Sécurité des systèmes d’information : la nécessaire clarification des rôles

Le RSSI (res­pon­sable sécu­ri­té des SI) ne peut être seul res­pon­sable et bouc émis­saire en cas d’in­ci­dent. Il doit agir en liai­son avec la ges­tion des risques métier réels, être expert et conseiller allant jus­qu’à influen­cer les habi­tudes de tra­vail et les struc­tures déci­sion­nelles au sein de l’entreprise.

Le RSSI n’est cer­tai­ne­ment pas « res­pon­sable » du niveau de sécu­ri­té infor­ma­tique atteint par la struc­ture qu’il représente.

Le vocable même de RSSI trompe le diri­geant, qui, vic­time de l’illusion de pou­voir se repo­ser sur une seule per­sonne ou équipe, se dés­in­té­resse du sujet.

L’illusion du transfert de responsabilité

Lorsque les choses vont mal en matière de sys­tèmes d’information, c’est bien auprès du DSI que les auto­ri­tés cherchent des expli­ca­tions et des solutions.

Après tout, l’essentiel des dis­po­si­tifs de trai­te­ment, de dif­fu­sion ou de pro­tec­tion de l’information relèvent du sys­tème d’information pro­pre­ment dit : les réseaux infor­ma­tiques, les ordi­na­teurs, les logiciels.

Si les secrets com­mer­ciaux sont cap­tés par la concur­rence lors d’un pira­tage infor­ma­tique, il serait dif­fi­cile d’en attri­buer la res­pon­sa­bi­li­té au seul direc­teur commercial.

Des responsabilités imbriquées

En pra­tique, le RSSI est un rouage d’une plus vaste struc­ture trans­ver­sale au sein de laquelle les res­pon­sa­bi­li­tés sont for­te­ment imbriquées.

La ten­dance est à la recherche de sécu­ri­té by desi­gn.
© LEKKYJUSTDOIT / FOTOLIA

Pen­ser que le RSSI pour­rait être comp­table du niveau de sécu­ri­té, et donc des inci­dents et des pré­ju­dices subis, crée une dis­tor­sion néfaste au fonc­tion­ne­ment effi­cace de l’organisation : soit en concen­trant exa­gé­ré­ment les moyens et le pou­voir auprès d’une per­sonne ou d’une équipe, soit, beau­coup plus sou­vent, en déres­pon­sa­bi­li­sant les autres par­ties pre­nantes de l’entreprise à l’égard du risque SSI.

La fonc­tion SSI relève davan­tage d’un pro­ces­sus que de l’incarnation d’un pou­voir quel­conque : un pro­ces­sus de ges­tion des moyens (finan­ciers, tech­niques, humains), des risques, des coûts de la sécu­ri­té et de ceux de l’absence de sécu­ri­té. Ce pro­ces­sus doit idéa­le­ment irri­guer de manière conti­nue et homo­gène toute la struc­ture jusqu’à ses inter­faces, des action­naires aux uti­li­sa­teurs finaux.

C’est pour­quoi la pro­tec­tion et la défense des SI doivent être pen­sées dans leur ensemble et en lien avec les métiers, au risque, sinon, de mena­cer la struc­ture entière à cause d’une seule défaillance localisée.

Des moyens gérés par la direction des systèmes d’information

Puisque le DSI est sans nul doute le prin­ci­pal res­pon­sable du bon fonc­tion­ne­ment des sys­tèmes d’information, il semble natu­rel, en pre­mière approche, que la fonc­tion de pilo­tage de la SSI et des risques asso­ciés s’incarne en son sein.

“ La fonction SSI relève davantage d’un processus que de l’incarnation d’un pouvoir ”

Le RSSI a donc long­temps été en charge de la mise en œuvre de briques de sécu­ri­té tech­no­lo­gique néces­saires au bon fonc­tion­ne­ment des sys­tèmes. Mais, aujourd’hui, il doit agir en liai­son avec la ges­tion des risques métier réels.

