Le RSSI n’est plus l’expert technique qu’il a souvent été et dont il a encore l’image. Il doit désormais aborder la cybersécurité sous de multiples angles : technique, bien sûr, mais aussi opérationnel, juridique, assurantiel, organisationnel et stratégique. Il est en quelque sorte devenu un « chef d’orchestre » travaillant avec les métiers, les autres fonctions support et, bien entendu, le comité de direction de l’entreprise.

Au cœur des missions du RSSI se trouve l’analyse de risque, par essence transversale, et donc collaborative. Mais quel doit être le positionnement du RSSI au sein des organisations ? Quels sont ses soutiens et ses relais ? Quelles bonnes pratiques lui permettent d’associer les métiers à sa démarche et de mobiliser les Comex aux enjeux de la cybersécurité ?

Telles sont les questions auxquelles ont répondu, le 2 juin dernier, Cyril Bras, RSSI chez Grenoble-Alpes Métropole et Vice-président de l’IN.CRT (Institut National pour la Cybersécurité et la Résilience des Territoires), Jérôme Poggi, RSSI de la Ville de Marseille et Philippe Cotelle, Head of Cyber Insurance Management chez Airbus mais aussi Board Member au sein de l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise), à l’occasion d’une table ronde animée par Luména Duluc, Déléguée générale du Clusif, à l’occasion du Virtual FIC organisé par Avisa Partners.

La question du positionnement et de l’autonomie du RSSI

Faute d’un positionnement hiérarchique lui octroyant une autonomie et une liberté d’action suffisantes, le RSSI peine encore trop souvent à réaliser correctement les tâches qui lui incombent et à anticiper les attaques, toujours plus nombreuses, qui touchent les organisations françaises. Et c’est dans la douleur qu’il doit gérer les incidents quand ils surviennent, selon Cyril Bras (Grenoble-Alpes Métropole / IN.CRT).

« Quand le RSSI est rattaché à la DSI, il est à la fois juge et partie. Imaginons que la DSI soit un garage automobile. Lorsqu’un véhicule arrive, le rôle du garage n’est pas simplement de se focaliser sur la couleur de la voiture et sur le fait qu’elle ait été bien lavée, mais de pointer du doigt ses faiblesses, comme ses pneus dégonflés ou ses phares abîmés. C’est ce que fait le RSSI mais son rôle est compliqué, car il lui est difficile de mettre en défaut la structure à laquelle il est rattaché. Pour que le RSSI ait plus de poids, il faut lui donner le statut de contrôle technique, indépendant du garage », explique Cyril Bras.

Le RSSI a pour mission de contrôler les systèmes d’information et de s’assurer qu’ils sont bien protégés. Il a pour cela besoin d’outils, de moyens et, surtout, d’écoute et de soutien de la part d’un sponsor dans l’entreprise. « Si le président ou son Comex ne suivent pas ses recommandations, il ne pourra pas être entendu. Dans l’idéal, le RSSI doit être rattaché à la direction générale et piloter son propre budget. Il doit être un mini chef d’entreprise », abonde Luména Duluc, Déléguée générale du Clusif.

Un rôle de plus en plus large et transversal

Les cyberattaques dépassent désormais largement la sphère technique, elles ne consistent plus seulement en des intrusions dans le système d’information. « De plus en plus sophistiquées, elles s’attaquent dorénavant à l’humain. Dans le cadre de ses attributions, le RSSI doit donc également procéder à une veille sur ce qui se passe dans l’environnement de son entreprise ou de sa collectivité, pour protéger le patrimoine informationnel de la structure », ajoute Cyril Bras.

Cette veille, il doit la partager à tous les niveaux de l’entreprise, dans un objectif de sensibilisation. « Le RSSI est un véritable chef d’orchestre. Il crée du liant et fait parler les gens entre eux dans un objectif de sécurité des SI. Cela ne concerne pas seulement les utilisateurs finaux. Les développeurs sont tout autant, voire davantage, concernés que les métiers ou les fonctions support », analyse Luména Duluc (Clusif).

Pour aider le RSSI dans sa tâche, la création d’un réseau de correspondants dans les équipes métiers est indispensable. Ces ambassadeurs sont le relais des bonnes pratiques prônées par le RSSI. « Cela évite les validations de projets soumises au RSSI en 24 heures, sans qu’il ait le temps de se retourner. C’est un travail de communication et de sensibilisation de longue haleine pour expliquer que l’objectif n’est pas de dire ‘non’ mais de se donner les moyens de mener tous les projets dans un contexte de bonnes pratiques de sécurisation des outils », ajoute Luména Duluc (Clusif).

Un duo à former avec le risk manager

Le RSSI peut-il aussi s’appuyer sur le risk manager, quand cette fonction existe au sein de l’organisation ? Assurément, avance Philippe Cotelle, Head of Cyber Insurance Management chez Airbus mais aussi Board Member au sein de l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise). « C’est un binôme qui peut être très bénéfique dans le cadre de la gestion de la crise. Le risk manager peut donner à la direction générale, en collaboration avec le RSSI, un éclairage sur les impacts opérationnels liés à un incident de cybersécurité », note-t-il.

Quant à l’assurance « cyber », lorsqu’elle a été souscrite, elle accompagne les entreprises victimes d’attaques pendant la gestion de l’incident, notamment à travers un support technique, juridique et de communication. « Ce support peut être essentiel pour des organisations qui ne disposent pas des ressources nécessaires en interne. Il permet de réduire le temps de la crise, ce qui est bénéfique pour l’assuré mais aussi pour l’assureur, l’impact financier de l’attaque étant moins important », ajoute Philippe Cotelle.

Le rôle « bénéfique » de la pandémie

Tous ces soutiens sont les bienvenus, les tâches et missions du RSSI étant extrêmement complexes. Plus d’un an après l’attaque (ransomware Mespinoza / Pyza) qui a touché la ville de Marseille et la métropole Aix-Marseille-Provence à la veille du premier tour des élections municipales de mars 2020 et quelques jours avant le premier confinement, Jérôme Poggi, RSSI de la ville de Marseille, dresse un bilan contrasté.

« 14 mois après l’attaque, les choses vont mieux mais nous découvrons un effet pervers de la crise, c’est la fatigue physique et morale. L’impact moral sur les équipes a été très important. L’épuisement est toujours sous-estimé dans une telle crise. Il y a bien entendu la fatigue pendant la crise, qui est relativement facile à gérer. Mais après l’attaque vient s’ajouter un impact psychologique qui est plus pernicieux », témoigne le RSSI.

Heureusement, la pandémie et les périodes de confinement ont eu de nombreux impacts positifs. Outre la sensibilisation des dirigeants aux thématiques de la cybersécurité dans le cadre du télétravail, de nombreuses équipes informatiques ont mis à profit ce temps disponible pour mettre à jour certains systèmes d’exploitation et déployer des solutions de sécurité dont elles n’avaient jamais eu le temps de s’occuper auparavant. À toute chose, malheur est bon…

Partager cet article avec un ami