Le rôle du RSSI est en train de se transformer. Au sein de l’entreprise, quelle est sa place, sa démarche sécuritaire, son discours formation, son approche communication ?
RSSI, un métier qui change
Autant d’interrogations et de questions. Désormais, le RSSI doit savoir communiquer, la sécurité étant devenue un enjeu business. Alors que s’ouvrent aujourd’hui les Assises de la Sécurité à Monaco, Patrick Chambet, RSSI, Responsable du Centre de Sécurité Groupe chez C2S – Groupe Bouygues, et membre du Cercle Européen de la Sécurité, nous livre sa vision du sujet et nous fait partager son expérience de la sécurité.
Une évolution de l’IT…
Le métier de RSSI se modifie depuis quelques années déjà, et ce en raison de l’apparition de nouveaux comportements et notamment de nouvelles utilisations de l’informatique.
Le Cloud Computing a engendré des approches inédites, « on consomme l’informatique comme une ressource, payable à l’utilisation, mais parfois difficile à protéger » commente Patrick Chambet. De plus, les utilisateurs stockent des données dans le Cloud, hors de l’entreprise, ce qui entraîne de grands changements. « Le RSSI n’a plus autant de contrôle sur l’information de l’entreprise, il y a une réelle évolution » souligne Patrick Chambet.
Le BYOD (Bring Your Own Device) est un autre phénomène qui touche le métier du RSSI. En effet, les utilisateurs veulent travailler avec leurs périphériques et les connecter au Système d’Information de l’entreprise. Comment, dans ce cas, avoir le contrôle sur ces nouveaux devices, gérer et garantir une totale sécurité ? Le mélange des données personnelles et professionnelles sur ces périphériques pose également un problème de gestion au RSSI, à la DRH, et au niveau juridique en cas de perte des données elles-mêmes. Le RSSI doit mettre en place des mesures de contrôle des périphériques personnels pour leur appliquer un minimum de sécurité.
Ces bouleversements IT changent évidemment la donne des RSSI.
Une communication et sensibilisation appropriées
Les entreprises ont mis en place des chartes informatiques, il y a quelques années, notamment pour édicter des règles d’usage des réseaux sociaux. Aujourd’hui, la communication vers les collaborateurs s’impose, l’application des bonnes pratiques dans le cas de l’usage de Cloud privé et public, et l’usage des périphériques personnels, également. Cette communication voit le jour par la rédaction de chartes, mais aussi grâce à la sensibilisation auprès des utilisateurs.
La sensibilisation présentielle est une solution. Un formateur ou le RSSI lui-même rappelle aux collaborateurs les bonnes méthodes et les outils pour une utilisation sécurisée des appareils et la non-mise en danger des données de l’entreprise. « En une journée, il s’agit d’insister sur les fondamentaux à connaître pour la sécurité des données ». D’ailleurs, les bons outils à utiliser dans le monde professionnel s’appliquent dans la vie personnelle. Le parallèle est d’autant plus vrai et réel dès qu’on évoque l’éducation des enfants aux nouveaux usages de l’informatique et aux réseaux sociaux ! Les newsletters restent une autre option pour rappeler les points de sécurité essentiels aux collaborateurs.
Un vrai patrimoine informationnel
Et Patrick Chambet, d’ajouter « aujourd’hui, nous gérons plus le patrimoine informationnel de l’entreprise dans son ensemble que son système d’information ». Le patrimoine informationnel (données sensibles) n’est plus stocké sur les systèmes de l’entreprise mais à différents endroits et notamment hors des frontières de l’entreprise, ce qui ajoute une couche de complexité dans la gestion des données. Le rôle du RSSI va continuer sans aucun doute à évoluer en ce sens.
Demain, avec la nouvelle directive européenne, une contrainte assez forte mais plutôt positive pour la sécurité va s’appliquer aux entreprises. L’entreprise, qui se fait dérober ses données, se doit d’avertir la CNIL, puis prévenir tous les clients dont les données ont été volées. Les entreprises vont donc être dans l’obligation de prendre ou renforcer leurs mesures de sécurité.
La relation entre le RSSI et le DSI se modifie même si « une interaction forte existe déjà entre les deux ». Et de préciser « On va moins se baser sur les systèmes informatiques gérés réellement par l’entreprise que sur les informations manipulées par l’entreprise quel que soit le lieu où elles sont stockées ». L’objectif étant de privilégier évidemment le stockage en France ou dans l’Union Européenne ….
Le RSSI s’interface donc de plus en plus avec le DSI, les partenaires avec qui l’entreprise échange et héberge ses données, mais aussi avec le service Communication et le service Formation. Formation pour que l’aspect sensibilisation s’intègre dans le catalogue des formations internes. Communication car tout RSSI se doit de prévenir cette entité lorsqu’il fait des interventions externes sur le sujet de la sécurité informatique. C’est un fait, on ne « badine » plus avec l’expertise de la sécurité !
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.