et définition de la politique de sécurité
• Réaliser des audits du système de sécurité, le plus souvent avec l’aide de prestataires.
• Analyser les risques et les dysfonctionnements, les marges d’amélioration des systèmes de sécurité.
• Définir et faire évoluer la politique de sécurité des systèmes d’information du groupe (PSSI).
• Établir un plan de prévention des risques informa-tiques et un plan de continuité d’activité (PCA) ou plan de maintien en conditions opérationnelles du SI.
• Définir ou faire évoluer les mesures et les normes de sécurité (charte), en cohérence avec la nature de l’activité de l’entreprise et son exposition aux risques informatiques (nomadisme, BYOD [Bring your own device1], transferts de données, transac-tions financières…).
• Choisir les dispositifs techniques les plus appriés aux besoins de l’entreprise (firewall, pro-grammes de back-up, cryptographie, authentification…).
• Participer à la définition et au contrôle de la ges-tion des habilitages-tions.
• Participer au comité des risques.
Mise en œuvre et suivi du dispositif de sécurité
• Faire appliquer les normes et standards de sécurité.
• Mettre en place les méthodes et outils de sécurité adaptés, et accompagner leur implémentation auprès des utilisateurs.
• Gérer les projets d’infrastructures sécuritaires.
• Élaborer et suivre des tableaux de bord des inci-dents sécurité.
• Superviser ou auditer les programmes de sauve-garde (back up).
1.Pratique consistant à utiliser ses équipements numériques personnels dans un contexte professionnel.
LES MÉTIERS DE LA PRODUCTI ON 15 – RESPONS ABLE SÉCURITÉ INFORMA TIQUE
infogérée d’une entreprise, son rôle est le même que celui d’un RSSI d’une entreprise utilisatrice.
En entreprise, le RSSI est fréquemment responsable de la mise en pratique opérationnelle de la sécurité sur le système d’information et le Web : il peut gérer les droits des utilisateurs et à participer à la définition des règles avec les opérationnels des métiers. Il est souvent amené à sensibiliser les différents interlocuteurs aux problématiques de sécurité (mots de passe…).
• Le secteur et la culture du risque de l’entreprise Dans les secteurs d’activités sensibles, tels que la banque/finance ou encore la défense, la culture du risque en interne est très forte. De fait, le poste de responsable sécurité informatique revêt un enjeu plus stratégique et dispose en conséquence de moyens plus importants. Il gère un budget important, encadre généralement une équipe d’experts techniques voire fonctionnels, et occupe un positionnement transverse dans l’entreprise. Il travaille généralement avec une équipe de prestataires, experts techniques, voire fonc-tionnels, et doit avoir des notions d’urbanisme et d’ar-chitecture SI plus poussées que dans d’autres secteurs.
Dans le secteur bancaire, le RSSI est amené à être l’interlocuteur d’autorités de tutelle (commission ban-caire, GIE CB…).
• La taille de l’entreprise
Dans les groupes internationauxou possédant plu-sieurs implantations, il occupe un rôle de centralisa-tion et d’animacentralisa-tion du dispositif global de sécurité. Il encadre tantôt hiérarchiquement tantôt fonctionnelle-ment des homologues rattachés à un site ou à un pays.
Il doit garantir les synergies en termes de moyens, mais aussi la bonne diffusion des règles de sécurité à travers l’ensemble de ses correspondants sécurité.
Dans les grandes entreprises, (ex : Banque, assu-rance) il est de plus en plus souvent rattaché à la direction de l’audit. Même s’il intervient via une SSII ou un cabinet d’experts, il peut coordonner des équipes importantes (jusqu’à 50 personnes) en fonc-tion des problèmes rencontrés.
Dans ce cadre, son rôle va s’orienter plus largement vers la sélection et le pilotage de prestataires intervenant en audit ou en intégration de solutions de sécurité.
Dans les entreprises de taille moyenne, le RSSI défi-nit l’ensemble de la politique de sécurité informa-tique (back up, sécurité physique des équipements…) tout en occupant un poste d’expert en sécurité et en gérant de manière opérationnelle tous les incidents de sécurité, en s’appuyant parfois sur les compé-tences de prestataires spécialisés. Il n’a pas ou peu de rôle de manager.
En PME, cette fonction est souvent confiée aux admi-nistrateurs ou ingénieurs systèmes réseaux télécoms.
• Suivre l’action des correspondants sécurité.
• Suivre le budget alloué à la sécurité informatique.
• Participer au choix et l’évaluation des sous-trai-tants (sélection des SSII ou cabinets conseil, parti-cipation à la rédaction de l’appel d’offres et au dépouillement des réponses, sélection et réception des candidats).
Suivi des actions et reporting
• Contrôler les tableaux de bord techniques des inci-dents de sécurité rencontrés (virus, tentatives d’in-trusion…).
• Assurer le reporting des problèmes de sécurité en estimant les pertes financières (pertes engendrées et coût de mise en place d’une parade).
