Le RSSI doit-il être le dépositaire des risques de son organisation ?

Face à la montée en puissance des réglementations et standards, les organisations se questionnent sur le positionnement, voire la légitimité ou l’utilité, du RSSI. La notion de risques opérationnels est au centre des interrogations des dirigeants sur l’organisation et les processus à mettre en œuvre.

Les dirigeants d'entreprise doivent appréhender les liaisons, plus ou moins fortes, entre le risque opérationnel métier, l'information et les systèmes d'information. Du coup, le positionnement, le rôle et la responsabilité du RSSI sont sous le feu des projecteurs, avec potentiellement des impacts non-négligeables.

Pendant ce temps celui-ci, dans cette quête existentielle, court d'intelligence économique en gestion des identités à la recherche de « qui il est » et de « ce qu'il est » pour son organisation.

Un RSSI pour quels risques ?

Le risque opérationnel est défini par la Commission bancaire comme « le risque résultant d'une inadaptation ou d'une défaillance imputable à des procédures, personnels et systèmes internes ou à des événements extérieurs. ». Le risque opérationnel est donc avant tout celui des métiers, le risque d'un procédé de fabrication défectueux, d'un mauvais contrôle d'un bordereau par un back-office ou simplement d'une erreur lors d'un contrôle qualité en fin de chaîne de montage.

Globalement, le risque opérationnel tend à mesurer la perfection, ou à l'inverse l'exposition au défaut, de l'organisation dans la réalisation de son métier. C'est un fondement pour évaluer la gouvernance et la qualité de la gestion d'une organisation. Il est bien naturel qu'actionnaires, législateurs et simples citoyens en demandent plus quand ces risques peuvent se traduire en Seveso, Enron, AZF, etc. L'homme moderne aime de moins en moins l'incertain, et l'imperfection humaine, chère à Platon, et ses effets n'ont jamais finalement autant été d'actualité !

Dans son analyse, le risque opérationnel peut avoir comme sous-jacent un ou plusieurs autres risques comme, par exemple, un risque de l'information, un risque informatique ou un risque de l'informatique. Par exemple, un risque de l'information pour la protection de la confidentialité d'un nouveau modèle, un risque informatique pour la défaillance d'une baie de stockage, un risque de l'informatique pour la  difficulté à opéré un magasin sans informatique.

La prépondérance de l'un ou plusieurs de ces risques sous-jacents va profondément influencer la stratégie de gestion des risques décidés par les dirigeants de l'organisation, et, par la même, les responsabilités du RSSI. Doit-il couvrir les risques opérationnels, inclure les risques de l'information ou plus traditionnellement se focaliser sur les risques informatiques ? L'enjeu est bien la pertinence pour l'organisation d'une notion de Direction des Risques qui engloberait les différents types de risques, de la contribution du RSSI à cette direction et avec l'éternelle balance entre centralisation et délégation.


Le RSSI, ce manager des risques

Il peut être intéressant d'aborder le métier de RSSI en faisant l'analogie avec un autre mieux défini et compris des organisations comme celui de Directeur Administratif & Financier (DAF). Le DAF n'est pas responsable de l'utilisation par chaque département des budgets alloués. Il est en charge de définir et mettre en oeuvre les processus et l'organisation nécessaire au suivi de l'utilisation des budgets et des recettes.

La comptabilité enregistre les opérations de crédits et débits de l'organisation et le contrôle de gestion procède à l'analyse des comptes, notamment à des fins de conformité et de pilotage.

Ainsi pourquoi un RSSI devrait-il être le primo responsable des risques liés aux données nominatives d'un fichier de prospects ou clients, quand le Directeur Financier n'est pas lui le primo responsable des dépenses commerciales et marketing ? Le Directeur Financier a-t-il autorité pour expliquer au Directeur Marketing quand et comment il doit utiliser son budget ? Le RSSI doit-il seul décider du niveau de confidentialité d'un plan marketing et supporter les conséquences de la décision ?

Le RSSI doit, comme son homologue des finances le fait via la comptabilité et le contrôle de gestion, définir et mettre en oeuvre les processus de gestion et de suivi des risques qui lui incombent. D'une part des processus de comptabilisation des risques pour augmenter et maintenir un référentiel alimenté par les métiers et unités opérationnelles.

D'autre part, des processus de contrôle des risques pour structurer, analyser et communiquer la posture de l'organisation. Par la maîtrise de ces processus, le RSSI peut fournir à la Direction Générale une vision sur les risques de l'entreprise et apporter toute son expertise.

