Philippe

GUARNIERI

Sécurité du système d'information

Un RSSI souvent seul au sein d'une DSI déclinante, tentant désespérémment de faire appliquer une PSSI ..parfois au sein d'un groupe de + de 100 000 personnes... croyez vous réaliste de penser que chaque employé va vraiment appliquer cette PSSI au quotidien ? et si le RSSI voulait tout contrôler quel serait son budget audit ? ... l'idée qu'un RSSI est réellement capable de faire appliquer ce qu'il énonce relève du fantasme absolu.

Et puis contrôler l'incontrôlable, c'est à dire les données non-structurées typiques de l'Entreprise 2.0, qui se créent au fil des discussions .. Alors c'est pas parce qu'il change d'outil, au sein d'une organisation figée que cela va faire évoluer les choses sans parler de la dimension humaine ... Le RSSI, homme à l'esprit cartésien, par essence va devoir se muter en homme de communication au sein des métiers .....

Savez-vous que la majorité des décisions de ce monde se prennent sur un mode non-cartésien, non rationnel .. il est de voir la gestion de la crise de 2009 ...

Alors penser que le RSSI va être capable de devenir cet homme là ....et puis faire porter le poids de la mutation actuelle sur un bonhomme quelle que soit sa compétence ...

Oui je sais, le RSSI se doit être non seulement un spécialiste de toutes les techniques informatiques, mais en plus a le devoir d'impertinence, doit être un champion de la communication et se doit de connaitre tous les métiers de son entreprise .... ce super homme là, dès que vous le rencontrez, présentez le moi ...il est unique ...

L'Entreprise 2.0 signifie que les rapports I to I ( informaticien to informaticien ... ) ne sont plus de mise ; ce ne seront plus des informaticiens bien formatés qui vont s'adresser à d'autres informaticiens bien formatés de l'entreprise mais des rapports I to U ... U comme utilisateurs qui viennent d'horizons différents avec leur logique bien à eux ..

La sécurité au sens classique du terme est morte et c'est tant mieux car cet état d'exception, typique des domaines en friche, se termine pour se fondre dans le banal c'est à dire le légitime. Il y a aura d'un côté une fonction qui aura la capacité à identifier ce coffre fort central, avec des méthodes plus proches de l'intelligence économique que du RSSI classique et de l'autre des fonctions de type sûreté permettant au SI d'avoir un certain nombre de garanties basiques mais intégrées dans les offres standard du marché.. c'est un mouvement qu'on devine en arrière plan des offres Saas.

Après tout derrière le Chaos apparent, il y a toujours un ordre en devenir et la sécurité n'échappe pas à ces règles universelles.

Non, ce n'est pas un problème de normes; il faut dire que les ISO2700x n'aident pas, étant typées "contrôle" plutôt que processus, mais rien n'y fait, la connaissance des ces normes augmente, faisant les choux gras des organismees de formation sans pour autant aider, ce qui devrait être l'objectif final, à élever le niveau de sécurité.

Les DSI qui ont la charge de la SSI, restent dans leur jus, l'apport des normes n'y faisant rien, le niveau de sécurité stagne ou régresse si on prend en compte les nouvelles contraintes de la mondialisation; de nouveaux projets, certes, mais majoritairement techniques qui ne parlent pas plus qu'avant aux utilisateurs.

La SSI est en manque de sens; pour en retrouver un, il lui faut impérativement muter et changer ses paradigmes de bases, sortir de la technique, embrasser les processus de l'entreprise, faute de quoi, le niveau de compétitivé de nos entreprises va irrémédiablement baisser.

 CLUSIF rapport 2010 (1.32 MB)

A lire : un extrait choisi  :

Avec un sentiment de dépendance à l'informatique toujours en hausse, les entreprises continuent d’avancer dans la prise en compte de la Sécurité des Systèmes d’Information (SSI). Toutefois, les changements concrets se font à petits pas… La prise en compte « théorique » de la SSI est de plus en plus visible, tant dans la formalisation de la Politique de Sécurité des Systèmes d’Information (PSSI) (73%, + 14% vs 2008), l’existence de charte SSI (67%, +17% vs 2008) que dans l’évolution du nombre de Responsables de la SSI (RSSI) (49%, + 12% vs 2008) ; avec toutefois une baisse quant à son rattachement à la Direction Générale (34%, - 11% vs 2008), certainement liée au fait que les RSSI « récents » proviennent souvent de la Direction des Systèmes d’Information (DSI). L’utilisation des « normes » est également en hausse. On constate, depuis près de 4 ans maintenant, la mise en place d’une « organisation » et de « structures » de la SSI (RSSI, Correspondant Informatique et Libertés (CIL), PSSI, charte, etc.) sans que, toutefois, la mise en application concrète de ces « politiques » ne décolle réellement !… Les budgets restent très serrés, parfois inconnus, et encore souvent réservés à la mise en oeuvre concrète de moyens techniques au détriment de la sensibilisation des utilisateurs (57% n’en font pas)

Quelle organisation pour quelle sécurité cliquez pour lire le document

La dimension humaine et managariale du métier de RSSI est largement sous-estimée; pourtant,  de part sa fonction transverse  elle nécessite l'acquisition d'un vrai savoir faire.