ACTIVITÉS ÉVENTUELLES
Cette fonction peut être cumulée avec celle de cor-respondant « Informatique et libertés » dans certaines structures.
Le responsable sécurité informatique peut également exercer une responsabilité d’encadrement vis-à-vis d’une équipe de techniciens, d’ingénieurs et/ou administrateurs systèmes réseaux.
Il peut être amené à animer en personne des sessions de formation à l’attention d’utilisateurs initiés ou non initiés, en interne mais aussi lors de séminaires ras-semblant des experts de la sécurité informatique.
Cette fonction peut être cumulée avec celle de res-ponsable système réseaux télécoms ou d’administra-teur système réseau dans les PME ou dans les sociétés qui estiment leurs risques informatiques ou risques d’intrusion moindres que le coût engendré par l’em-bauche d’un expert à plein temps.
VARIABILITÉ DES ACTIVITÉS
C’est la taille de l’entreprise, mais aussi son secteur d’activités qui conditionnent le contenu de la fonc-tion de responsable sécurité informatique. Son acti-vité peut varier selon :
• Les conditions d’exercice
Lorsqu’il exerceen SSIIouen cabinet conseil spécia-lisé, le RSSI n’intervient le plus souvent que sur une partie des missions pour laquelle il lui est demandé une expertise très poussée : il réalise l’audit du SI et met en place une politique de sécurité dans des entreprises ne disposant pas encore de spécialistes dans ce domaine.
Il est également en charge de la réponse aux appels d’offres et de l’avant-vente des prestations. En revanche, s’il intervient en SSII sur l’informatique
DURÉE D’EXPÉRIENCE
Au moins 5 à 7 ans d’expérience sont généralement requis car il s’agit de postes nécessitant une certaine maturité ainsi qu’une bonne connaissance des sys-tèmes d’information.
COMPÉTENCES TECHNIQUES
• Bonne connaissance de la stratégie de l’entreprise, de son organisation, de ses métiers et des enjeux.
• Bonne connaissance du système d’information glo-bal, de l’urbanisation et de l’architecture du SI et des interfaces en application.
• Maîtrise des normes et procédures de sécurité et des outils et technologies qui s’y rapportent : firewall, antivirus, cryptographie, serveurs d’authen-tification, tests d’intrusion, PKI, filtrages d’URL…
• Connaissance des principaux prestataires du mar-ché de la sécurité informatique (éditeurs, sociétés de service…).
• Bonne connaissance des réseaux et systèmes.
• Bonne connaissance des outils d’évaluation et de maîtrise des risques (méthode Marion MEHARI…).
• Connaissance des méthodologies (ex. : OSSTMM, OWASP…).
• Bonnes connaissances juridiques en matière de sécurité et de droit informatique.
• Connaissance des normes ISO (si l’entreprise dis-pose d’une certification) et/ou PCI/DSF (banques, grande distribution ou e-commerce).
• Maîtrise de l’anglais, car 90 % des documents rela-tifs à la sécurité sont rédigés en anglais.
APTITUDES PROFESSIONNELLES
• Sens de la confidentialité, intégrité et éthique car le responsable sécurité a accès à des informations sensibles et stratégiques pour l’entreprise.
• Rigueur, capacité d’anticipation et sens de la méthode afin de mettre en place des programmes de sécurité efficients.
• Pédagogie pour expliquer aux utilisateurs les règles à respecter pour ne pas mettre en danger le système d’information de l’entreprise.
• Diplomatie, écoute, sens du dialogue, persuasion, pour convaincre les utilisateurs des risques encou-rus et du bien-fondé des procédures mises en place.
• Résistance au stress pour faire face à des situa-tions de crise nombreuses et inattendues (intru-sion, virus, problème de sécurité matérielle [incendies, fuites d’eau…]) et à prioriser les actions à mener.
• Curiosité, car le responsable sécurité doit, en per-manence, se tenir au courant des nouveaux risques et des nouvelles parades (virus et antidotes).
• Force de proposition pour faire évoluer la stratégie, ainsi que les pratiques.
CONTEXTE ET FACTEURS D’ÉVOLUTION DU MÉTIER
La prise en compte du risque informatique est relati-vement récente en France et certaines entreprises ont pu se rendre compte qu’il était difficile de chiffrer les conséquences de pertes ou de corruption de données.
Un nombre important de PME a longtemps négligé les investissements dans ce domaine, étant convain-cues que l’usage d’un antivirus et d’un firewall se révélait suffisant.
Certains secteurs, dont le secteur bancaire et des moyens de paiement ou la défense sont en pointe dans ce domaine pour des raisons évidentes. Le risque zéro dans ce domaine n’existe pas et l’ingénio-sité des hackers permet de penser que le rôle des RSSI devrait encore se renforcer dans les années à venir.
Dans certaines grandes entreprises, les tests d’intru-sion de premier niveau qui étaient autrefois confiés à des prestataires sont ré-internalisés, et le RSSI manage alors des prestataires qui interviennent sur des domaines d’expertises complexes.
