Chargé de la protection du système d’information, le responsable en sécurité des systèmes d’information doit avoir un rôle stratégique et offensif dans l’entreprise. Objectif : mieux contrôler l’information.
L’intelligence économique, activité qui consiste à maîtriser la production et la transmission d’informations dans l’entreprise sous une forme papier ou numérique, doit devenir l’outil de demain du responsable de la sécurité des systèmes d’information afin de valoriser son métier.
C’est ce qui ressort du colloque organisé le 28 septembre par le Medef sur ce thème, et auxquels ont participé plusieurs experts du domaine. "L’informatique a rendu plus complexe la maîtrise de l’information de l’entreprise. En même temps, le RSSI doit parvenir à expliquer son activité souvent complexe et mal perçue", indique ainsi Joaquim Nassar, chargé de mission au SGDN (Secrétariat Général de la Défense Nationale).
Car même si Internet représente une mine d’informations pour des activités de veille, le réseau global comporte son lot de menaces. Des menaces auxquelles sont insuffisamment sensibilisées les directions générales et les employés.
"Une formation à la sécurité informatique n’est pas systématiquement délivrée à un nouvel employé. Avant de donner accès à une voiture, on s’assure que la personne dispose de son permis. Si elle fait trop d’erreur, on lui retire. Alors que l’informatique comporte au moins autant de risques, il n’y a pas de formation obligatoire", argumente le chargé de mission au SGDN.
Destruction, altération, diffusion non contrôlée ou vol d’informations peuvent à la fois engendrer une perte d’image, voire des pertes financières. C’est le cas notamment des arnaques bancaires en ligne (phishing), mais aussi des ordinateurs zombies devenant relais de virus, spams ou de contenus illicites. Or, les intervenants insistent sur le fait qu’une majorité (70% environ) des vols d’informations s’effectue à partir de comptes existants.
Une majorité des vols d’information s’effectue à partir de comptes existants
Pour contrôler l’information de son entreprise, les spécialistes de la sécurité de l’information recommandent quelques bonnes pratiques très simples à mettre en œuvre : identifier ses concurrents, ses marchés, suivre son image et les évolutions technologiques, mettre en place des processus de détection des attaques (sur l’image ou attaques physiques), puis connaître la réglementation internationale qui cadre les activités de veille.
"L’impact du numérique dans l’intelligence économique donne lieu à de nouvelles menaces contre lesquelles il faut se défendre. Les attaques par l’information sur Internet, la saturation des réseaux lors d’un appel d’offres, le phishing, les chevaux de Troie de plus en plus ciblés… Il ne faut donc plus prendre en compte l’information comme la seule documentation mais élargir sa surveillance et sa veille à l’information au sens large : les réseaux commerciaux, les intranets, les partenaires…", souligne Olivier Darrason, Président de la société de services CEIS.
Les intervenants de la table ronde du Medef du 28/09/2006
A terme, le RSSI doit prendre en compte des sujets tels que les crises sanitaires ou les catastrophes naturelles, car elles impacteront logiquement le système d’information. Mais en plus de cette capacité de surveillance, d’anticipation et de protection, il est recommandé d’adopter une stratégie d’intelligence économique offensive : veille concurrentielle, ouverture de nouveaux flux sécurisés, services délivrés aux directions métiers.
"Si une politique de sécurité ne crée pas de la valeur pour l’entreprise, il s’agit d’une mauvaise politique de sécurité. Il faut être proactif face à la concurrence et garder une avance en termes d’innovation. Cela n’est possible que si la sécurité est une préoccupation durable et non ponctuelle dans l’entreprise. De même, le RSSI doit participer activement à la politique de gestion de l’entreprise pour comprendre les enjeux", ajoute Olivier Darrason.
Cela passe aussi par la création d’un plan de continuité d’activité, le recours à des audits, un plan de communication et de gestion de crise, une politique de formation claire, de gestion des habilitations et des rôles… Malgré ce rôle stratégique, le RSSI conserve comme première fonction d’être le garant de la sécurité de l’entreprise et doit donc conserver des compétences techniques.
Un habile mélange sera alors nécessaire entre le niveau de sécurité que le RSSI garantit à l’entreprise et l’activité quotidienne de cette dernière. La protection doit être souple, adaptée en fonction du pays, de la criticité des informations, des moyens engagés par l’entreprise, et du respect de la vie privée. Cela passe par la mise en place d’outils (SIM, moteur de recherche, pare-feu, antivirus, réseaux privé virtuel) et par une prise de conscience collective des enjeux.
"L’intelligence économique ne se limite pas à une seule personne. Il faut ouvrir la fonction de RSSI à des personnes non techniques mais capables de comprendre les enjeux de la sécurité. Idéalement, il faut diffuser l’intelligence économique à chaque employé de l’entreprise pour que toutes les branches amènent leur connaissance", témoigne Patrick Langrand, RSSI de Natexis / Banque Populaire.
Les tableaux de bord : un outil de dialogue et de suivi
La classification de l’information et des personnes apparaît comme une étape essentielle avant de formaliser plus en avant sa politique de sécurité en mettant en place des outils. Dans des entreprises qui bougent, fusionnent, disparaissent, l’outil informatique doit apporter plus de souplesse et non être un frein. Une fois formalisé, la politique de sécurité débouche logiquement sur des systèmes d’authentification forte (PKI, biométrie), des identifiants uniques (SSO) et de la gestion des accès et des identités (IAM).
Enfin, pour faciliter le dialogue avec sa direction générale, mais aussi être crédible, l’utilisation de tableaux de bord est chaudement recommandée. "Il est nécessaire de connaître les menaces auxquelles on s’expose, leur fréquence, leurs conséquences pour s’adapter. Le RSSI ne doit pas complexifier le fonctionnement de l’entreprise, mais il doit présenter une vision objective des risques. Le créateur d’entreprise prend ensuite ses décisions en toute conscience", affirme Patrick Langrand.
L’avenir du RSSI n’est donc définitivement plus seulement dans la technique. Au contraire, son rôle l’amène à prendre en compte plus souvent des enjeux décisionnels, stratégiques ou qualitatifs. Trop pour un seul homme ? Peut être car certains experts préconisent déjà une scission des tâches entre RSI (responsable de la sécurité de l’information à profil stratégique) et le RSSI (responsable de la sécurité des systèmes d’information à profil technique).
Auteur : Yves Drothier
Source : JDN Solutions – Le 29 septembre 2006