Directeurs de la sûreté et des risques, directeurs de la sécurité et de la protection contre le feu, directeurs des systèmes d'information (DSI), responsables de la sécurité des systèmes d'information (RSSI), Correspondants Informatique et Libertés (CIL) et bientôt Data Protection Officer (DPO)... : les responsables de la protection de l’entreprise et de ses salariés voient leurs professions se diversifier. Cependant, ils appartiennent à deux catégories : d'un côté, la protection physique et, de l'autre, la protection informatique. Quels rapports ces deux univers entretiennent-ils ?
C’est l’arrivée de l’IP (Internet Protocol) qui a bousculé les relations entre sécurité physique et sécurité informatique. 99% des réseaux sont à présent sur IP : réseaux informatiques, caméras de vidéosurveillance, systèmes d’accès, etc. « Avant l’IP, les protocoles propriétaires étaient plus simples à gérer car la sécurité était beaucoup plus cloisonnée, explique Lionel Mourer, administrateur du Club de la sécurité de l’information français (Clusif) et président du cabinet de conseil Atexio. Le déploiement de l’IP a permis l’interaction de tous les systèmes informatiques. » Cette universalité a bien sûr eu l’avantage de faire dialoguer les différents systèmes entre eux et de faire apparaître tout le confort lié au numérique mais l’IP a également introduit des failles. « Le premier protocole IP, IPV4, n’était pas du tout orienté sécurité. Le nouveau protocole IPV6 intègre davantage de sécurité mais il est encore à ce jour peu déployé, du fait de diverses raisons techniques. »
« La sûreté et la sécurité des systèmes d’information sont deux mondes complémentaires, explique Alain Bouillé, président du Club des experts de la sécurité de l’information et du numérique (Cesin). Il ne sert à rien de protéger les données numériques si quelqu’un peut aisément entrer dans l’entreprise et voler les ordinateurs. » Un peu comme poser une porte blindée sur un mur en plaques de plâtre. Avec les Smart Cities (villes intelligentes), de plus en plus d’équipements de sécurité physique et d’objets connectés sont reliés au même réseau IP que celui du système d’information. Cela introduit des risques supplémentaires. « C’est de notre ressort de correctement sécuriser les appareils connectés. Mais ce n’est pas toujours possible. Les fabricants n’ont pas tellement d’intérêt à augmenter le niveau de sécurité de leurs objets connectés, ce qui en ferait augmenter le prix, continue le président du Cesin. Alors, s’il est impossible de sécuriser l’appareil, il faut créer des réseaux dédiés, les plus cloisonnés possibles, en laissant vivre l’appareil qui gère l’ascenseur avec sa médiocre sécurité, par exemple. Pour ne laisser passer les flux légitimes et empêcher les flux malveillants de pénétrer sur le système d’information de gestion. »
A qui revient la sécurité de l’information ?
Entre gestion des risques et l’informatique, c’est donc la complémentarité qui prime. En revanche, à l’intérieur du département des système d’information, les intérêts divergent parfois. L’objectif prioritaire d’un directeur des systèmes d’information (DSI), c’est de faire en sorte que les utilisateurs puissent accéder à l’information quand ils en ont besoin. Un responsable de la sécurité des systèmes d’information (RSSI), pour sa part, s’intéresse à l’intégrité et à la confidentialité de l’information. Le DSI et le RSSI vis-à-vis de la donnée ont donc des points de vue différents. « Si un DSI se rend compte qu’un hacker entre sur son système d’information, il va surtout penser aux 15.000 utilisateurs présents sur le réseau. Le RSSI, lui, pourra plutôt préférer couper le flux », précise Lionel Mourer.
C’est pour cette raison que de plus en plus de professionnels du secteur préconisent que le RSSI soit rattaché non plus au DSI mais à la direction générale. « Il ne doit plus y avoir de relation hiérarchique mais une collaboration, assure l’administrateur du Clusif. Ainsi, en cas de désaccord, un arbitrage à un plus haut niveau peut avoir lieu. » Or, aujourd’hui, dans plus de la moitié des organisations, le RSSI est rattaché au DSI. C’est donc lui qui a le dernier mot la plupart du temps. « Cet organigramme est plus fréquent dans les plus petites structures que dans les grandes », précise Lionel Mourer. En effet, une étude du Clusif de juin 2016 révèle que plus l’entreprise est grande, plus les filières sont spécialisées. Dans les petites organisations, la sécurité de l’information est liée à la direction informatique qui gère les équipements comme le firewall, l’antivirus, etc.
Mieux vaut un RSSI mal placé que pas de RSSI du tout
D’autres professionnels militent pour que la sécurité informatique soit rattachée à la direction de la gestion des risques. « C’est une tendance qui va prendre du temps à se mettre en œuvre parce que les avis sont mitigés, précise Patrick de la Guéronnière, président de l’Agora des directeurs de sécurité. Nous avons pu observer que les DSI sont demandeurs mais les responsables de la sûreté sont moins convaincus parce que les RSSI sont des techniciens et parlent un langage pointu : il n’est pas toujours facile de recruter et de manager quelqu’un qu’on ne comprend pas toujours. » L’objectif est le même : faire en sorte que celui qui fait les systèmes d’information et celui qui les sécurise ne soient pas dans le même département, pour qu’un contrôle maximum soit assuré. « Mais mieux vaut un RSSI mal placé que pas de RSSI du tout », conclut Lionel Mourer.
Cette évolution du tout IP milite aussi pour voir le RSSI rattaché aux risques : il aura ainsi une vision à 360° sur l’ensemble des systèmes physiques et logiques qu’ils soient gérés par le DSI ou les services de sûreté. Il pourra ainsi donner un avis indépendant sur la sécurité de ces dispositifs. Depuis ce département, le RSSI pourrait superviser la sécurisation de tous les systèmes en place.
Caroline Albenois
Quelle place pour le DPO ?
Le nouveau règlement européen sur la protection des données personnelles entrera en application fin mai 2018. Il instaure notamment le nouveau rôle de Délégué à la Protection des Données (DPD en français, DPO pour Data Protection Officer en anglais). Les nouvelles exigences présentées amèneront probablement le RSSI à jouer un rôle important au côté des futurs DPO. « Aujourd’hui, le CIL, correspondant informatique et libertés, est le garant de la protection des données personnelles, tout comme le DPO demain, explique Lionel Mourer du Clusif. Le RSSI, lui, a vocation à protéger les données de l’entreprise. Ces visions induisent un recouvrement. De fait, un dialogue va forcément s’ouvrir entre le CIL, le DPO et le RSSI. » Là aussi se pose le problème de son rattachement hiérarchique, qui doit se faire « au niveau le plus élevé » précise le règlement.
Commentez