L’avènement du pilotage de la sécurité par le risque signifie-t-il que le RSSI doit évoluer vers un rôle d’expert du risque pour rester dans la course ? La table ronde menée à l’occasion de la Journée Sécurité de 01 Informatique vient ouvrir le débat.

« On a beau parler de Web 2.0, de réseaux sociaux et même de sécurité 2.0, à mon sens l’évolution de la profession aujourd’hui c’est la gouvernance par le risque », explique Jean-Jacques Riera, RSSI de la Française des Jeux.

Le pilotage par le risque, nous en parlions déjà à lors de notre dernier petit-déjeuner SecurityVibes à Londres. Le principe consiste à justifier toute parade mise en oeuvre par un risque quantifiable étudié dans le contexte de l’entreprise, plutôt que de suivre une « check-list » de bonnes pratiques génériques. « Il y a encore quelques années, lorsque nous avions des RSSI techniques, ceux-ci suivaient une check-list et installaient les mesures préconisées : la liste indique qu’il faut un antivirus, alors j’en déploie un, et ainsi de suite. Aujourd’hui il n’y a plus un grand groupe qui déploie une solution sans avoir évalué au préalable le risque spécifique que celle-ci couvrira », poursuit Jean-Jacques Riera.

Le RSSI serait-il alors condamné à devenir un expert du risque pour survivre ? Les avis ne sont pas unanimes. « Pour ce sont deux métiers différents et ils doivent le rester. Le Risk Manager doit être au plus haut de la hiérarchie, proche de la présidence, tandis que le RSSI doit nécessairement être plus opérationnel afin de protéger le système d’information », estime Monique Castaignede, RSSI de PMU.

Une opinion que ne partage pas Alain Bouillé, du groupe CDC (Caisse des dépôts). « La sécurité du SI ne se résume pas à une protection opérationnelle des machines ! La gestion du risque sur le système d’information est tout à fait du ressort du RSSI, qui doit bien entendu être lui-même intégré à la direction des risques (risques globaux, ndlr) ».

Une telle organisation offre alors probablement le meilleur des deux mondes : une prise en compte des risques spécifiques SI dans le cadre d’une stratégie globale de gestion des risques.

Quoi qu’il en soit, la notion de risque (du SI) semble s’imposer : « Auparavant on protégeait le SI pour ce qu’il était. Aujourd’hui on le protège pour ce qu’il rapporte : c’est là un changement de perspective dont la première composante et le risque », complète Thierry Durand, Manager du pôle Sécurité chez NES.

Toutefois, la question de distinguer les risques spécifiques au SI des risques dits « globaux » peut être une fausse bonne idée. Après tout, si l’on commence ainsi, pourquoi ne pas définir des risques spécifiques aux copieurs ou aux sanibroyeurs ? « Je ne pense pas que l’on puisse continuer à considérer qu’il y ait un seul système d’information (et donc un risque « du SI » dans sa globalité, ndlr). Je pense qu’il faut considérer qu’il existe un système d’information par processus métier de l’entreprise », conclue Thierry Durand.

Expert du risque, alors, le RSSI ? Oui… mais pas gestionnaire de risques pour autant ! Le RSSI doit être en mesure d’analyser et de gérer le risque qui pèse sur le SI, et de s’insérer ensuite dans le dispositif global de gestion des risques de l’entreprise, mais pas de se substituer au Risk Manager, qui devra toujours avoir une vision beaucoup plus transversale des risques.