La sécu­ri­té des SI ne se limite plus, en effet, au seul bon fonc­tion­ne­ment du sys­tème : il faut comp­ter avec l’espionnage éco­no­mique, l’altération invi­sible des para­mètres du sys­tème, le chan­tage au sabo­tage ou à la divul­ga­tion mas­sive de données.

Les limites d’une approche budgétaire

Les métriques les plus faciles à uti­li­ser pour jau­ger du degré de prise en compte de la sécu­ri­té dans les SI reposent évi­dem­ment sur le bud­get. Les études publiées exposent une part de dépenses consa­crées à la sécu­ri­té de l’ordre de 6 % à 12 % du bud­get des sys­tèmes d’information. Ces chiffres masquent des réa­li­tés fort variables selon la façon de prendre en compte les dépenses.

Aujourd’hui, la ten­dance est à la recherche de la sécu­ri­té by desi­gn, fon­due au sein du pro­duit, comme lorsqu’on achète une voi­ture sans se poser la ques­tion de la part du prix liée à l’airbag ou à l’ABS.

La géné­ra­li­sa­tion, notam­ment dans le monde anglo-saxon, des méca­nismes de cou­ver­ture du risque par des méca­nismes de mutua­li­sa­tion (assu­rances) favo­rise cette ten­dance à la contrac­tua­li­sa­tion d’une garan­tie de sécu­ri­té, notam­ment par le tru­che­ment de la cer­ti­fi­ca­tion de pro­duits (cri­tères com­muns), ou de pro­ces­sus (ISO 27001).

Une sécu­ri­té inté­grée tout au long de la vie du pro­jet (en vert) évite de sup­por­ter des coûts extrêmes en cas d’in­ci­dent ou de crise (en rouge).

Il est dif­fi­cile de défi­nir le niveau de sécu­ri­té éco­no­mi­que­ment opti­mal, mais le RSSI doit s’ef­for­cer de s’en rap­pro­cher en moyenne.

Piloter la sécurité par les risques métiers

Le pilo­tage moderne de la sécu­ri­té des sys­tèmes d’information, ou plus exac­te­ment du risque lié à la (non-)sécurité, s’inscrit plus aisé­ment dans la logique ver­ti­cale de l’appareil pro­duc­tif de l’entreprise : le res­pon­sable de la busi­ness unit doit être ame­né à arbi­trer le bon niveau de sécu­ri­té, au regard de ses enjeux métier propres, à la lumière d’une exper­tise avi­sée en matière d’évaluation des risques cir­cons­tan­ciés au métier.

Le RSSI moderne est donc un expert et conseiller, apte à vul­ga­ri­ser le risque d’origine infor­ma­tique qui pèse sur l’activité métier, force de pro­po­si­tions pour réduire ce risque, pilote des actions associées.

Cette démarche vise fina­le­ment à trou­ver un juste com­pro­mis entre risques, moyens de sécu­ri­té et prio­ri­tés opé­ra­tion­nelles. Les qua­li­tés d’expertise, de péda­go­gie, d’ouverture d’esprit, et la force de convic­tion du RSSI sont fondamentales.

Le res­pon­sable métier (maître d’ouvrage) doit pou­voir s’appuyer avec une confiance qua­si totale sur son RSSI, dans un monde tech­nique au voca­bu­laire incom­pré­hen­sible, face à une ou plu­sieurs DSI confron­tées à leurs propres enjeux, face aux pres­ta­taires et four­nis­seurs, face aux clients indé­cis, face aux auto­ri­tés régle­men­taires exi­geantes, le tout sous contraintes de moyens et de calendrier.

Cette confiance ne se décrète pas par un titre, mais se gagne au mérite.

