Les différentes vies du RSSI, un éternel retour vers le futur
Dans un contexte de cyber-menace et de RGPD, les missions du RSSI (Responsable de la sécurité des systèmes d’information) ont beaucoup évolué. Herve Ysnel, Vice-Président en charge des activités conseil sécurité, risque & continuité d'activité chez CGI Business Consulting, nous explique les tenants et aboutissants de ce poste désormais incontournable.
Dans son célèbre roman, 1984, Georges Orwell écrivait, "celui qui a le contrôle du passé a le contrôle du futur. Celui qui a le contrôle du présent a le contrôle du passé". Ces questions de temporalité et de contrôle sont des constantes dans le rôle du responsable de la sécurité des systèmes d’information (RSSI). En quelques années, il a su prendre ses marques au sein de l’entreprise en s’imposant comme une fonction à part entière vis-à-vis des métiers et stratégique auprès du Comex. Pourtant, cette transformation s’est déroulée progressivement à travers plusieurs ères, chacune apportant des technologies, des approches et des process distincts.
De la fondation à la certification
Il y a 20 ou 10 ans, les pionniers ont dessiné les contours du métier et la compréhension des enjeux. Auparavant, les sujets de sécurité étaient traités au coup par coup sans vision globale. Différentes thématiques ont été abordées par ces précurseurs : audit, définition d’un programme de pilotage, mise en place de reporting sur les processus, élaboration d’une politique de sécurité. Cette ère des fondateurs a permis de poser les principes fondamentaux encore utile aujourd’hui.
Puis est venu le temps de la conformité avec l’arrivée des normes ISO, notamment la norme ISO 27001. Avec ce référentiel, le métier s’est doté d’une vision complète des processus et d’une cohérence sur un ensemble de tâches auparavant disparates. Les bénéfices ont été multiples : une efficacité accrue, une meilleure compréhension sur les échanges entre les tâches, les investissements plus pertinents, adoption d’une approche « d’amélioration continue », etc.
De la digitalisation à la réglementation
Accompagnant la tendance de la digitalisation de l’entreprise et le besoin de traçabilité, le RSSI s’est doté d’outils dédiés afin de gérer des tâches de plus en plus complexes. Son rôle a notamment été impacté par l’arrivée de l’outillage GRC (Governance Risk Compliance), ces solutions assurant la conformité et la traçabilité en interne pour les fonctions de contrôle (audit interne, contrôle interne, compliance, risk management). Une aide puissante et essentielle déclinée en GRC-IT, pour s’adapter au périmètre d’intervention de l’IT. En consolidant, les informations en un point unique, il donne une vision globale sur la conformité de l’entreprise en termes de sécurité informatique.
Avec l’aide de ces outils, le RSSI s’est converti à la conformité juridique avec un cadre réglementaire de plus en plus présent. En France, la loi de programmation militaire de 2013 crée le statut d’opérateur d’importance vitale (OIV) en leur imposant des obligations de sécurité spécifiques et renforcées. Plus récemment, deux textes issus de l’Union européenne se sont invités dans l’agenda des responsables de la sécurité. Le RGPD (règlement général sur la protection des données) oblige, entre autres, les entreprises à prendre toutes les mesures de sécurité pour éviter les fuites et vols de données à caractère personnel. Par ailleurs, la directive NIS crée le statut d’opérateur de service essentiel (OSE) avec là encore des obligations de sécurité dédiées.
De l’automatisation à l’intelligence artificielle
Dans ce tourbillon de responsabilités et de besoins opérationnels, le RSSI doit avoir le temps de gérer le temps long et le temps court. Pour cela, l’automatisation crée une cohérence sur un périmètre de menaces plus étendu (cloud, mobilité, ...) et améliore l’efficacité en remplaçant les tâches manuelles par des automates. Cette approche implique d’intégrer un certain nombre de composants comme du RPA (Robotic Process Automation) ou la création de scripts. En générant plus d’analyse en temps réel et en s’interconnectant avec différents services de sécurité, comme le SOC par exemple, l’automatisation renforce la capacité opérationnelle de cybersécurité.
L’intelligence artificielle à travers le machine learning et le deep learning va se révéler un atout supplémentaire pour les RSSI. Les outils sont maintenant capables d’apprendre et de comprendre les différents scénarios d’une menace et dans certains cas de configurer une réponse ad hoc. Ces services changent le rôle du responsable de la sécurité. Ils se doivent d’offrir une approche user centric en proposant une vision imagée du système d’information.
Du partenariat à la stratégie du risque
Avec des outils plus performants et une vision plus large de la sécurité, le RSSI jette des ponts avec les métiers pour ne plus être perçu comme un frein au développement, mais comme un partenaire. Du privacy by design au DevSecOps, la sécurité s’infuse de plus en plus dans les métiers qui se tournent vers l’expertise et le savoir-faire des RSSI. Une fonction qui nécessite de trouver un langage commun et de se transformer en business partner avec les métiers.
Avec les affaires NotPetya ou Wannacry, le risque cyber est entré dans le palmarès des risques (dans le TOP3 bien souvent). Les entreprises se sont naturellement tournées vers les RSSI pour travailler sur ces risques. Ils endossent donc la responsabilité d’élaborer une stratégie de défense et de gestion de risques. Ce nouveau RSSI « risk manager » n’est pas l’expert technique avec qui nous avons démarré 20 ans plus tôt. C’est donc un problème pour ceux qui ne veulent pas suivre l’évolution de leur métier, ils se verront « coiffés » par un profil plus manager et plus communicant. Pour d’autres, voilà le moyen de monter dans la hiérarchie de leur organisation et d’augmenter l’impact de leurs décisions !
Herve Ysnel, Vice-Président en charge des activités conseil sécurité, risque & continuité d'activité - CGI Business Consulting.
Les avis d'experts et les points de vue sont publiés sous la responsabilité de leurs auteurs et n'engagent en rien la rédaction.
SUR LE MÊME SUJET
Les différentes vies du RSSI, un éternel retour vers le futur
Tous les champs sont obligatoires
0Commentaire
Réagir