Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Sécurité et sûreté, nouveaux modes d’organisation

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur Sécurité et sûreté, nouveaux modes d’organisation

Dans une telle organisation le RSSI est totalement intégré à la direction sécurité du groupe, ce qui lui offre, toujours selon Christian Agrhoum, une meilleure ouverture. « Le RSSI est alors porté par la direction sécurité. Il a une vision plus transversale que s’il était resté à la DSI, et il est aussi plus audible : quand il préconise un audit, par exemple, il peut parler d’égal à égal avec le DSI. Et plus généralement il prêche un convaincu (le directeur sécurité, ndlr) plutôt qu’un DSI qui aura souvent d’autres priorités », poursuit le directeur sécurité.

Le RSSI reste à la DSI

Il existe toutefois d’autres approches d’organisation. Chez Bull, qui s’est aussi doté d’une direction de la sécurité groupe, le RSSI est ainsi resté à la DSI mais avec un soutien fort à la direction sécurité groupe. « Un RSSI à la DSI est bien placé, mais il est juge et partie et son périmètre s’arrête à celui de la DSI. Or de plus en plus de SI échappent à la DSI (dans le cas de solutions métiers très spécifiques, éventuellement des solutions Cloud lorsque l’applicatif est choisi par les métiers et les contrats négociés par la direction des achats). Cependant, un RSSI en dehors de la DSI est certes plus légitime pour couvrir tous les SI, mais il est éloigné de la DSI et il risque d’être déconnecté, de ne plus être au coeur des projets », explique Philippe Duluc. Face à ces contraintes Bull a fait le choix d’avoir le meilleur des deux mondes en doublant le poste : le RSSI demeure au sein de la DSI mais un expert SSI rejoint la direction sécurité groupe et assure le lien.

Une fois la question du positionnement du RSSI réglée se pose alors la question de celui du directeur sécurité groupe. « A mon sens le directeur sécurité groupe devrait être au comité exécutif, dans un COMEX étendu, ou en tout cas participer à ses travaux. Protéger c’est prévoir, et on ne peut pas protéger l’entreprise si l’on n’est pas avertis de ses projets et sa stratégie à long terme », justifie Christian Agrhoum. Même réflexion chez Bull où le directeur sécurité groupe est en mesure de présenter au COMEX, et son N+1 y siège. Il a un donc un pouvoir d’escalade certain auprès de la Direction Générale.

Une fois mise en place les gains apportés par une direction sécurité groupe vont au delà de la simple visibilité transversale sur les menaces. « Finalement avoir une gouvernance globalisée simplifie bien des choses. Au lieu de ne se préoccuper strictement que de l’information, on envisage les actifs dans leur ensemble (matériel, immatériel, humain). Des questions telles que le comportement des collaborateurs dans les transports (discussions sensibles dans le train, par exemple) ne sont pas à proprement parler de l’informatique, mais qui doit en parler ? Par ailleurs, la RH peut  traiter de la médecine du travail ou le domaine du CHCST (chargé de faire appliquer les règles de prévention au travail, ndlr), mais qui s’assure de la sécurité physique des collaborateurs expatriés ou en déplacement dans des pays à risque ? Finalement il est plus simple d’être global », explique Philippe Duluc.

Autre intérêt : via sa direction sécurité groupe l’entreprise offre également un « guichet unique » aux auditeurs, aux certificateurs et aux institutions.

L’étape suivante, après s’être doté d’une direction sécurité groupe, pourra être d’envisager une politique sécurité globale qui en reflétera le travail. « Attention, c’est un exercice de longue haleine ! Il faut compter plusieurs années si l’on part de rien, et l’entreprise doit déjà être bien organisée : transparence dans ses processus, dans les responsabilités de chacun, etc… », prévient Philippe Duluc

Il conseille à ceux qui voudraient malgré tout s’y lancer d’adopter une approche à trois étage (voir à ce sujet notre article « De la PGSSI à la réalité du terrain »)

  • Un document simple, qui rappelle les grandes lignes applicables à tous les pays (principes de base du pilotage, orientation vers le risque, etc…)
  • Des politiques métiers. Il s’agit certes de la politique de sécurité du SI, mais aussi d’une politique achat (sécurité des achats), de processus de développement d’offre, de politique de sécurité industrielle, environnementale, etc… Il s’agit d’une série de documents répartis par fonction et par métier, de préférence rédigés par les métiers eux-mêmes et validés par la direction sécurité du groupe.
  • Une déclinaison « grand public » : une charte de comportement sur la sécurité IT, sur les bons gestes au travail, etc… qui puisse être distribuée à tous les salariés.

Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.