Où doit se trouver le RSSI pour réaliser sa mission dans les meilleures conditions ?
Comme pour la question du profil du RSSI, sa place dans l'organigramme est loin
d'être figée. Son positionnement dépend de plusieurs critères, dont notamment
la taille de l'organisation, sa culture, sa maturité en sécurité et des risques
auxquels elle est exposée.
Ainsi, au ministère du travail, le RSSI appartient à la direction générale
où figure aussi la direction informatique. Au sein d'Accor, Serge Saghroune est
lui rattaché au directeur général de l'informatique du groupe, lui même rattaché
à la direction financière.
"Ce qui est important ce sont les contributions et relations entre le DSI et
le RSSI concret"
(B.Foray - Gemalto)
|
"La sécurité n'est donc pas bien loin de la tête. Plus vous êtes noyé dans
l'entreprise, avec un organigramme complexe caractérisé par un manque de transversalité,
et plus vous aurez de mal à faire passer vos idées", commente-t-il également.
Pour Bernard Foray, de Gemalto, le RSSI doit au minimum être au niveau du DSI.
"Ce qui est important, ce sont les contributions et relations entre le DSI
et le RSSI. Si le RSSI n'a pas une liberté d'action clairement définie, il pourra
y avoir des conflits d'intérêts. Après, peut-être qu'un lien fonctionnel avec
la direction générale peut présenter un avantage, mais je crois plutôt au sponsoring
sur des actions ponctuelles".