Ecran de login

Sécurité des systèmes d’information : la nécessaire clarification des rôles

Dossier : CybersécuritéMagazine N°711 Janvier 2016
Par Raphaël MARICHEZ (2002)

Le RSSI (respon­s­able sécu­rité des SI) ne peut être seul respon­s­able et bouc émis­saire en cas d’in­ci­dent. Il doit agir en liai­son avec la ges­tion des risques méti­er réels, être expert et con­seiller allant jusqu’à influ­encer les habi­tudes de tra­vail et les struc­tures déci­sion­nelles au sein de l’entreprise.

Le RSSI n’est cer­taine­ment pas « respon­s­able » du niveau de sécu­rité infor­ma­tique atteint par la struc­ture qu’il représente.

Le voca­ble même de RSSI trompe le dirigeant, qui, vic­time de l’illusion de pou­voir se repos­er sur une seule per­son­ne ou équipe, se dés­in­téresse du sujet.

REPÈRES

RSSI pour responsable sécurité des SI, DSSI (directeur) ou FSSI (fonctionnaire), ou RSSI-groupe, RSSI opérationnel, OSSI (officier SSI)…
Malgré les efforts des réglementations administratives ou internes aux compagnies privées, le rôle et les missions de ces acteurs en charge de la sécurité des systèmes d’information ne peuvent cependant pas être référencés sous un vocabulaire interchangeable.
Leur activité au quotidien dépend étroitement de leur environnement professionnel immédiat, de la culture et des priorités de l’entreprise.

L’illusion du transfert de responsabilité

Lorsque les choses vont mal en matière de sys­tèmes d’information, c’est bien auprès du DSI que les autorités cherchent des expli­ca­tions et des solutions.

Après tout, l’essentiel des dis­posi­tifs de traite­ment, de dif­fu­sion ou de pro­tec­tion de l’information relèvent du sys­tème d’information pro­pre­ment dit : les réseaux infor­ma­tiques, les ordi­na­teurs, les logiciels.

Si les secrets com­mer­ci­aux sont cap­tés par la con­cur­rence lors d’un piratage infor­ma­tique, il serait dif­fi­cile d’en attribuer la respon­s­abil­ité au seul directeur commercial.

Des responsabilités imbriquées

En pra­tique, le RSSI est un rouage d’une plus vaste struc­ture trans­ver­sale au sein de laque­lle les respon­s­abil­ités sont forte­ment imbriquées.

La ten­dance est à la recherche de sécu­rité by design.
© LEKKYJUSTDOIT / FOTOLIA

Penser que le RSSI pour­rait être compt­able du niveau de sécu­rité, et donc des inci­dents et des préju­dices subis, crée une dis­tor­sion néfaste au fonc­tion­nement effi­cace de l’organisation : soit en con­cen­trant exagéré­ment les moyens et le pou­voir auprès d’une per­son­ne ou d’une équipe, soit, beau­coup plus sou­vent, en dére­spon­s­abil­isant les autres par­ties prenantes de l’entreprise à l’égard du risque SSI.

La fonc­tion SSI relève davan­tage d’un proces­sus que de l’incarnation d’un pou­voir quel­conque : un proces­sus de ges­tion des moyens (financiers, tech­niques, humains), des risques, des coûts de la sécu­rité et de ceux de l’absence de sécu­rité. Ce proces­sus doit idéale­ment irriguer de manière con­tin­ue et homogène toute la struc­ture jusqu’à ses inter­faces, des action­naires aux util­isa­teurs finaux.

C’est pourquoi la pro­tec­tion et la défense des SI doivent être pen­sées dans leur ensem­ble et en lien avec les métiers, au risque, sinon, de men­ac­er la struc­ture entière à cause d’une seule défail­lance localisée.

Des moyens gérés par la direction des systèmes d’information

Puisque le DSI est sans nul doute le prin­ci­pal respon­s­able du bon fonc­tion­nement des sys­tèmes d’information, il sem­ble naturel, en pre­mière approche, que la fonc­tion de pilotage de la SSI et des risques asso­ciés s’incarne en son sein.

“ La fonction SSI relève davantage d’un processus que de l’incarnation d’un pouvoir ”

Le RSSI a donc longtemps été en charge de la mise en œuvre de briques de sécu­rité tech­nologique néces­saires au bon fonc­tion­nement des sys­tèmes. Mais, aujourd’hui, il doit agir en liai­son avec la ges­tion des risques méti­er réels.

La sécu­rité des SI ne se lim­ite plus, en effet, au seul bon fonc­tion­nement du sys­tème : il faut compter avec l’espionnage économique, l’altération invis­i­ble des paramètres du sys­tème, le chan­tage au sab­o­tage ou à la divul­ga­tion mas­sive de données.

