Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Sécurité et sûreté, nouveaux modes d’organisation

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur Sécurité et sûreté, nouveaux modes d’organisation

Quand la direction sécurité ne fait pas l’unanimité

Tout le monde n’est toutefois pas convaincu de l’intérêt d’une direction sécurité groupe. « Nous n’avons pas de directeur sécurité groupe et cela fonctionne très bien ainsi. Nous avons un risk manager en charge des risques globaux (y compris physiques et des personnes) et moi-même, responsable de la SSI. Il n’y a pas de strate qui unifie le tout », explique ce RSSI d’un groupe international qui tient à rester anonyme.

Pas de direction sécurité groupe, donc, mais une collaboration efficace entre les deux professionnels de la sécurité. Tous deux animent chaque mois une réunion sécurité à laquelle sont associés le responsable RH et le responsable du contrôle interne (finance). « Cela nous donne l’opportunité d’avoir une vision plus globale. Par exemple sur certains cas que nous avions eu à traiter, nous avions une approche risque, mais il nous manquait la brique RH (comment untel était parti, par exemple) ou finance (comment avait été traité tel dossier). Cela nous permet de croiser les informations et de passer du soupçon à quelque chose de concret et d’étayer afin de déclencher une action formelle », poursuit le RSSI. Les deux animent également ensemble la cellule de crise, avec l’aide d’un avocat pour la partie juridique.

Du côté du positionnement, bien que les deux professionnels travaillent de concert, le Risk Manager dépend directement du Directeur Financier tandis que le RSSI dépend de la DSI, qui dépend à son tour du DAF. « Si je devais améliorer une chose, ça serait cela : que nous ayons tous les deux un reporting N+1 au COMEX. En l’état actuel, devoir reporter au DSI avant de pouvoir toucher le COMEX me semble un filtre qui n’est pas toujours très efficace (la signature directe du DAF serait par exemple parfois utile pour monopoliser plus facilement des équipes en région ou sur des sites spécifiques) », observe le RSSI.

Pas question toutefois de créer une direction de la sécurité groupe qui mettrait tout le monde au même niveau. « A mes yeux la couche intermédiaire du directeur sécurité groupe n’apporte rien à la chaîne de transmission de l’information vers le haut. Nous travaillons très bien comme ça. A la limite je peux voir l’intérêt pour fédérer et centraliser, mais chez nous c’est l’un ou l’autre qui va prendre ce rôle en fonction des sujets, il y a donc toujours quelqu’un pour occuper ce rôle », explique le RSSI. Lui intervient par exemple beaucoup sur les phases d’investigation (pour apporter des éléments de preuve) tandis que le Risk Manager prend le relais pour le dépôt de plainte ou les relations avec la DCRI, par exemple.

Mieux : selon lui, un bon Risk Manager est déjà, tel un Monsieur Jourdain, un directeur sécurité qui s’ignore. « La fonction fait qu’il ne peut pas se cantonner à un domaine précis. Il doit être transverse, avoir une certaine maturité pour dialoguer avec la DG, être doté d’une ouverture à la finance et savoir déléguer (au niveau du SI par exemple). Donc si le Risk Manager fait son travail, c’est dans les faits un directeur sécurité. Maintenant s’il s’agit de compenser la faiblesse d’un Risk Manager (un ancien militaire qui ne serait pas un grand communiquant ou qui serait fermé à la SSI par exemple), pourquoi ne pas se doter d’un directeur sécurité groupe, en effet. Mais si le Risk Manager fait son travail je n’en vois pas l’intérêt », conclue le RSSI.

Le RSSI, un témoin du passé ?

La présence du RSSI au sein d’une DSI nous paraît être un témoignage du passé : elle marque une époque où le SI est devenu très spécifique, critique et transversal au point de nécessiter un spécialiste à la fois de la sécurité et de la technique. Mais aucun autre domaine de l’entreprise (la RH, les achats, la production industrielle, etc…) ne dispose d’un poste équivalent. Tous sont supervisés en matière de sécurité par un contrôle interne (finance) ou un responsable sûreté global. Il est donc envisageable qu’à terme cette spécificité propre à la SSI disparaisse. Le rôle du RSSI pourrait alors être scindé, comme l’a choisi Bull ici, en deux : un bon technicien intégré à la DSI et un expert du risques de l’information et des systèmes d’information intégré à une direction sécurité groupe, ou travaillant avec le Risk Manager.

Nous prenons quant à nous le pari que pour bon nombre de RSSI le changement arrivera par la création d’une direction sécurité groupe.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.