"Passer de la sécurité numérique à la sécurité physique est plus facile que l'inverse" : ces RSSI qui deviennent aussi CSO
L'incendie qui a détruit le data center d'OVH en mars 2021 a révélé de manière éclatante les liens étroits qui existent entre la sécurité physique et la sécurité logique. Il a en effet mis à mal la cybersécurité de nombreuses entreprises en provoquant l'indisponibilité de services web et une perte irrémédiable de données stockées. Il a aussi confirmé la pertinence des organisations qui "appréhendent la sécurité de manière holistique, autant sur l'aspect logique que physique", observe Eric Singer, chief security officer (CSO) chez Ingenico.
Comme d'autres, cet ancien responsable de la sécurité des systèmes d'information représente une nouvelle tendance dans certaines organisations : celle de mêler sécurité physique et numérique en une seule fonction. Désormais CSO, il a en effet "trois responsabilités : une relative à la sécurité numérique de l'organisation, une pour la sécurité de ses sites, et une autre pour la sécurité des personnes. Les trois sont entrelacées dans mes fonctions de CSO", précise-t-il. Importé des Etats-Unis, le métier de CSO pilote l'ensemble des dimensions de la sécurité d'une organisation et gagne en importance depuis quelques années en France. "Ce rapprochement entre la sécurité physique et la sécurité logique est de plus en plus naturelle et va croître avec le temps", confirme Julien Bui, lui aussi ancien RSSI devenu CSO, chez Fabriq.
ISO 27001 : le tremplin des RSSI vers le métier de CSO
"Ce phénomène est récent. Il date surtout de ces cinq ou dix dernières années", poursuit Julien Bui, à propos de la multiplication des postes hybrides comme le sien, mêlant sûreté physique et cybersécurité. Selon lui, cela s'explique avant tout par l'adoption massive, ces dernières années, de la norme de cybersécurité ISO 27001 par les organisations. Il s'agit de la norme internationale de référence pour la sécurité des informations sensibles contre les menaces et les risques. "Elle contient 14 mesures de sécurité physique de l'information et huit mesures relatives à la sécurité des personnes".
Depuis que la conformité à cette norme est nécessaire pour de nombreuses entreprises, les RSSI ont progressivement pris en compte l'aspect physique de la sécurité de l'information et l'ont intégré à leur fonction. "C'est pourquoi la bascule du RSSI vers le CSO est tout à fait naturelle, étant donné que le spectre de la gestion des risques pour la sécurité de l'information s'est élargi". En outre, "les interconnexions sont aujourd'hui très nombreuses entre le monde physique et le monde logique. Ces deux mondes communiquent ensemble au quotidien. Un cybercriminel peut attaquer un système d'information en s'introduisant dans un bâtiment et en profitant d'un port USB non sécurisé", observe Annick Rimlinger, membre du Club des directeurs de sécurité des entreprises (CDSE) et directrice de la sécurité globale d'Aéma Groupe, fonction qu'elle assimile à celle de CSO. C’est pourquoi, selon elle, les organisations gagnent à regrouper dans une seule fonction de CSO l’ensemble des enjeux de sécurité physique et de cybersécurité.
Cependant, cette transformation du RSSI en CSO dépend de la nature de l'organisation, tempère Eric Singer. "Dans les milieux industriels, ce type de profils augmente car la continuité d'activité est une forte nécessité. Or, dans l'industrie, avec des sites de production, la continuité d'activité mêle problématiques de sécurité physique et logique. Même chose dans les organisations avec des métiers sensibles où il y a un impératif de souveraineté des données. Dans les autres organisations, un CSO n'est pas forcément pertinent. C'est le métier de l'entreprise, et pas sa taille, qui nécessite ce type de profils."
Les qualités qui comptent
Si de plus en plus de RSSI deviennent CSO, c'est aussi "parce qu'il est plus simple d'aller de la cybersécurité à la sécurité physique que l'inverse", affirme Eric Singer. "La bascule de RSSI vers la sécurité physique est plus facile car un RSSI est transverse et considère déjà les problématiques de sûreté des biens et des personnes. A l'inverse, il sera plus difficile pour un spécialiste sûreté de se diriger vers la sécurité informatique car il devra apprendre l'informatique, obtenir un diplôme d'ingénieur, etc.", approuve Julien Bui. "Gérer une catastrophe naturelle qui atteint des sites, des problèmes d'expatriés ou autres, dans des conditions souvent dangereuses, ce ne sont pas des compétences que possède un RSSI", nuance cependant Thierry Delville, CSO monde de Capgemini et membre du CDSE.
Le RSSI doit aussi être doté de certaines qualités humaines pour devenir CSO. "Il doit savoir travailler en équipe et faire preuve d'ouverture d'esprit et de curiosité car les normes et les référentiels de la sécurité physique changent très vite et souvent", observe Julien Bui. "Il doit agir comme un chef d'orchestre capable de coordonner les multiples compétences relatives à la sécurité physique et à la cybersécurité : la lutte contre les incendies dans les salles informatiques, la continuité d'activité, etc.", ajoute Eric Singer. Enfin, il doit exceller dans la communication. Et pour cause. Le RSSI qui devient CSO ne dépend plus de la direction des systèmes d'information. Il rend compte directement au comité exécutif de l'entreprise et doit le sensibiliser aux nouveaux enjeux de la sécurité globale. "Pour moi, passer de RSSI à CSO, c'est prendre plus d'ampleur au sein de l'organisation car les domaines de compétences sont bien plus vastes", conclut Julien Bui.