Valérie Tudoux (RSSI, Natixis BFI) "Quatre grands audits sont menés chaque année"
Les projets de développement intègrent souvent péniblement la sécurité. En est-il différemment chez Natixis BFI?
La formation actuelle des développeurs fait qu'ils ne pas pensent pas sécurité en priorité. Notre volonté est d'être le plus en amont possible et de travailler plus avec les maitrises d'ouvrage. Cela commence à être dans l'air du temps, même si cela demeure compliqué. Nous travaillons conjointement avec la DSI sur cette prise en compte.
En termes de réalisations, lors de la rédaction de la politique de sécurité, nous avons fait valider par les développeurs les directives de sécurité liées aux projets de développement, et travaillé avec eux pour définir un langage commun.
Une méthodologie de suivi de projet tenant compte des différents préceptes de la sécurité a été définie. Le développement prend concrètement en considération la sécurité, même si ce n'est pas complètement systématisé.
Quelle est votre politique en matière d'audit ?
Les audits sont multiples, avec notamment des audits métiers. Côté sécurité, nous disposons de notre propre plan d'audit basé sur des actions trimestrielles. Quatre grands audits sont donc menés chaque année, sur des domaines fonctions des projets du moment, comme la VoIP.
Récemment nous avons audité les PCA, en place depuis plusieurs années. Nous voulions juger de leurs performances et effectuer, si besoin, une mise à niveau par rapport au marché.
Il est beaucoup question de standards ISO 27 000, pour autant la certification est-elle un objectif ?
C'est une grande orientation, mais qui représente un travail considérable pour aboutir à la certification. Nous prenons les chantiers les uns après les autres. Aujourd'hui nombre de nos projets s'orientent vers le SMSI pour justement correspondre en partie au carcan de la norme.