1. Un RSSI pourquoi faire ?
2. Les savoirs du RSSI
3. La pratique du métier de RSSI
4. Le RSSI face aux transformations en cours.

Concepts de base

Notion de niveau de sécurité, Chaine et maillon, DICP

Les outils du RSSI

Le management par les Risques

BIA

Le Classement des actifs

Normes et Méthodes Les différents types de démarche  top-down ( systémiques) bottom-up (intuitives)

ISO2700x

ISO21827

EBIOS

MEHARI

COBIT … autres …

Institutions d'appui

La PSSI ( politique de sécurité des systèmes d'information)

Gestion des crises

Gestion de incidents

Tests d'intrusion et audits

Mécanismes  de Veille

PAS (Plan Assurance Sûreté)

Les tableaux de bord.

Domaines d'action du RSSI

Sécurité Logique

Gestion des utilisateurs

Gestion des droits

Processus de sortie

SSO

Identification/authentification/OTP/cartes

Sécurité Physique

Sécurité des réseaux

Le poste de travail

L'ingénierie sociale

La Sécurité dans les Projets

Les processus métier

Le Management de la continuité d'activité

La pratique du métier de RSSI ( savoir-faire et savoir-être )

L'importance de la dimension humaine

Ce qu'il ne faut pas faire

Les difficultés

La Sécurité n'est pas  la priorité des DG

Image négative

Comment ne pas être celui qui mange seul à la cantine

L'importance du réseau

Techniques d'influence

Risk Manager et RSSI

Banaliser la sécurité

Sensibilisation / Formation / Education

ROSI plutôt que ROI



Comment défendre un budget sécurité.

Trouver des sponsors

Démarche processus

Management transverse : Le RSSI est un chef de projet  transverse permanent

La Sécurité doit être l'affaire de tous

Organisation de la Sécurité

Intégrer les besoins et les enjeux métier

La prise de pouvoir des utilisateurs 

Les offres CLOUD / La fin de la DSI

L'Entreprise 2.0

La fin de la sécurité périmétrique

Management des organisations orientées réseau

Dualité Sécurité/Sûreté

 



Pour cette formation :

Anticiper le Web 2.0 pour mieux le maîtriser C'est un nouvel enjeu pour les RSSI.

"C'est la fin de la sécurité paramétrique. Le système d'information s'ouvre à l'extérieur de l'entreprise, et les clients, les partenaires ou nos prestataires de services peuvent avoir accès au système d'information", explique Thierry Servais, RSSI de Kingfisher (Castorama), qui avait vu venir ces nouveaux enjeux.

La suite sur le JN : Assisse de sécurité 2010

Les rapports du CLUSIF sont toujours utiles, même si ils sont issus de courants différents et parfois contradictoires; chacun peut en tirer ses propres conclusions.

La norme 2700x est arrivée à maturité parce que issue d'années de pratiques dont elle est la collection mais par ce fait même elle est décalée dans le temps et ne prend pas en compte les nouveaux changements.

Il y a assez peu de volonté de normalisation en France (nous en sommes pas la Japon !) et effectivement peu de sociétés utilisent cet argument pour investir dans le domaine de la sécurité mais l'investissement est faible pour des raisons plus profondes, j'en décris brièvement deux :

la première c'est parce qu'une des clefs est le lien avec le business; un patron n'investira pas parce qu'il existe une faille potentielle mais parce que cette faille menace une part identifiée et quantifiée de son CA; combien de PSSI sont-elles argumentées dans cette direction ? Très peu dans les faits pour des raisons de compétence (la plupart des RSSI sont de culture informatique) et d'organisation (on pourra y revenir).

la deuxième c'est qu'il faut être en connexion avec les préoccupations de son temps; nous vivons une époque charnière dans l'informatique, plus dans son utilisation que dans sa technicité, et donc dans la sécurité des informations qu'elle colporte; c'est une période chaotique génératrice de nouveaux paradigmes.
L'Entreprise 2.0 est une lame de fond qui est en train de bouleverser notre vie professionnelle; en fait c'est l'entreprise toute entière qui change faisant de la collaboration le nerf de la croissance; des informations qui étaient jusque là secrètes doivent être partagées et donc divulguées; seules une petite partie d'entre elles doit rester cachée.

C'est la logique de l'aéroport .. tout le monde accède mais dès qu'on veut être plus précis, accéder à tel avion, il faut montrer son billet; c'est la vraie mort de la sécurité périphérique.
Et puis il y a l'arrivée des solutions de type Cloud et Saas qui aura deux conséquences, d'une part marginaliser un peu plus la DSI car ces offres sont proposées directement aux utilisateurs (dès à présent la majorité des budgets informatiques ne passe plus par la DSI) et d'autre part décaler le problème de la sécurité du SI vers d'autres problématiques : une problématique de type sûreté, SLA et audit des fournisseurs et une problématique visant à définir ce coffre fort central des informations qui ne doivent pas être diffusées.

On imagine bien que dans ce nouveau cadre , les leviers ne seront les mêmes; quid du RSSI, "noyé" au sein d'une DSI de moins en moins puissante ......

C'est aussi une chance pour ceux qui sauront prendre le train en marche et donner une vision "positive" de la sécurité participant à la création de la valeur en proposant une démarche qui accompagne le business.