Mais, le responsable d'un risque, celui qui a autorité à l'accepter ainsi qu'à endosser les mesures de contingentement ne peut-être que le responsable du métier impacté. La vraie responsabilité du RSSI est le bon fonctionnement des différents processus de gestion des risques, du respect de leurs objectifs de performance et adéquation vis-à-vis de la stratégie et de l'organisation. C'est par la compréhension du cap fixé par les dirigeants que le RSSI peut bâtir l'itinéraire vers l'objectif de la gestion des risques : la compréhension et la maîtrise de la résilience de l'entreprise face aux risques.


La responsabilité des incidents et des crises

Les traumas de la Sécurité des Systèmes d'Information (SSI) issus des crises et incidents sont toujours inégaux puisqu'ils surviennent à des moments différents sur des Systèmes d'Information (SI) et des organisations qui évoluent en permanence.

Pour le RSSI, un malheur n'est jamais miraculeux, mais il présente une opportunité pour construire ou étendre sa légitimité personnelle, organisationnelle et fonctionnelle. Face à un incident ou une crise, le RSSI peut soit se soumettre à la fatalité et devenir « le Jacques » des SI ou la surmonter grâce à la maîtrise des processus de gestion des risques informatiques. Le RSSI doit-il être un héros coupable d'avoir réduit les menaces ?

Le danger d'une dérive d'un fatalisme aggravé mettrait le RSSI face à des choix névrotiques comme celui d'attendre volontairement l'incident, « je vous l'avais dit ! », se mettant ainsi en conflit tant avec son éthique personnelle que de son engagement moral auprès de l'entreprise. Le RSSI doit savoir surmonter cela et ainsi faciliter son intégration dans les rites sociaux et organisationnels de l'entreprise.

Le catastrophisme et l'appel aux loups, si cher à l'industrie de la sécurité, sont un fatalisme de mauvais alois, ils doivent être oubliés pour que le RSSI devienne un Manager normal, qui organise, gère, délivre et surtout communique. La première utilité de la communication est de tisser la relation avec le reste de l'organisation et plus particulièrement la Direction Générale au travers de tableaux de bord sur la performance des processus de gestion des risques.

L'oubli ouvre la porte à la répétition alors que l'abus de mémoire prépare la répétition intentionnelle. Face à un incident ou une crise, le mantra du RSSI doit être « ni oublier, ni utiliser »: le seul moyen de s'en sortir, c'est de comprendre pour optimiser et faire évoluer les processus dont il est responsable. Le travail du RSSI, comme celui de beaucoup de manager, n'est pas une histoire linéaire mais  une résolution incessante de problèmes, qui remis en perspective, reconstruit dans le cadre de l'histoire des risques et processus de l'entreprise, prend une toute autre signification.

Des technologies sécurités au Management des Risques

Si le RSSI ne peut ou ne sait affirmer son rôle d'organisateur de la gestion des risques, il est en péril de passer son temps à souffrir et se plaindre. Les raisons de cette incapacité peuvent être humaines, car le métier de RSSI oblige à abandonner le monde des technologies pour entrer dans celui du Management et d'une logique d'entreprise.

C'est un saut qui peut être difficile et où le suivi d'une formation complémentaire, comme un MBA, est souvent salutaire pour acquérir les compétences nécessaires. A défaut, le retour vers un poste technologique de Responsable Informatique de la Sécurité (RIS) au sein de la Direction Informatique est à rechercher. La nomination de RSSI non-technique mais issus du monde juridique, des métiers est une tendance lourde et profonde de l'industrie, appuyée par les enjeux globaux de la gestion des risques.

L'incapacité peut aussi venir de l'organisation et de sa Direction Générale qui peuvent ne chercher, par la création du poste de RSSI, qu'une étiquette de bienséance et de bonne conscience, et, parfois, rien d'autre qu'un bouc émissaire prêt à consommer au premier malheur.

La poussée réglementaire catalyseur du changement

Les évolutions réglementaires (Sarbannes-Oxley, Bâle II, Solvency II, LSF, CRBF 97-02, etc) ont, pour les organisations soumises à conformité, généré un électrochoc auprès des Directions Générales dans leur compréhension des enjeux de la gestion des risques et du rôle de RSSI. Toutes ces réglementations se fondent sur une approche processus de la gestion des risques opérationnels.

Les risques informatiques sont soit une catégorie de risque opérationnel pure, notamment par la  résilience des SI et plus particulièrement le Plan de Continuation d'Activité (PCA), soit un sous-jacent d'un risque métier. Si l'on ne doit pas forcément souhaiter la généralisation de ce type de réglementation à toutes les organisations, il n'en demeure pas moins que l'on doit chercher dans l'exemple des travaux de conformités les indicateurs fondamentaux de l'évolution du métier de RSSI et de ses processus de gestion des risques.