Arbitrer la sécurité dans les applications transverses

Dès lors qu’un sys­tème d’information, géné­ra­le­ment de sou­tien (mes­sa­ge­rie, réseau, héber­ge­ment, bureau­tique, télé­pho­nie, etc.) est trans­ver­sal aux dif­fé­rents métiers, le juste équi­libre entre inves­tis­se­ment et béné­fice est beau­coup plus dif­fi­cile à déter­mi­ner. Les dif­fé­rentes popu­la­tions béné­fi­ciaires n’ont en effet pas la même appé­tence au risque : cha­cune n’est pas prête à contri­buer au même niveau à l’effort col­lec­tif. L’arbitrage devient délicat.

“ Le RSSI devient à la fois un stratège et un lobbyiste ”

Dans le domaine des sys­tèmes d’information trans­verses, les méthodes de ges­tion des coûts de sou­tien mutua­li­sés, et, à tra­vers elles, les méthodes d’arbitrages des pro­jets de sécu­ri­sa­tion des SI, consti­tuent aujourd’hui un domaine d’exploration et de recherche passionnant.

Le RSSI appré­hen­de­ra les méca­nismes bud­gé­taires et déci­sion­nels de sa struc­ture afin d’orienter les efforts de sécu­ri­té dans la direc­tion qu’il pense être la plus adap­tée : il devient à la fois un stra­tège et un lobbyiste.

Diffuser une culture de cybersécurité

La fonc­tion SSI moderne s’oriente vers des actions de long terme, influen­çant len­te­ment les habi­tudes de tra­vail et les struc­tures déci­sion­nelles au sein de l’entreprise.

C’est ain­si tout natu­rel­le­ment que cette fonc­tion SSI se rap­proche étroi­te­ment de celle d’un com­mu­ni­cant, voire d’un « évan­gé­liste » : sen­si­bi­li­ser, for­mer, pro­mou­voir, dif­fu­ser et infu­ser, vendre la sécu­ri­té en interne, ain­si qu’auprès des clients, four­nis­seurs et par­te­naires, jusque dans les com­por­te­ments de la vie pri­vée, afin d’impulser le changement.

Cette acti­vi­té est en concur­rence avec d’autres acti­vi­tés trans­ver­sales non moins légi­times : poli­tique sur le han­di­cap, sécu­ri­té incen­die, déve­lop­pe­ment durable, etc. En outre, son effi­ca­ci­té est extrê­me­ment dif­fi­cile à mesurer.

C’est pour­quoi il s’agit très cer­tai­ne­ment de la tâche la plus dif­fi­cile du RSSI, du reste rare­ment for­mé aux tech­niques de la com­mu­ni­ca­tion et du marketing.

Gérer les crises

“ Communication ne doit pas rimer avec gesticulation ”

Par­mi les leviers de la com­mu­ni­ca­tion, la capi­ta­li­sa­tion sur les inci­dents de sécu­ri­té, voire les crises, est un atout évi­dem­ment essen­tiel à exploi­ter. Cette capi­ta­li­sa­tion ne peut com­pen­ser à elle seule les coûts et pré­ju­dices liés à l’incident, mais exige néan­moins une pré­pa­ra­tion en amont trop sou­vent oubliée, notam­ment en matière d’indicateurs sur les impacts des inci­dents (RH consom­mée, perte d’exploitation, coût des inves­ti­ga­tions et de la reconstruction).

L’acteur de la SSI doit être au cœur de la ges­tion de la crise cyber, sauf à s’interdire d’exploiter une for­mi­dable caisse de réso­nance : la proxi­mi­té avec les res­pon­sables métier, l’indépendance com­plète à l’égard de la DSI, l’attention de la part de la haute hié­rar­chie sont autant de fac­teurs, qui, bien qu’éphémères et simul­ta­nés, favo­risent la capa­ci­té du RSSI à convaincre pour impul­ser des chan­ge­ments signi­fi­ca­tifs dans les habi­tudes, les pro­cé­dures ou les architectures.

