RÔLE ET RESPONSABILITÉS

Leurs rôles peuvent se diviser principalement en deux catégories : les décideurs et les exécutants. Les premiers, que nous retrouvons majoritairement dans les PME, bénéficient d’un poste relativement élevé dans la hiérarchie. Ils ont la liberté de créer des projets, de prendre des initiatives mais surtout, ils ont la responsabilité de prendre des décisions. Pour d’autres, ils ont un rôle davantage passif au sein du processus décisionnel : ils s’assurent que les processus sont suivi de façon rigoureuse et que les mesures qui sont mise en place sont efficaces et efficientes : «Mon rôle est de participer aux initiatives d’un collègue américain qui lui est un leader, c’est notre officier en matière de sécurité de l’information et de sécurité sur les cartes de crédit» (Interviewé 14). D’autres ont un mandat beaucoup plus élargi. L’interviewé 2 nous explique en quoi consiste ses fonctions.

«Notre but, c’est de s’assurer que du point A au point B, les marchandises soient correctes. Aussi, on agit comme «trusted advisor», c’est comme un «aviseur» de confiance. C’est la facette de recommandations. Nous autres, en tant qu’«aviseur» de confiance, on va aller chercher l’information pis on va dire voici ce qui faut que tu fasses, ce qui va falloir faire, parce qu’on a des contacts partout».

Nous pourrions croire que le transport de marchandises ne constitue pas un risque informationnel mais lorsqu’on s’y attarde, on se rend vite compte que le processus lié au transport, l’itinéraire des véhicules et le type de marchandises, pour ne nommer que ces éléments, sont des données sensibles et par conséquent, elles doivent faire l’objet d’une analyse de risques et être protégées. Notons que plusieurs des interviewés nous ont parlé de cette facette de leur travail qui consiste à recommander des solutions de sécurité à la direction. En parlant de ses responsabilités au sein de l’entreprise, l’un d’eux affirme que les problèmes qui surviennent nécessitent des solutions variées adaptées à chaque problématique et que parfois, une solution temporaire demeure la seule envisageable :

«Si j’ai besoin d’élaborer une solution, bon ben, on va créer un «task force» et on va élaborer une solution rapide. Des fois, peut être…on va mettre un «plaster» en attendant pour limiter les dégâts, minimiser les risques mais entre-temps, on va trouver une solution permanente» (Interviewé 5).

Dans le commerce de détail, les rôles et responsabilités des gestionnaires sont fonction de la structure hiérarchique en place, de la culture informationnelle de l’entreprise mais avant tout, de la nature des activités de ces entreprises. Quatre interviewés (9, 12, 13 et 15) nous ont tenus des propos relativement similaires à ce sujet: «L’information qui doit être protégée, c’est toute la gestion de l’information entourant le crédit, l’information concernant la clientèle et aussi, au niveau des employés (…) des enquêtes et des arrestations» (Interviewé 12).

Nous pouvons constater que, de manière générale, les gestionnaires de la sécurité occupent des postes auxquels sont rattachées de multiples responsabilités. Certaines ne se rencontrent que dans les grandes entreprises comme la gestion du cyber-risque (interviewés 1, 5, 8, 11 et 14) alors que d’autres font partie intégrante de la fonction sécurité telle que nous la concevons. En effet, dans le cadre de ses fonctions, le gestionnaire de la sécurité procède à des enquêtes, élabore des politiques, conçoit des manuels de procédures, il identifie des problématiques récurrentes, s’occupe de la gestion des identités et des accès, gère des équipes de travail, il consacre du temps à la formation et à la sensibilisation des employés mais surtout, il recommande des solutions à l’organisation qui peut choisir d’en tenir compte ou non. Les propos des gestionnaires laissent néanmoins supposer qu’une même responsabilité ou tâche peut s’accomplir dans des conditions qui peuvent considérablement varier d’une situation à une autre. Par exemple, on peut être proactif en élaborant un programme de sensibilisation dont la mise en place s’échelonnera sur plusieurs semaines, voire même plusieurs mois. Par contre, un incident relatif à un bris de confidentialité implique une situation de gestion de crise qui, conséquemment, peut donner lieu à une sensibilisation massive et immédiate de milliers d’employés. L’application efficace d’une solution adaptée au contexte sera, dans un cas comme dans l’autre, facilitée par l’habileté du gestionnaire à formuler ses recommandations et par son capital social intra-entreprise.

Ajoutons finalement que les rôles et responsabilités des gestionnaires peuvent également variés en fonction de leur domaine d’expertise. Par exemple, l’instauration d’un programme de veille technologique ou de vigie (Interviewés 1 et 3) sera rarement l’initiative du gestionnaire de la sécurité physique de même que tout ce qui concerne l’installation de logiciels anti-virus, pare-feu, etc. Pourquoi? «C’est le gars de l’informatique qui s’occupe de ça!» (Interviewé 10). Pour ce qui est de la portion «enquête», cette responsabilité sera attribuée, dans près de 70% des cas, au gestionnaire de la sécurité physique auquel s’ajoute une collaboration étroite de la part du gestionnaire TI dans tous les cas. L’enquête forensique est quant à elle réalisée, la plupart du temps par une tierce partie. Il est cependant intéressant de noter que lorsqu’il est question de la gestion des risques informationnels liée à l’utilisation des nouvelles

technologies de communication, les préoccupations sont les mêmes et les discours se rejoignent de parts et d’autres.

En résumé, qu’il s’agisse d’un gestionnaire TI ou d’un gestionnaire de la sécurité physique, chacun est conscient des enjeux globaux propres à son organisation. Évidemment, sur le fond comme sur la forme, il y a des différences notables quant aux moyens de prévenir ou de réduire le risque mais nous y reviendrons plus tard. Les rôles et responsabilités sont toutefois relativement similaires si nous excluons certaines considérations techniques qui, sans être évitées, relèvent d’une expertise que le gestionnaire avisé saura se départir judicieusement.