RSSI et directeurs sécurité s'allient face aux risques

Chef d'orchestre en gestion de crise, le directeur sécurité s'appuie sur le RSSI pour anticiper et répondre aux risques informatiques. Une collaboration qui nécessite confiance et échanges réguliers.

Tous deux souvent discrets, le directeur de la sécurité et le RSSI, fonctions à responsabilités transverses, sont amenés à cohabiter dans l'entreprise et surtout à collaborer afin d'apporter une réponse aux risques. En effet, compte tenu de la nature centrale de l'informatique au sein des organisations, il n'est plus envisageable pour ces spécialistes de la sécurité de ne pas établir de ponts entre leurs territoires.

Le RSSI bénéficie toutefois de plus de visibilité que le directeur de la sécurité, un temps essentiellement issu des rangs de la police. Ce dernier reste en effet méconnu et encore, selon la maturité des entreprises, en quête de légitimité. Une question qui n'est pas nouvelle puisque la sécurité, perçue essentiellement comme un centre de coûts, doit régulièrement communiquer auprès des managers sur son apport, sa valeur.

Eric Le Grand, directeur de la sécurité du groupe La Poste, était justement présent la semaine dernière au Cercle Européen de la sécurité afin d'apporter un éclairage sur la fonction et sur la cohabitation avec la sécurité des systèmes d'information (SSI).

img 3212
De gauche à droite : Patrick Langrand (RSSI - La Poste), Olivier Hassid (CDSE), Eric Le Grand (directeur sécurité - La Poste), Isabelle Tisserand (Le Cercle). © Christophe Auffray, BG

"Beaucoup nous prennent pour des bêtes curieuses, mais nous cultivons aussi un peu le mystère il est vrai. Nous nous révélons dans la crise, dans le dysfonctionnement. A cela s'ajoute un travail amont de protection et d'anticipation. Le problème du 'complexe de l'extincteur', c'est que plus on travaille sur la protection et l'anticipation et moins on a de capacités à démontrer notre utilité face à la survenance de problèmes", brosse Eric Le Grand.

img 3213
Eric Le Grand (La Poste) © C.A

Le directeur de la sécurité est par la transversalité de sa mission amené à couvrir les risques de l'ensemble des métiers de l'organisation. Dans un groupe comme celui de La Poste, considéré comme infrastructure vitale pour le fonctionnement de la nation, c'est donc prendre en charge la protection à la fois du courrier, des colis, de la banque, des bureaux de postes, de 17 000 points de contact clients, de 240 filiales, le tout dans un contexte d'internationalisation croissante.

La sensibilisation des décideurs et la maturité en matière de sécurité ont progressivement contribué à l'évolution ascendante du directeur de la sécurité. Les entreprises sont en effet devenues plus fragiles, en raison de l'externalisation et de l'interdépendance, d'un mode de fonctionnement en flux tendus conduisant rapidement à des situations de crise lors d'un dysfonctionnement, de l'informatisation, de l'accentuation de la concurrence mondiale et d'une médiatisation accrue.

"Une entreprise est faite pour avancer. Une entreprise qui ne prend plus de risques, qui ne va plus sur de nouveaux marchés, cesse d'embaucher, etc. Elle est condamnée à régresser. Cette nécessité de prendre du risque s'accompagne forcément d'un besoin sécuritaire", commente Eric Le Grand. Le directeur sécurité intervient dans cet environnement à la façon d'un chef d'orchestre, d'un coordinateur doté d'une vision globale, faisant au besoin circuler l'information d'un métier à l'autre, et notamment à la SSI.

patrick langrand
Patrick Langrand (La Poste) © C.A

"En matière de disponibilité des systèmes d'information, et très concrètement, à la veille des versements des minima sociaux, une interruption de service peut générer une crise. Il y a donc des mesures de prévention et de précaution à prendre, et c'est tout l'objet de notre démarche quotidienne", témoigne Patrick Langrand, RSSI du groupe La Poste pour illustrer la cohabitation.

Le rôle du directeur sécurité n'est donc pas d'empiéter sur le domaine du RSSI. Il tendra à s'appuyer sur lui, plus encore en situation de crise. La cellule de crise repose ainsi totalement sur les moyens de la SSI sur la partie traitement du dysfonctionnement informatique déclenchant le plan de secours et de continuité.

img 3219
Olivier Hassid (CDSE) © C.A

"La problématique de contrefaçon, comme la spoliation des sites marchands, jette également des ponts entre les deux fonctions. Dans ces situations, le RSSI ne doit pas garder l'information pour lui mais bien faire fonctionner les dispositifs de crise coordonnés par le directeur sécurité. Le risque d'image est en effet important pour le groupe", cite Patrick Langrand.

Le directeur de la sécurité intervient pour assurer le lien, le ciment entre les briques, tel que le décrit Eric Le Grand. Pour cela il sera au service des métiers. "Les directeurs sécurité ont mis un terme au nombrilisme, et décidé qu'il était nécessaire de s'ouvrir en ne se limitant donc pas au seul département sécurité, mais à l'ensemble des métiers des entreprises. C'est pourquoi ce sont les entreprises qui s'engagent au CDSE et non uniquement les directeurs sécurité", précise Olivier Hassid, Secrétaire Général du CDSE.