Les limites d’une approche budgétaire

Les métriques les plus faciles à utilis­er pour jauger du degré de prise en compte de la sécu­rité dans les SI reposent évidem­ment sur le bud­get. Les études pub­liées exposent une part de dépens­es con­sacrées à la sécu­rité de l’ordre de 6 % à 12 % du bud­get des sys­tèmes d’information. Ces chiffres masquent des réal­ités fort vari­ables selon la façon de pren­dre en compte les dépenses.

Aujourd’hui, la ten­dance est à la recherche de la sécu­rité by design, fon­due au sein du pro­duit, comme lorsqu’on achète une voiture sans se pos­er la ques­tion de la part du prix liée à l’airbag ou à l’ABS.

La général­i­sa­tion, notam­ment dans le monde anglo-sax­on, des mécan­ismes de cou­ver­ture du risque par des mécan­ismes de mutu­al­i­sa­tion (assur­ances) favorise cette ten­dance à la con­trac­tu­al­i­sa­tion d’une garantie de sécu­rité, notam­ment par le truche­ment de la cer­ti­fi­ca­tion de pro­duits (critères com­muns), ou de proces­sus (ISO 27001).

Coût d'un système numérique avec sécurité ou non
Une sécu­rité inté­grée tout au long de la vie du pro­jet (en vert) évite de sup­port­er des coûts extrêmes en cas d’in­ci­dent ou de crise (en rouge).

Coût d'un système numérique avec sécurité ou non
Il est dif­fi­cile de définir le niveau de sécu­rité économique­ment opti­mal, mais le RSSI doit s’ef­forcer de s’en rap­procher en moyenne.

Piloter la sécurité par les risques métiers

Le pilotage mod­erne de la sécu­rité des sys­tèmes d’information, ou plus exacte­ment du risque lié à la (non-)sécurité, s’inscrit plus aisé­ment dans la logique ver­ti­cale de l’appareil pro­duc­tif de l’entreprise : le respon­s­able de la busi­ness unit doit être amené à arbi­tr­er le bon niveau de sécu­rité, au regard de ses enjeux méti­er pro­pres, à la lumière d’une exper­tise avisée en matière d’évaluation des risques cir­con­stan­ciés au métier.

Le RSSI mod­erne est donc un expert et con­seiller, apte à vul­garis­er le risque d’origine infor­ma­tique qui pèse sur l’activité méti­er, force de propo­si­tions pour réduire ce risque, pilote des actions associées.

Cette démarche vise finale­ment à trou­ver un juste com­pro­mis entre risques, moyens de sécu­rité et pri­or­ités opéra­tionnelles. Les qual­ités d’expertise, de péd­a­gogie, d’ouverture d’esprit, et la force de con­vic­tion du RSSI sont fondamentales.

Le respon­s­able méti­er (maître d’ouvrage) doit pou­voir s’appuyer avec une con­fi­ance qua­si totale sur son RSSI, dans un monde tech­nique au vocab­u­laire incom­préhen­si­ble, face à une ou plusieurs DSI con­fron­tées à leurs pro­pres enjeux, face aux prestataires et four­nisseurs, face aux clients indé­cis, face aux autorités régle­men­taires exigeantes, le tout sous con­traintes de moyens et de calendrier.

Cette con­fi­ance ne se décrète pas par un titre, mais se gagne au mérite.

Arbitrer la sécurité dans les applications transverses

Dès lors qu’un sys­tème d’information, générale­ment de sou­tien (mes­sagerie, réseau, héberge­ment, bureau­tique, télé­phonie, etc.) est trans­ver­sal aux dif­férents métiers, le juste équili­bre entre investisse­ment et béné­fice est beau­coup plus dif­fi­cile à déter­min­er. Les dif­férentes pop­u­la­tions béné­fi­ci­aires n’ont en effet pas la même appé­tence au risque : cha­cune n’est pas prête à con­tribuer au même niveau à l’effort col­lec­tif. L’arbitrage devient délicat.

“ Le RSSI devient à la fois un stratège et un lobbyiste ”

Dans le domaine des sys­tèmes d’information trans­vers­es, les méth­odes de ges­tion des coûts de sou­tien mutu­al­isés, et, à tra­vers elles, les méth­odes d’arbitrages des pro­jets de sécuri­sa­tion des SI, con­stituent aujourd’hui un domaine d’exploration et de recherche passionnant.

Le RSSI appréhen­dera les mécan­ismes budgé­taires et déci­sion­nels de sa struc­ture afin d’orienter les efforts de sécu­rité dans la direc­tion qu’il pense être la plus adap­tée : il devient à la fois un stratège et un lobbyiste.

