le rôle du RSSI : entre technique, usages et dialogue ! #FIC2014

La dématérialisation est désormais enclenchée, voire déjà une réalité dans de nombreuses entreprises et organisations. Mais sa mise en œuvre génère des risques et inquiétudes… ça a été le sujet, avec le rôle du RSSI dans ces projets, de la table ronde « B17 » du FIC2014. J’ai personnellement beaucoup apprécié cet atelier, plus humain et moins technique que les autres. Bref, en voici mon résumé :

le RSSI, un rôle de confiance avant tout

L’atelier a commencé sur la question « qu’est-ce qui marche dans un projet de dématérialisation ? » Ce sur quoi Isabelle Renard s’est empressée de répondre : tout et rien à la fois. Le décor est planté : Isabelle considère que les réponses technologiques sont fiables mais qu’il y a un gros problème de confiance (Nicolas Caproni renchérira plus tard : « la base de la sécurité, c’est la confiance »).

Un exemple lancé par la table ronde a été celui de l’intégrité des documents. Auparavant, on possédait des documents au format papier mais maintenant ils sont électroniques… et ce changement perturbe. Nicolas Caproni abondera dans ce sens : « la CNIL a remis en cause les logiciels dits coffres forts car les propriétés requises par ceux-ci ne sont pas définies ».

Bref, le rôle du RSSI dans ce contexte est d’apporter un sceau sécurité aux autres directions/clients.

projet de dématérialisation : sous la technique, l’usage

Ceci dit, les clients (internes ou non) sont convaincus de l’intérêt des projets de dématérialisation. Il n’en demeure pas moins qu’ils sont inquiets vis-à-vis des habitudes de travail, point identifié comme étant le principal frein à la modernisation. On voit qu’on est loin des aspects techniques ! ;-)

On doit donc accompagner ces projets en impliquant le plus haut niveau hiérarchique de l’entreprise : donner un programme, le suivre, l’expliquer et le promouvoir… bref donner du sens à la démarche et faire en sorte que tous y adhèrent.

Cet aspect m’a particulièrement intéressé donc j’ai profité des Q&A de fin pour creuser la chose en posant la question suivante : est-ce qu’intégrer des experts en conduite du changement change la donne ? Alexandre Barbot me l’a confirmé avec enthousiasme : il pense même que ce point est fondamental ! Je le cite : « il ne s’agit pas de mettre un petit coup de communication sur le projet mais bien de l’accompagner de A à Z. »

Le rôle du RSSI semble donc aller plus loin que ce sceau sécurité dont on parlait. Il faudrait dépasser l’aspect humain… oui mais jusqu’où ? La raison de l’humain serait toujours la meilleure ? Nous l’allons montrer tout à l’heure, comme racontait un célèbre poète.

le RSSI : un acteur et non un censeur !

Nicolas Caproni le martelait lors de l’atelier : « la sécurité doit être intégrée dès le début d’un projet ». Ce à quoi Isabelle Renard a fini par répondre : « le bon côté de ces projets [de dématérialisation donc] est qu’il n’y en a plus beaucoup qui ignore totalement la sécurité ». Ceci dit, elle continuera : « malheureusement le RSSI reste trop souvent invisible et finalement n’apparaît que quand il faut interdire quelque chose. »

En bon consultant, Nicolas Caproni a rebondi en soulignant qu’effectivement, le RSSI devait être là pour accompagner les enjeux business et métier avant tout. Le RSSI, en s’intégrant dès le début et on considérant les autres directions peut donc mettre tel ou tel projet sur de bons rails. D’ailleurs, les projets ne sont pas si complexes, seulement pluridisciplinaires : il faut penser à marcher main dans la main avec le juridique, les RH, etc.

Par exemple, dématérialiser les bulletins de salaire est une chose techniquement facile mais qui demande un acte dans la direction juridique : l’ajouter au code du travail (personnellement, je ne savais pas… comme quoi !) sans quoi le projet peut tout simplement tomber du fait d’être resté dans son silo.

conclusion : le rôle du RSSI c’est…

Le rôle théorique du RSSI dans un projet de dématérialisation : assurer la garantie et prouver la sécurité de l'information. Dans la pratique, être là dès le début du projet et penser aux autres directions aussi. Bref, bien plus qu’un simple technicien !

Rémi

Les autres articles/vidéos du #FIC2014 :

  1. la sécurité par les logiciels libres, c’est possible ? #FIC2014
  2. sécurité des mobiles : le RSSI se casse toujours la tête
  3. le professeur Audenard au #FIC2014 - Jour 1 : DDoS, phishing, malwares, API et Cloud
  4. le professeur Audenard au #FIC2014 - Jour 2 : mots de passe, imprimante connectée et sensibilisation à la cybersécurité
  5. cybersécurité & cyberdéfense : des buzzwords ? #FIC2014