Le volet com­mu­ni­ca­tion ne doit pas rimer pour autant avec gesticulation.

Un grand doig­té est requis pour gérer les attentes, sou­vent irra­tion­nelles et éphé­mères de l’échelon supé­rieur (quel pays nous attaque ? pour quel motif ? quand pour­ra-t-on reprendre une vie nor­male ?) et en tout cas sans lien avec les actions à mener en réso­lu­tion de crise (exploi­ter les traces, repro­duire le che­min d’attaque voire l’anticiper, prio­ri­ser les RH dis­po­nibles, sacri­fier des sys­tèmes, tenir une main cou­rante et faire cir­cu­ler l’information).

Bien qu’évidemment non sou­hai­table, une crise bien pré­pa­rée et bien gérée est un for­mi­dable outil de sen­si­bi­li­sa­tion et de col­lecte de métriques au pro­fit du pilo­tage de la SSI dans sa globalité.

Chercher le bon compromis entre coûts et efficacité

En aval du mar­ke­ting interne de la SSI, les actions variées d’un acteur de la SSI, qui serait éco­no­mi­que­ment ration­nel, concourent fina­le­ment toutes à un objec­tif de maxi­mi­sa­tion des effets posi­tifs de la SSI sur le busi­ness, évi­dem­ment, sous contrainte des moyens alloués.

Diri­ger les moyens dis­po­nibles de la meilleure façon qui soit. © MIMADEO / FOTOLIA

Faut-il en effet s’efforcer de trou­ver (et de prou­ver) le graal du RSSI, le « retour sur inves­tis­se­ment (ROI) de la sécu­ri­té » ? J’ai expli­qué la grande dif­fi­cul­té à cal­cu­ler le coût de la sécurité.

Éva­luer objec­ti­ve­ment le coût de la non-sécu­ri­té (perte d’exploitation, ges­tion de l’incident, recons­truc­tion, sans comp­ter le pré­ju­dice invi­sible comme l’espionnage éco­no­mique) est cer­tai­ne­ment encore plus uto­pique, sur­tout au milieu d’une ges­tion de crise.

L’extrême vola­ti­li­té de la pro­ba­bi­li­té d’occurrence du sinistre ne milite pas non plus en faveur d’une approche de type assu­rance du risque cyber : la fré­quence des cybe­rat­taques sur des sites Inter­net fran­çais a par exemple connu une explo­sion sans pré­cé­dent la semaine ayant sui­vi les atten­tats de Char­lie Heb­do.

Pour ne rien arran­ger, les sta­tis­tiques de sinis­tra­li­té dans ce domaine ne dépassent évi­dem­ment pas quelques années d’historique.

Au lieu de ten­ter de cal­cu­ler en vain un ROI cré­dible, une autre approche est pos­sible : sim­ple­ment diri­ger les moyens dis­po­nibles de la meilleure façon qui soit, en pros­cri­vant les extrêmes, et en recher­chant une cer­taine homo­gé­néi­té du niveau de sécu­ri­té au sein d’un péri­mètre de sen­si­bi­li­té homogène.

Il vaut géné­ra­le­ment mieux s’attacher à fia­bi­li­ser un sys­tème de chif­fre­ment de don­nées par­ta­gé (par exemple : HTTPS) plu­tôt que d’ajouter une sur­couche de chif­fre­ment appli­ca­tif spé­ci­fique au projet.

Ce pilo­tage opti­mal des moyens alloués (ou allouables) à la sécu­ri­sa­tion des SI, au sens large, doit être la ligne de conduite per­ma­nente du RSSI. Celui-ci doit ain­si recher­cher les leviers d’action, la plu­part du temps évi­dem­ment sans auto­ri­té hié­rar­chique directe, sur les grandes masses de moyens.