Diffuser une culture de cybersécurité

La fonc­tion SSI mod­erne s’oriente vers des actions de long terme, influ­ençant lente­ment les habi­tudes de tra­vail et les struc­tures déci­sion­nelles au sein de l’entreprise.

C’est ain­si tout naturelle­ment que cette fonc­tion SSI se rap­proche étroite­ment de celle d’un com­mu­ni­cant, voire d’un « évangéliste » : sen­si­bilis­er, for­mer, pro­mou­voir, dif­fuser et infuser, ven­dre la sécu­rité en interne, ain­si qu’auprès des clients, four­nisseurs et parte­naires, jusque dans les com­porte­ments de la vie privée, afin d’impulser le changement.

Cette activ­ité est en con­cur­rence avec d’autres activ­ités trans­ver­sales non moins légitimes : poli­tique sur le hand­i­cap, sécu­rité incendie, développe­ment durable, etc. En out­re, son effi­cac­ité est extrême­ment dif­fi­cile à mesurer.

C’est pourquoi il s’agit très cer­taine­ment de la tâche la plus dif­fi­cile du RSSI, du reste rarement for­mé aux tech­niques de la com­mu­ni­ca­tion et du marketing.

Gérer les crises

“ Communication ne doit pas rimer avec gesticulation ”

Par­mi les leviers de la com­mu­ni­ca­tion, la cap­i­tal­i­sa­tion sur les inci­dents de sécu­rité, voire les crises, est un atout évidem­ment essen­tiel à exploiter. Cette cap­i­tal­i­sa­tion ne peut com­penser à elle seule les coûts et préju­dices liés à l’incident, mais exige néan­moins une pré­pa­ra­tion en amont trop sou­vent oubliée, notam­ment en matière d’indicateurs sur les impacts des inci­dents (RH con­som­mée, perte d’exploitation, coût des inves­ti­ga­tions et de la reconstruction).

L’acteur de la SSI doit être au cœur de la ges­tion de la crise cyber, sauf à s’interdire d’exploiter une for­mi­da­ble caisse de réso­nance : la prox­im­ité avec les respon­s­ables méti­er, l’indépendance com­plète à l’égard de la DSI, l’attention de la part de la haute hiérar­chie sont autant de fac­teurs, qui, bien qu’éphémères et simul­tanés, favorisent la capac­ité du RSSI à con­va­in­cre pour impulser des change­ments sig­ni­fi­cat­ifs dans les habi­tudes, les procé­dures ou les architectures.

Le volet com­mu­ni­ca­tion ne doit pas rimer pour autant avec gesticulation.

Un grand doigté est req­uis pour gér­er les attentes, sou­vent irra­tionnelles et éphémères de l’échelon supérieur (quel pays nous attaque ? pour quel motif ? quand pour­ra-t-on repren­dre une vie nor­male ?) et en tout cas sans lien avec les actions à men­er en réso­lu­tion de crise (exploiter les traces, repro­duire le chemin d’attaque voire l’anticiper, pri­oris­er les RH disponibles, sac­ri­fi­er des sys­tèmes, tenir une main courante et faire cir­culer l’information).

Bien qu’évidemment non souhaitable, une crise bien pré­parée et bien gérée est un for­mi­da­ble out­il de sen­si­bil­i­sa­tion et de col­lecte de métriques au prof­it du pilotage de la SSI dans sa globalité.

Chercher le bon compromis entre coûts et efficacité

En aval du mar­ket­ing interne de la SSI, les actions var­iées d’un acteur de la SSI, qui serait économique­ment rationnel, con­courent finale­ment toutes à un objec­tif de max­imi­sa­tion des effets posi­tifs de la SSI sur le busi­ness, évidem­ment, sous con­trainte des moyens alloués.

Ecran numérique
Diriger les moyens disponibles de la meilleure façon qui soit. © MIMADEO / FOTOLIA

Faut-il en effet s’efforcer de trou­ver (et de prou­ver) le graal du RSSI, le « retour sur investisse­ment (ROI) de la sécu­rité » ? J’ai expliqué la grande dif­fi­culté à cal­culer le coût de la sécurité.

Éval­uer objec­tive­ment le coût de la non-sécu­rité (perte d’exploitation, ges­tion de l’incident, recon­struc­tion, sans compter le préju­dice invis­i­ble comme l’espionnage économique) est cer­taine­ment encore plus utopique, surtout au milieu d’une ges­tion de crise.

L’extrême volatil­ité de la prob­a­bil­ité d’occurrence du sin­istre ne milite pas non plus en faveur d’une approche de type assur­ance du risque cyber : la fréquence des cyber­at­taques sur des sites Inter­net français a par exem­ple con­nu une explo­sion sans précé­dent la semaine ayant suivi les atten­tats de Char­lie Heb­do.

