L’Art délicat du grand écart était au coeur de ce premier rendez-vous matinal organisé par SecurityVibes . Car tandis que les normes imposent leur vision de la sécurité, le métier exige, lui, de la souplesse. Au centre, le RSSI doit alors jongler avec sa propre vision de la sécurité, les consignes de sa direction (dont les priorités ne sont pas nécessairement celles définies par la norme) et les exigences des métiers.

Si Bernard Foray, RSSI du Groupe Casino, a lancé le débat en présentant son projet de mise en conformité PCI/DSS, c’est en définitive tout le spectre de la conformité qui a été discuté, de la norme ISO 27001 à Sarbanes-Oxley en passant Bâle II.

Beaux joueurs, les RSSI présents ont commencés par évoquer les bons aspects, parfois oubliés, de la norme. « Un projet de mise en conformité permet souvent de re-visiter des points que nous avions peut-être laissés un peu de côté ! », admet l’un d’entre eux.

Et puis, il y a l’évidence même : « La norme est de toute manière généralement le reflet des bonnes pratiques » fait remarquer l’un des participants, pour qui le débat n’a pas lieu d’être.

Une affirmation toutefois nuancée par un confrère, qui tient à distinguer deux types de normes : « Certaines sont plutôt des textes de loi tandis que d’autres seraient plutôt assimilables à un décret d’application ». Et si les premières aident en effet à faire avancer les choses en formalisant une (bonne) intention, les secondes, en s’insinuant dans l’opérationnel de la sécurité, handicapent.

Cet handicap, un autre membre de la communauté SecurityVibes l’a d’ailleurs défini plus clairement encore : « Le problème vient des normes tout-ou-rien : on est conforme ou on ne l’est pas. C’est l’approche liste à puces chère aux anglo-saxons qui nous pose un problème ».

Un argument que tempère pourtant un autre RSSI présent : « Il n’est pas nécessaire d’être conforme à 100% lors du premier audit. Ce que l’auditeur veut réellement voir c’est que l’entreprise à mis en place un véritable système de gestion de la sécurité (SMSI) et que les choses s’améliorent d’un audit à l’autre ».

Les membres, d’ailleurs, ont reconnu une certaine souplesse aux auditeurs (avec, sans surprise, la palme de la rigueur attribuée aux juniors tandis que celle de la souplesse va aux seniors). « SOX, par exemple, ne permet certes pas au même collaborateur d’apporter une modification à un système de développement et de la mettre en production. Mais certains auditeurs l’acceptent si on leur prouve que cela se fait sous le contrôle d’autres collaborateurs », précise un RSSI.

Pourtant, même s’il bénéficie d’un auditeur souple, le projet de conformité prend souvent l’allure d’une croisade pour le RSSI qui s’y aventure. « La réglementation est perçue comme trop contraignante par les équipes opérationnelles et trop complexe par la DG, c’est là qu’est le véritable grand écart pour nous », poursuit un RSSI. L’homme sécurité est alors très isolé, entre une direction qui peut parfaitement vouloir ignorer la norme (« C’est mon métier de prendre des risques. Combien coûte ton projet, et combien me coûterait la non-conformité ? ») et une production qui y voit avant tout une perte de souplesse. La solution ici semble alors de mener auparavant une campagne de sensibilisation afin de présenter l’intérêt de la conformité : il faut vendre (encore !) le projet.

Soumis à toutes ces forces opposées, on pourrait imaginer que le RSSI se dissolve, n’ayant plus de rôle spécifique à jouer. Il serait alors contraint de choisir un camp : servir la conformité ou la production. « Non, ce n’est pas le cas : nous gardons notre identité. Nous sommes en charge de la protection. A nous de faire avancer les choses par itération, en servant par moment la production, et à d’autres la mise en conformité. Mais avec comme seul objectif la protection », réagit un membre présent.

Enfin, le débat s’est clôturé sur la mise en garde d’un RSSI : « Attention à ne pas céder à la facilité et considérer la norme comme un paravent face à ses propres responsabilités. Si un problème de sécurité concret n’est pas couvert par la norme, le RSSI peut-être tenté de dire que ce n’est pas son problème ».

Et d’autant plus si le projet de conformité est un enfer politique. RSSI, gare alors à ne pas perdre votre âme dans la conformité !