
Fil