Il s’agit tout autant des moyens finan­ciers, humains, que maté­riels, et tout autant des moyens de pure sécu­ri­té (pare-feux, anti­vi­rus, sondes, etc.) que des moyens annexes uti­li­sables au pro­fit de la sécu­ri­té (sys­tèmes bureau­tiques, annuaires, cœurs de réseaux, badges avec puce élec­tro­nique, etc.).

Instaurer une gouvernance de la sécurité

Le rôle moderne du RSSI, quelle que soit sa déno­mi­na­tion exacte, ne peut donc faire l’économie d’un pilo­tage trans­verse de moyens qu’il ne pos­sède pas, au tra­vers de leviers tac­tiques sur les­quels il n’a aucune prise directe. Com­ment faire ?

“ Le risque cyber est sous-jacent à la gestion du risque lié à l’activité ”

D’une part, la méthode la plus com­plète repose sur une bonne connais­sance de l’existant par les audits et les tests d’intrusion (patri­moine infor­ma­tique, ou numé­rique pour les plus avan­cés, ses vul­né­ra­bi­li­tés, ses atouts), une ges­tion-capi­ta­li­sa­tion des inci­dents de sécu­ri­té, et une ges­tion des risques à plu­sieurs niveaux (entre­prise, busi­ness unit, pro­jet) liant le risque por­té par le sys­tème d’information aux inté­rêts du pro­jet, du busi­ness, de l’entreprise.

D’autre part, le « savoir-être » des acteurs met­tant en œuvre ces trois pro­ces­sus est indis­pen­sable : les qua­li­tés de rela­tions humaines, de com­mu­ni­cant et de convic­tion per­mettent le « mana­ge­ment trans­verse », une espèce de soft power influen­çant les struc­tures de l’entreprise échap­pant à son auto­ri­té hiérarchique.

Ces qua­li­tés favo­risent éga­le­ment la créa­tion d’un qua­si-ser­vice de ren­sei­gne­ment interne, abso­lu­ment néces­saire au tra­vail du RSSI.

Valoriser la sécurité par un vrai marketing interne

Ce por­trait d’un RSSI modèle et moderne n’est cer­tai­ne­ment pas par­fait, immuable ni abso­lu. Il tra­duit une vision répon­dant aux besoins actuels des grandes orga­ni­sa­tions de culture fran­co­phone, et au constat mal­heu­reux d’un véri­table divorce entre le RSSI et les béné­fi­ciaires de son action en entre­prise ou en administration.

La faute est lar­ge­ment par­ta­gée : trop rares sont les RSSI qui prennent le temps d’aller ren­con­trer les « métiers » pour « vendre » de la sécu­ri­té qui cor­res­ponde à leurs besoins, trop rares sont les diri­geants qui acceptent de perdre en confort pour pro­té­ger le patri­moine de la société.

La cyber­sé­cu­ri­té en entre­prise ou en admi­nis­tra­tion est réso­lu­ment à la confluence de la ges­tion du risque opé­ra­tion­nel et du numé­rique, dont le sys­tème d’information est le socle.

De même que les géants du Web tirent leur pro­di­gieuse effi­ca­ci­té de l’intégration ver­ti­cale des com­po­santes du numé­rique (du dimen­sion­ne­ment de la fibre optique trans­at­lan­tique au modèle éco­no­mique de dif­fu­sion du conte­nu en Europe), les diri­geants publics et pri­vés doivent inté­grer le risque cyber comme un sous-jacent de la ges­tion du risque lié à l’activité qu’ils dirigent, risque dont la res­pon­sa­bi­li­té leur incombe in fine.

---

Articles similaires :

Gou­ver­nance de l’Internet et gou­ver­nance sur l’Internet Déve­lop­per une indus­trie fran­çaise et euro­péenne de confiance Cyber­cri­mi­nels : un arse­nal en per­pé­tuelle évolution Cha­cun est res­pon­sable de tous Une mobi­li­sa­tion crois­sante pour l’environnement