Dans d'autres domaines que celui de l'informatique, tel que la comptabilité, le contrôle de gestion ou encore la médecine, il est courant de ne pas lier les différents acteurs entre eux. Ainsi, un comptable n'est pas rattaché au commissaire aux comptes, un contrôleur de gestion n'est pas rattaché au comptable, et un médecin n'intervient pas sur les patients de sa propre famille pour éviter tout conflit d'intérêts. De même, un policier ne peut pas intervenir sur une affaire impliquant un proche.
Il est primordial de ne pas rattacher le Responsable de la Sécurité des Systèmes d'Information (RSSI) à la Direction des Systèmes d'Information (DSI), même si l'entreprise est technologiquement "mature", pour plusieurs raisons.
1 - Tout d'abord, en liant le RSSI à la DSI, la responsabilité de la sécurité repose trop sur la DSI, sous-estimant la responsabilité des utilisateurs et de leur management. En période de pénurie de ressources compétentes, la sécurité ne doit plus être portée par un seul individu, mais être l'affaire de tous.
2 - De plus, cette liaison peut favoriser les conflits de pouvoir internes et entraver la réalisation des objectifs fixés, en empêchant les différentes directions métiers de travailler en synergie et de gérer efficacement les crises.
3 - En revanche, en ayant un RSSI indépendant de la DSI, il est possible de mieux prendre conscience des risques encourus par l'établissement (défaillances, menaces, axes d'amélioration) et de prendre des décisions plus pertinentes.
4 - Segmenter les rôles et les pouvoirs permet également d'éviter que le DSI et le RSSI soient juge et partie sur les décisions concernant les systèmes d'information de l'entreprise.
5 - En outre, ne pas rattacher le RSSI à la DSI permet d'assurer que le budget alloué à la sécurité ne sera pas utilisé pour financer d'autres projets tels que l'infrastructure réseau.
6 - Cette indépendance permet de ne pas rattacher le RSS qui à la DSI c’est lutter contre ce qu’on appelle la « nouvelle corruption » : pratique courante visant à favoriser des prestataires au détriment des intérêts de l’établissement.
7 - Enfin, le RSSI doit pouvoir s'appuyer sur une équipe dédiée à la surveillance, à la gestion et à l'audit de la sécurité. En liant le RSSI à la DSI, la sécurité de l'entreprise est reléguée au second plan, car il devient alors dépendant des équipes de production qui ont déjà fort à faire pour atteindre leurs propres objectifs.
8 - En outre, lier le RSSI à la DSI permet à cette dernière d'avoir un droit de regard sur l'ensemble des données et des systèmes de l'entreprise, y compris le Système d'Information des Ressources Humaines (SIRH), la sûreté et d'autres équipements industriels.
Sylvain Bonnet Passemar
--------------------------------------------------------------------
Adresse du blog : https://blogs.mediapart.fr/sp-0/blog
Passionné d'informatique, de nouvelle technologie, et de société de l'information, j'édite ce blog qui traite de sujet de sécurité informatique. Le but de ce blog est de s’adresser auprès d’un public varié : direction, utilisateur, informaticien. C’est pour cela qu’il est hébergé sur un site généraliste. La sécurité, c’est une en premier lieu une organisation, et non un rôle purement technique. J'ai commencé ma carrière dans la presse informatique dans les années 90, puis un long passage très intéressant comme informaticien en salle des marchés et banque d'investissement, puis une administration internationale.