Partager :
Face aux menaces, la pandémie a mis en relief le besoin des entreprises de réagir à la fois mieux et plus rapidement. Notamment en raison de la généralisation du télétravail. Du coup, directeurs sûreté-sécurité (DSS) et responsables de la sécurité des systèmes d’information (RSSI) doivent renforcer leur collaboration. Quitte à se retrouver, dans le cas de grandes organisations, dans des instances transversales où l’on retrouve, entre autres, le responsable des plans de continuité d’activité (RPCA) et le Risk Manager (RM).
Crise sanitaire (58 %), rupture d’approvisionnement des moyens de subsistance (55,1 %), événements climatiques violents (52,7 %), failles de cybersécurité (39 %), inégalité numérique (38,3 %), stagnation économique prolongée (38,3 %), attaques terroristes (37,8 %), désillusion de la jeunesse (36,4 %), érosion de la cohérence sociale (35,6 %), dommages environnementaux causés par l’homme (35,6 %)… Voici les menaces qui planent sur les organisations publiques et privées, selon le nouveau rapport Principles for Board Governance of Cyber Risk Report qu’ont publié en mars dernier le Forum économique mondial, la National Association of Corporate Directors, l’Internet Security Alliance et PwC. Une chose est sûre : le directeur sûreté-sécurité (DSS) ne peut y répondre à lui seul. Et, à l’heure de la généralisation du télétravail, le responsable de la sécurité des systèmes d’information (RSSI) non plus. Comment s’établit le partage des rôles entre DSS et RSSI (voire DSI) ?
DSS, RSSI, RPCA, RM… ces quatre métiers doivent se retrouver au sein d’instances transversales pour mettre en cohérence la sécurité globale. © Mohammed Hassan / Pixabay
Les quatre rôles piliers de la sécurité
En fait, il faut élargir la problématique : « Historiquement les positionnements respectifs du DSS et du RSSI sont clairs. Selon la terminologie anglo-saxonne, le premier organise la protection des personnes et des biens. De son côté, le RSSI veille sur le patrimoine informationnel de l’organisation, décrit Lionel Mourer, administrateur et trésorier adjoint du Club de la sécurité de l’information français (Clusif). En fait, la sécurité-sûreté et la cybersécurité des organisations réclament également deux autres profils que l’on retrouve dans la majorité des entreprises du CAC 40 et du SBF 250 : le responsable du plan de continuité d’activité (RPCA) pour faire face aux risques opérationnels et le Risk Manager qui s’intéresse davantage au risque financier ou assurantiel. »
Lionel Mourer (Clusif) : « Sur le terrain, les quatre métiers de la sécurité globale de l’entreprise se parlent peu. » © Clusif
Problème de gouvernance globale
De fait, une même vulnérabilité, par exemple des locaux mal protégés, aura des impacts différents au regard de chacun des rôles. Le RPCA va ainsi considérer la bonne marche des activités de l’entreprise. Le DSS cherchera à protéger les biens et personnes contre les agressions. Tandis que le RSSI voudra se prémunir du vol de disques durs bourrés de données personnelles. De son côté, le Risk Manager voudra prévenir le vol de secrets de fabrication aux répercussions financières désastreuses. « Chacun va proposer ses propres solutions de sécurité en se repliant sur son pré carré et en essayant d’avoir raison sur les autres. Sur le terrain, ces experts parlent peu ensemble. Le plus souvent, chacun travaille dans son silo », reprend Lionel Mourer.
Interdire le BYOD
Une manière de faire sauter les silos, du moins en partie, c’est de faire en sorte qu’une même personne cumule deux rôles, par exemple DSI et RSSI. « D’une manière générale, les DSI et les RSSI sont sensés collaborer de façon plus étroite. En fait, les équipes de la DSI, qui sont proches des métiers, ont tendance à agresser les équipes de cybersécurité en les accusant de ralentir les développements et les opérations, confie Michel Devos, à la fois DSI et RSI chez un grand industriel français. Porter les casquettes à la fois de DSI et de RSSI permet d’avoir un discours cohérent vis-à-vis des métiers. » En effet, il a fallu mettre à niveau les infrastructures de réseaux de sorte à supporter 100 000 connexions de visioconférence par jour et sécuriser les ordinateurs portables en situation de télétravail. Notamment en interdisant, pour des raisons de sécurité, le BYOD (Bring Your Own Device), c’est-à-dire l’accès distant au système d’information de l’entreprise avec des équipements personnels. « De même, nous acceptons les Box Internet des salariés mais en interdisant les adresses dynamiques. En revanche, nous avons instauré un système d’authentification forte », indique Michel Devos.
Jean-Paul Bonnet (CDSE) : « C’est le DG qui doit diriger l’instance de transversalité de la sécurité globale de l’entreprise. » © CDSE
Créer des instances de transversalité pour la sécurité globale
Autre solution : créer des instances transversales au sein desquelles se regroupent tous les métiers concernés par la sécurité globale. « On en voit de plus en plus, surtout dans les grandes organisations, constate Jean-Paul Bonnet, président de la commission Cybersécurité du Club des directeurs de sécurité des entreprises (CDSE). Le DSS peut prendre l’initiative de la créer mais ce sera le DG qui dirigera l’instance. Outre le DSS, on y retrouvera le directeur des systèmes d’information (DSI), le RSSI, le RM, le RPCA mais aussi le DRH, le secrétaire général et le directeur industriel. » Réuni tous les deux mois à raison de deux à trois heures par séance, l’instance offre un terrain neutre pour établir l’analyse transversale des risques, déterminer qui doit valider quoi. « On y commente l’incidentologie, on y trace les décisions et le suivi des actions en cours ainsi que l’orientation et l’acceptation du risque résiduel », poursuit Jean-Paul Bonnet.
Sécuriser les systèmes de sécurité électronique
Illustration de la méthode sur le terrain de la sécurisation des systèmes de sécurité électronique. Le DSS va donc définir les zones de sécurité dans les sites, accorder les droits et les accès physiques sur le badge électronique multifonction (RH, présence, cantine, certificats numériques, signature électronique, machine à café…). Quant à l’architecture du réseau des équipements de sécurité électronique, notamment la vidéosurveillance, elle est définie par la DSI. De même, la sécurisation des équipements de sécurité (chiffrement, souveraineté, stockage des données…), c’est le RSSI qui s’en occupe. « Il importe donc que le RSSI travaille à la fois avec le DSI et le DSS pour ne pas créer de silos, insiste Jean-Paul Bonnet. D’autant que, même s’ils ont des moyens différents en fonction de leur périmètre d’activité, ils font à peu près la même chose : accorder des droits d’accès et des privilèges. Ainsi que gérer des incidents de malveillance. »
Erick Haehnsen
Commentez