Si le débat autour du positionnement du RSSI dans l’entreprise n’est pas une nouveauté, il était jusqu’à présent plutôt question de savoir si celui-ci devait dépendre de la DSI ou d’une éventuelle direction des Risques, voire à l’occasion de la Qualité ou du DAF. Mais désormais une nouvelle inconnue s’invite avec force dans l’équation : la direction sécurité groupe.

Lorsque celle-ci existe elle a pour mission de prendre en compte l’ensemble des questions de sûreté et de sécurité de l’entreprise de manière absolument transversale, en incluant donc bien entendu la SSI. « Cela relève de la volonté de comprendre la sécurité de manière globale afin d’être en mesure de détecter les signaux faibles des menaces. En associant la sécurité des biens (badges, caméras de surveillance, contrôle d’accès aux bâtiments…), des personnes (transports, déplacement des personnels sensibles, opérations dans des pays à risque…) et de l’information on aura plus facilement une vision complète des menaces et des attaques », résume Christian Aghroum, Président de la commission sécurité numérique du CDSE et Directeur de la sécurité d’un groupe international. Et pour Philippe Duluc, Directeur sécurité groupe chez Bull, c’est encore plus concret : « Une petite faiblesse physique associée à une petite faiblesse logique peut donner une vraie faille ». Dont acte.

Une direction de la sécurité doit parvenir à rassembler la gestion du risque et la sécurité à la fois physique et logique. « La SSI est l’un des moyens d’assurer la sécurité de l’entreprise mais ce n’est pas une fin en soit. C’est évidemment un aspect très important parce qu’il s’agit d’un domaine où la menace est forte, mais ça ne reste qu’un élément d’une chaîne. Par exemple, comment sécuriser dignement ses réseaux informatiques sans sécuriser physiquement bâtiments et salles serveur ? La SSI ne peut être aussi transversale et il lui faut donc un relais pour faire le lien entre ces besoins. Ce relais peut être la direction sécurité groupe », plaide Christian Aghroum.

Ce serait donc une erreur d’imaginer faire de sa direction sûreté existante une direction sécurité groupe sans autre forme de procès. « Car il ne s’agit plus d’une unique question de gestion des vigiles ! Le fonction s’est transformée en mission transversale qui nécessite une compréhension du monde dans lequel on vit, de la mondialisation, comme l’illustre par exemple la pratique de l’Intelligence Economique », met en garde Christian Aghroum.

Une entité à part

Une direction sécurité groupe est donc bien une entité à part, qui nécessitera probablement des recrutements spécifiques. « La mission d’une direction sécurité groupe en fait une organisation complexe avec un besoin de compétences plus vastes (qu’une direction sûreté traditionnelle, ndlr). Et cela passe donc par un recrutement plus varié et plus seulement d’anciens militaires ou policiers », observe Christian Aghroum.

Pour preuve lorsqu’il a pris ses fonctions, Christian Aghroum a mis en place quatre équipes, chacune pilotée par un spécialiste qui lui rapporte directement :
• Une équipe sécurité des bâtiments
• Une équipe SSI
• Une équipe surveillance (sécurité des biens, des personnes, des transports)
• Une équipe d’urgence (essentiellement sécurité incendie)

Il a en outre associé, de manière transversale, un risk manager capable d’apporter une vision purement « risques » à l’ensemble des équipes et s’appuie sur un juriste destiné à garantir la protection des données personnelles et la transparence des opérations (« C’est vital : une direction sécurité groupe peut vite avoir tendance à se laisser embarquer dans des actions parfois questionnables, motivée par le désir de bien faire ou la paranoïa. Il faut savoir s’appuyer sur une composante légale et travailler de manière transparente et transverse », ajoute-t-il)