En quoi consistent vos missions en tant que RSSI ?
C'est très varié, puisque la fonction sécurité porte sur
du conseil, du consulting, de la sensibilisation et du contrôle, Il faut être
un peu partout et présent dans les différentes directions, et pas seulement l'informatique.
Fournir les indicateurs, valider les solutions, participer à des réunions, parfois
mettre son veto. Finalement, c'est beaucoup de relationnel.
Quelle est votre position dans l'organigramme ?
Je suis rattaché au DSI. Est-ce une bonne position ? C'est
un point que nous avons souvent abordé au Cigref. Le fait d'être à la DSI a des
avantages et des inconvénients.
|
|
© Christophe Auffray
|
|
L'inconvénient c'est qu'il n'est pas possible d'avoir
une entière liberté sur tout. Il y a toujours une relation hiérarchique, de donneur
d'ordre. Parfois donc, des chantiers peuvent paraitre nécessaires, mais l'attachement
hiérarchique fait que le RSSI sera peut-être plus modéré.
L'autre solution consiste à rendre la fonction de RSSI
indépendante de l'informatique. Dans ce cas, on la trouve souvent rattachée à
un service comme le contrôle interne ou l'audit. Elle couvre alors plus favorablement
l'ensemble de l'entreprise, mais en contrepartie, il n'est plus possible de participer
directement aux projets DSI.
A l'inverse, le rattachement à la DSI présente néanmoins
des avantages. Etre partie prenante de la DSI permet de faire avancer les choses
plus facilement puisqu'il est possible d'intervenir directement auprès du DSI.
Disposez-vous d'une cellule sécurité ?
En matière d'organisation, il y a aussi deux écoles. Le
RSSI qui dispose d'une équipe et celui qui n'en a pas, ce qui est mon cas. Je
l'ai choisi volontairement. Je pense qu'au regard de la difficulté à sensibiliser
l'ensemble des services, dans le cas d'une équipe dédiée, les questions sécurité
seraient dévolues au pôle sécurité en considérant que c'est leur problème et qu'il
n'y a pas s'en soucier.
"Nous avons sollicité toutes les directions de
l'entreprise pour les sensibiliser à l'identification des risques" |
A l'inverse, ne pas avoir d'équipe de sécurité m'oblige
à sous-traiter, à l'extérieur et en interne, et ainsi de sensibiliser en permanence
toutes les équipes. Pour moi c'est une meilleure solution, même si ce n'est pas
pour autant facile.
Quelles sont vos initiatives en matière de gestion des
risques ?
Dernièrement, nous avons sollicité toutes les directions
de l'entreprise pour les sensibiliser à l'identification des risques. Nous avons
créé un registre des biens informatiques et défini pour chaque direction ceux
indispensables au bon fonctionnement de l'entreprise, associés à des risques et
des priorités. En mettant des critères de risque et des indices d'importance dans
les plans de secours, nous nous assurons de bien tout couvrir.