L’essor du Web collaboratif, du cloud computing, des applications Web mobile, du paiement en ligne, la mul-tiplication des standards (pour les applications mobiles) ainsi que certains exemples récents d’intrusions sur des sites d’entreprises a priori sécurisés, y compris d’émet-teurs de certificats, expliquent l’importance que pren-nent les problématiques de sécurité informatique.
La notion de sécurité évolue des systèmes vers les données : le RSSI doit désormais comprendre et prendre en compte les nouveaux usages de l’informa-tique qui ont un impact fort sur la sécurité des don-nées (poste de travail nomades, BOYD [Bring your own device], usage d’Internet et des réseaux sociaux…). Il contribue à la réflexion sur la sécurisa-tion des données économiques confidentielles avec les risk managers de l’entreprise.
Il est demandé désormais au RSSI de mener une veille juridique sur la conservation de données per-sonnelles (de clients, prestataires ou salariés de l’en-treprise), d’assister les métiers dans la gestion des données personnelles et d’être partie prenante des problématiques d’e-réputation.
–LE PROFIL–
DIPLÔMES REQUIS
• Formation de niveau Bac +5 (master) spécialisée en sécurité informatique et/ou télécoms, sécurité des systèmes informatiques et des réseaux, sécu-rité, cryptologie et codage de l’information…
• École d’ingénieurs (informatique, télécoms, géné-raliste).
LES MÉTIERS DE LA PRODUCTI ON 15 – RESPONS ABLE SÉCURITÉ INFORMA TIQUE
tème/réseaux/bases de données/portail applicatif/
sécurité. En 2007, il rejoint le groupe CASINO (grande distribution) pour y créer le poste de RSSI au sein de la direction informatique. Il définit alors le plan directeur sécurité informatique ainsi que les profils des collaborateurs de son équipe (une dou-zaine de personnes).
« La première mission du responsable de la sécurité informatique, c’est d’identifier les risques qui peuvent être de différente nature : applications obsolètes mal documentées, sécurité des applications métier, pannes physiques, mais aussi risques d’espionnage écono-mique, risques liés aux processus, ou risques de noto-riété. » Ensuite, Bernard Foray les évalue et les hiérarchise. « Il faut que la parade à un risque soit proportionnelle à la probabilité qu’il survienne et à la valeur des pertes qui en résulteraient. Nous avons également un certain nombre de contraintes légales : notamment, nous devons respecter le standard PCI/
DSS pour le cryptage et la sécurité des données ban-caires, standard imposé par les banques pour les transactions monétiques. »
Il définit des scénarios de risques réalistes et les moyens pour y faire face. « Dans la grande distribution, le risque le plus important est le manque de continuité de service. Il est facile d’imaginer l’impact sur le chiffre d’affaires d’une panne des applications métier (par exemple systèmes d’encaissement ou logistique). L’am-plitude des horaires d’ouverture des magasins ainsi que le développement du e-commerce rendent plus difficile la planification des tests de continuité d’activité. » Une des missions de Bernard Foray consiste à auditer et surveiller tous les éléments relevant de la sécurité infor-matique : audit du back up et des solutions de secours, suivi en temps réel des tentatives d’intrusion sur le réseau, fonctionnement anormal ou erreurs logicielles, animation ou coanimation d’une cellule de gestion de crise. « Un RSSI doit savoir garder son sang-froid et ne jamais prendre de décision hâtive face à la pression du business. Il faut être raisonnable et rigoureux . » Par ailleurs, il aide les équipes métiers à sécuriser leurs pro-cessus et participe en tant que DSSI au comité des risques avec les autres risk managers métiers.
Pour Bernard Foray, le RSSI joue un rôle essentiel dans la sensibilisation des utilisateurs, tant avec le personnel qu’avec les managers, car il est difficile de mettre en place des procédures de sécurité en aval des process métiers. Il organise des formations ou des actions de sensibilisation.
« Cette fonction est en constante évolution car de nouveaux types de risques apparaissent liés au déve-loppement du Web ; un des enjeux sera de gérer les problématiques liées à la e-réputation de l’entreprise sans pour autant restreindre la liberté d’expression des utilisateurs sur les réseaux sociaux. »•
• Capacité à travailler et à s’adapter à tous les niveaux d’interlocuteurs de l’entreprise en adap-tant son langage et son niveau d’explication à la population avec laquelle il est amené à travailler.
–LA MOBILITÉ–
POSTES PRÉCÉDENTS (P-1)
• Ingénieur développement
• Ingénieur sécurité
• Ingénieur systèmes et réseaux
• Consultant ou ingénieur réseaux télécoms
• Administrateur réseaux ou système réseaux
• Architecte technique
• Risk manager
ÉVOLUTIONS PROFESSIONNELLES (P+1)
• Directeur de projets sécurité
• DSI
• Directeur de la production/exploitation informa-tique
• Directeur des systèmes/réseaux/télécoms
• Expert sur un domaine très pointu de sécurité web
• Responsable des risques opérationnels
–TÉMOIGNAGE–
BERNARD FORAY,