Pour ne rien arranger, les sta­tis­tiques de sinis­tral­ité dans ce domaine ne dépassent évidem­ment pas quelques années d’historique.

Au lieu de ten­ter de cal­culer en vain un ROI crédi­ble, une autre approche est pos­si­ble : sim­ple­ment diriger les moyens disponibles de la meilleure façon qui soit, en pro­scrivant les extrêmes, et en recher­chant une cer­taine homogénéité du niveau de sécu­rité au sein d’un périmètre de sen­si­bil­ité homogène.

Il vaut générale­ment mieux s’attacher à fia­bilis­er un sys­tème de chiffre­ment de don­nées partagé (par exem­ple : HTTPS) plutôt que d’ajouter une sur­couche de chiffre­ment appli­catif spé­ci­fique au projet.

Ce pilotage opti­mal des moyens alloués (ou allouables) à la sécuri­sa­tion des SI, au sens large, doit être la ligne de con­duite per­ma­nente du RSSI. Celui-ci doit ain­si rechercher les leviers d’action, la plu­part du temps évidem­ment sans autorité hiérar­chique directe, sur les grandes mass­es de moyens.

Il s’agit tout autant des moyens financiers, humains, que matériels, et tout autant des moyens de pure sécu­rité (pare-feux, antivirus, son­des, etc.) que des moyens annex­es util­is­ables au prof­it de la sécu­rité (sys­tèmes bureau­tiques, annu­aires, cœurs de réseaux, badges avec puce élec­tron­ique, etc.).

Instaurer une gouvernance de la sécurité

Le rôle mod­erne du RSSI, quelle que soit sa dénom­i­na­tion exacte, ne peut donc faire l’économie d’un pilotage trans­verse de moyens qu’il ne pos­sède pas, au tra­vers de leviers tac­tiques sur lesquels il n’a aucune prise directe. Com­ment faire ?

“ Le risque cyber est sous-jacent à la gestion du risque lié à l’activité ”

D’une part, la méthode la plus com­plète repose sur une bonne con­nais­sance de l’existant par les audits et les tests d’intrusion (pat­ri­moine infor­ma­tique, ou numérique pour les plus avancés, ses vul­néra­bil­ités, ses atouts), une ges­tion-cap­i­tal­i­sa­tion des inci­dents de sécu­rité, et une ges­tion des risques à plusieurs niveaux (entre­prise, busi­ness unit, pro­jet) liant le risque porté par le sys­tème d’information aux intérêts du pro­jet, du busi­ness, de l’entreprise.

D’autre part, le « savoir-être » des acteurs met­tant en œuvre ces trois proces­sus est indis­pens­able : les qual­ités de rela­tions humaines, de com­mu­ni­cant et de con­vic­tion per­me­t­tent le « man­age­ment trans­verse », une espèce de soft pow­er influ­ençant les struc­tures de l’entreprise échap­pant à son autorité hiérarchique.

Ces qual­ités favorisent égale­ment la créa­tion d’un qua­si-ser­vice de ren­seigne­ment interne, absol­u­ment néces­saire au tra­vail du RSSI.

Valoriser la sécurité par un vrai marketing interne

Ce por­trait d’un RSSI mod­èle et mod­erne n’est cer­taine­ment pas par­fait, immuable ni absolu. Il traduit une vision répon­dant aux besoins actuels des grandes organ­i­sa­tions de cul­ture fran­coph­o­ne, et au con­stat mal­heureux d’un véri­ta­ble divorce entre le RSSI et les béné­fi­ci­aires de son action en entre­prise ou en administration.

La faute est large­ment partagée : trop rares sont les RSSI qui pren­nent le temps d’aller ren­con­tr­er les « métiers » pour « ven­dre » de la sécu­rité qui cor­re­sponde à leurs besoins, trop rares sont les dirigeants qui acceptent de per­dre en con­fort pour pro­téger le pat­ri­moine de la société.

La cyber­sécu­rité en entre­prise ou en admin­is­tra­tion est résol­u­ment à la con­flu­ence de la ges­tion du risque opéra­tionnel et du numérique, dont le sys­tème d’information est le socle.

De même que les géants du Web tirent leur prodigieuse effi­cac­ité de l’intégration ver­ti­cale des com­posantes du numérique (du dimen­sion­nement de la fibre optique transat­lan­tique au mod­èle économique de dif­fu­sion du con­tenu en Europe), les dirigeants publics et privés doivent inté­gr­er le risque cyber comme un sous-jacent de la ges­tion du risque lié à l’activité qu’ils diri­gent, risque dont la respon­s­abil­ité leur incombe in fine.

Poster un commentaire