Jean-Pierre Gagnepain (DSI, Air Liquide) "Il est dommage d'avoir à convaincre son DSI de la nécessité d'une sécurité de l'information"

Recours à des standards, gouvernance, rôle de facilitateur du DSI, dialogues avec les métiers et la direction : la sécurité de l'information passe par des impératifs.

Dans le cadre de la sécurité de l'information, les travaux du Cigref évoquent des standards. Desquels s'agit-il ?

Nous entendons notamment les standards au niveau des méthodes. Il s'agit en effet de s'appuyer sur des méthodologies et des normes du marché pour avoir une démarche cohérente et éviter de réinventer la poudre. Ce sera donc, entre autres, les normes ISO, dont en particulier l'ISO 27001.

Mais les standards concernent également les solutions techniques pour éviter d'avoir une multiplication des solutions générant à leur tour de la complexité et des problèmes de sécurité : failles intrinsèques ou entre technologies, faiblesses d'administration, etc. Dans la mise en place des solutions à l'intérieur de l'entreprise, il est crucial de standardiser le plus possible pour simplifier et mieux maîtriser, et également éviter la confusion technologique vis-à-vis des utilisateurs et du management.

Et qu'elle est la place d'ITIL dans cette organisation ?

ITIL adresse essentiellement les processus opérationnels de l'IT et le service management. Le processus de protection doit être intégré dans la démarche métier, à tous les niveaux et le plus en amont possible. Certaines entreprises le font, par exemple en associant à leurs projets une démarche d'analyse de risque afin que dans les livrables, et jusqu'à la mise en place de la solution, la sécurité de l'information soit intégrée. Et par conséquent ces aspects de protection de l'information devraient être pris en compte dans la démarche ITIL.

jean pierre gagnepain cigref
Jean-Pierre Gagnepain était le responsable du groupe de travail au Cigref consacré à la sécurité de l'information. © C. Auffray / JDN Solution

Cela signifie-t-il que la gestion de la sécurité doit être un composant de la gouvernance ?

La gouvernance est un terme dont on use et abuse. Finalement le sens de la gouvernance c'est de définir qui a autorité pour décider sur quoi. Pour la protection de l'information, qui est fondamentalement un enjeu métier, il est important en effet de l'intégrer dans la gestion de l'entreprise.

Le message, c'est qu'il faut essayer de tisser, d'insérer dans cette gouvernance les éléments de risque liés à l'usage des technologies de l'information qui peuvent avoir des conséquences sur l'entreprise. En matière de rôles par exemple, les métiers ont la responsabilité d'identifier les risques et de mettre en place les mesures appropriées. Au niveau d'une politique d'entreprise, cela est nécessaire.

Sur cette question de la gouvernance, comment se partagent les rôles du DSI et du RSSI ?

Le RSSI est le responsable de la sécurité des systèmes d'information. On se situe dès lors au niveau des systèmes eux-mêmes. Mais il peut exister des risques sur le système d'information qui ne sont pas nécessairement des risques majeurs pour l'entreprise quand vous les confrontez à d'autres risques. La finalité n'est évidemment pas de tout protéger.    

Le RSSI est souvent appelé ou contraint à un rôle technique. Le challenge c'est de transcender ce rôle pour avoir un vrai discours avec les responsables métiers sur les enjeux et risques liés aux technologies de l'information et de la communication, et dépasser une vue purement informatique et technique.  

Deux questions ont été posées en ce sens : "comment convaincre mon DSI ?" Je dirais déjà qu'il est dommage d'avoir à convaincre son DSI de la nécessité de tenir compte de la sécurité de l'information, car fondamentalement cela relève de l'expression de besoin qui guide la chaine de valeur de l'informatique. Cela voudrait dire qu'on n'a pas ancré le sujet à un niveau métier.

Chaque métier doit donc de sa propre initiative évaluer ses informations sensibles ?

"Il y a un besoin de sensibilisation des directions générales"

Absolument. La fonction informatique, de par sa vue à 360° du système d'information de l'entreprise et de ses enjeux, est bien placée pour jouer un rôle de facilitateur. Elle va si besoin est provoquer la discussion. C'est dans ce sens qu'il me semble les DSI devraient jouer leur rôle. Dans le cas contraire, face à un sinistre majeur, l'information étant numérisée, ils risquent de faire office de fusible et d'écoper de la responsabilité.

Le DSI a donc tout intérêt à avoir un discours et engager le dialogue avec les décideurs métiers sur la problématique de la sécurité de l'information, en partant d'un axe métier. Il reste bien sûr responsable de la protection des infrastructures informatiques dont il est le " business owner " au sein de l'entreprise.

Parmi les entreprises membres du Cigref quel est le degré de sensibilisation des directions générales à la sécurité de l'information ?

Ce qui est ressorti du groupe de travail, c'est que ce sujet représente clairement un véritable challenge pour les entreprises. Il y a un besoin de sensibilisation des directions générales et de tenir un discours autour des enjeux métiers que pose la diffusion de l'information dans une économie numérique.

Pensez-vous que les produits de type DLP peuvent constituer une solution à la problématique de sécurité de l'information ?

Il faut faire attention aux produits miracles des fournisseurs de technologies, qui apportent une solution à un besoin qui n'est pas vraiment cerné, ou dont le traitement par les entreprises nécessite beaucoup plus que l'application d'une pommade technologique.

Les outils sont nécessaires mais en se précipitant sur la mise en place d'un outil sans avoir clairement appréhendé le quoi et le pourquoi, on va rapidement être challengé sur des coûts visibles immédiats sans contrepartie apparente pour l'entreprise. Alors qu'une démarche organisée avec les métiers partant de l'identification des risques, de la définition d'un seuil de risque acceptable, et seulement enfin du choix d'un outil - avec les processus métiers correspondants - aura elle des chances d'aboutir. 

Ce que je constate c'est une fuite en avant technologique alimentée par l'offre qui essaie de créer une demande uniquement sur l'axe technique. C'est finalement un peu comme la chantilly sur le gâteau:  C'est très alléchant mais ça peut être riche et provoquer l'indigestion.