Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Le RSSI idéal… selon le DSI !

auteur de l'article Jerome Saiz , dans la rubrique Carrière

« Dis, monsieur le DSI, dessines moi un RSSI », a-t-on demandé à Christophe Leray, DSI du PMU. Et c’est précisément ce qu’il a fait, à l’occasion d’une présentation réservée aux RSSI participants à notre CSO Interchange Paris 2011.

Christophe Leray a commencé par établir un parallèle entre DSI et RSSI : tous deux sont ainsi aux commandes d’une fonction à la fois critique et transverse de l’entreprise, et tous deux évoluent désormais vers un rôle moins technique, au profit de la couverture des besoins métiers (il parle d’ailleurs à cette occasion de « B2SI », Business to SI).

Enfin DSI et RSSI travaillent tous deux en mode non-hiérarchique (parce que transverse) et doivent être en mesure de vulgariser parfaitement leurs projets : le DSI vis-à-vis de sa DG, le RSSI afin d’exprimer les niveaux de risque métier.

Mais cela n’empêche pas les deux fonctions d’être aussi très différentes, et parfois même antinomiques. D’abord parce que les objectifs et les périmètres peuvent être différents (sécurité du système d’information contre sécurité de l’information, disponibilité contre sécurité, par exemple). Et puis parce que contrairement à la DSI où le ROI d’une solution se mesure généralement sans trop de difficulté, celui d’un projet de sécurité est plus flou (les anglo-saxons pourraient parler de « ROI envy », ndlr). Ajoutons à cela que contrairement à la DSI, la SSI a rarement de sponsor métiers et l’on imagine qu’il est bien plus difficile de « vendre » un projet sécurité !

Et enfin, bien sûr, il y la crainte potentielle de la DSI face à une SSI capable de mettre en lumière un manque de maturité éventuel de sa part en terme de sécurité, ou dont les recommandations pourraient avoir un impact négatif sur la livraison ou le fonctionnement d’un projet de la DSI.

Dans ce contexte, lorsque Christophe Leray imagine le RSSI idéal, il le voit doté de cinq qualités principales :

  • C’est un Business Partner
  • C’est un Risk Manager
  • Il est analyste / concepteur / contrôleur
  • Il est pragmatique
  • C’est un communiquant

En tant que Business Partner, le RSSI devrait ainsi être un facilitateur du métier. Ni gendarme, ni pompier, et faisant fi du discours de la peur, il devrait plutôt écouter les besoins métiers, éclairer ces derniers sur les risques et proposer des compromis acceptables.

En tant que Risk Manager, le RSSI n’est pas celui qui décide. Christophe Leray lui conseille donc d’être plutôt le conseiller, et de se limiter à ce rôle, ce qui lui permettra d’être plus efficace. Il doit pour cela intégrer la stratégie de l’entreprise, le risque business et surtout le niveau de maturité du SI, afin de ne pas proposer l’irréalisable.

Comme analyste / concepteur / contrôleur, le RSSI devrait laisser le « faire » aux autres ! La SSI ne devrait se positionner que dans un rôle d’analyse et de contrôle continu, laissant les opérationnels s’occuper de faire bouillir la marmite à chaque étape de la vie du projet (Plan, Design, Build, Run). Le rôle de la SSI se situe plutôt dans la stratégie, l’analyse et dans la définition des politiques et des solutions.

En bon pragmatique, le RSSI doit savoir adapter les politiques de sécurité aux risques, aux enjeux et aux bénéfices espérés. Il doit comprendre qu’il n’y a pas de solution maximaliste idéale, et qu’il lui faudra donc tenir compte, par exemple des capacités et du niveau de maturité de la DSI (de ses compétences internes, par exemple).

Enfin, le communiquant qu’il doit être sera trilingue : il parlera la langue des métiers (afin de comprendre leurs enjeux), celle du management (traduire et vulgariser les enjeux de sécurité) et celle de ses collègues (donner envie, faire vivre la sécurité au sein de l’entreprise, sensibiliser).

Muni de ces cinq casquettes, le RSSI sera alors, aux yeux de la DSI, l’allié idéal.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

6 réponses à Le RSSI idéal… selon le DSI !

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.