The better the question. The better the answer. The better the world works. У вас есть вопрос? У нас есть ответ. Решая сложные задачи бизнеса, мы улучшаем мир. У вас є запитання? У нас є відповідь. Вирішуючи складні завдання бізнесу, ми змінюємо світ на краще. Meilleure la question, meilleure la réponse. Pour un monde meilleur. 問題越好。答案越好。商業世界越美好。 问题越好。答案越好。商业世界越美好。

Le responsable de la sécurite des systèmes d’information : éléments d’observation pour un recrutement réussi

La désignation d’un responsable de la sécurité des systèmes d’information (RSSI) est un exercice qui s’avère être aussi difficile pour l’entreprise qui recrute que pour le candidat recruté.

Par Yuksel Aydin, Senior Manager Cybersécurité EY, et Hervé Schauer, Société HS2.

Le métier de RSSI n’est pas une fonction récente mais remonte au début des années 80, à l’image de D. Hermelin au Centre national d’études spatiales (CNES) et de P. Althabegoïty de la société ELF.

Les premiers clubs de RSSI sont apparus à cette époque-là. Ainsi en est-il, par exemple, du Clusif 1 né en 1982 lors de réunions complémentaires des sociétés d’assurance qui ont hébergé les premières discussions liées au développement des risques des centres de données. Ainsi en est-il également en 1989 du GITSIS 2, club dit des « RSSI secret-défense » et en 1991 du Forum des compétences 3 regroupant les RSSI du secteur de la finance (banques et assurances).

Toutefois, ce métier est actuellement en plein essor et se développe à un moment où l’organisation de production des entreprises connait une profonde transformation.

D’une part, les processus de production se recentrent pour prendre pleinement appui sur les technologies de l’information. Le numérique est devenue l’épine dorsale soutenant la production et la fourniture de services des entreprises.

D’autre part, les organisations peuvent hériter d’un patrimoine informatique vieillissant, fortement hétérogène car constitué par entassement successif au gré du développement interne et des acquisitions nationales et internationales.

Enfin, le développement de l’internet et des services interconnectés exposent les systèmes d’information d’une entreprise au monde, à ses opportunités et à ses turpitudes.

Disposer d’un RSSI est devenu une nécessité pour soutenir les activités de l’entreprise et protéger son patrimoine numérique. En conséquence, désigner un RSSI ne disposant pas du savoir-être, du savoir-faire et des qualifications adaptées, peut porter atteinte au fonctionnement d’une entreprise :

  • Sans maitrise des questions cyber, sa parole restera sans effet, ce qui revient à afficher la présence d’une fonction de sécurité des systèmes d’information mais sans réalités, laissant ainsi l’entreprise insuffisamment protégée ;
  • Manquant de jugement équilibré, il peut porter des décisions susceptibles de ralentir le fonctionnement des services métiers de manière structurelle.

La juste désignation d’un RSSI est une question importante dans un contexte de marché de l’emploi tendu, au bénéfice des candidats. Les compétences disponibles sont rares et le nombre d’entrants est insuffisant pour faire face à une demande grandissante.

Afin de participer à une désignation réussie du RSSI, voici nos éléments de contribution.

« RSSI », de qui parle-t-on ?

La variété des fonctions de responsable SSI

La terminologie de « RSSI » tend à devenir problématique car elle masque une richesse et une variété des fonctions différentes variant grandement en fonction de l’entreprise. L’examen d’offres d’emploi publiées récemment sous la dénomination de « RSSI » auprès des grands annonceurs (Apec, Linkedin, Indeed, Monster, Glassdoor, BIEP etc.) montre qu’elles recouvrent des missions et des réalités différentes qui ne devraient pas être classées sous la même dénomination de « RSSI ».

Historiquement, la sécurité des systèmes d’information a émergé au niveau de la sécurité opérationnelle au sein des directions des services informatiques (DSI). Avec le temps et l’intégration grandissante de l’informatique dans la réalisation des processus métiers, la sécurité opérationnelle a engendré un deuxième niveau, le rôle de responsable de la sécurité informatique. Aujourd’hui, le numérique est devenu une réalité transversale, touchant tous les départements de l’entreprise, ce qui porte en conséquence le risque cyber à un niveau de gouvernance.

Il existe donc trois grands niveaux de cybersécurité : un premier niveau de cybersécurité opérationnelle en DSI : un deuxième niveau de responsable de la sécurité informatique placé sous l’autorité du DSI, pour l’ensemble de la DSI ou pour un système d’information (SI) spécifique ; et un troisième niveau de gouvernance en sécurité des systèmes d’information (SSI).

  • La cybersécurité opérationnelle

Ces rôles relevant de la cybersécurité opérationnelle regroupent l’ensemble des métiers dont la finalité est la sécurité opérationnelle d’une fonction courante (analyste en détection d’intrusion…) ou d’un projet cyber (auditeur SSI, ingénieur chargé du traitement d’un incident informatique, consultant en cyber risques…). Il s’agit de l’échelon fondamental sans lequel aucun autre niveau de cybersécurité ne peut être envisagé.

  • Le rôle de responsable de la sécurité informatique (RSI)

Au sein de la DSI, un responsable de la sécurité d’un ou de plusieurs SI (définition périmétrique ou par projet) devrait être désigné.

Il s’agit d’un rôle opérationnel incluant le plus souvent des fonctions managériales. La technicité exigée pour occuper ce poste est particulièrement élevée et pluridisciplinaire.

  • La gouvernance en cybersécurité

Il est de plus en plus courant de constater l’existence d’un troisième niveau jouant le rôle de gouvernance SSI. Ce responsable est notamment chargé de définir une politique de sécurité des systèmes d’information (PSSI), d’élaborer une tactique de mise en oeuvre de cette politique et de porter à la connaissance de la direction les informations relatives à la sécurité numérique (point de situation en cas d’alerte ou d’incident, bilan annuel de la PSSI, tableau de bord…). Il coordonne la chaîne de responsabilités en matière de cybersécurité. En interne, il représente le dirigeant sur les questions relatives à la cybersécurité auprès de l’ensemble des départements.

Le positionnement au sein de l’entreprise est variable. Il est parfois responsable de son propre département, parfois rattaché au DSI ou au directeur des risques tout en conservant un rattachement fonctionnel à un dirigeant de l’entreprise (secrétaire général, DG…) lui permettant ainsi d’apporter une vision plus complète des questions SSI.

  • Le cas du RSSI groupe

Les grandes entreprises, notamment les multinationales, peuvent être organisées en zones régionales et/ou en divisions métiers.

Dans cette configuration, chacune des entités disposent d’un niveau de gouvernance autonome, tout en ayant à la tête un « RSSI groupe ».

Le rôle du RSSI groupe est singulier car les responsabilités intermédiaires sont parfois fortement établies et disposent d’une indépendance importante. Dans ce schéma, le rôle du RSSI groupe porte davantage sur sa capacité à coordonner et à soutenir les RSSI intermédiaires qu’à les diriger.

Il existe ainsi plusieurs niveaux de responsabilités en matière de sécurité des systèmes d’information dont les spécificités et les exigences diffèrent de manière marquée. Les annonces d’emploi devraient davantage s’attacher à catégoriser les fonctions de responsabilité car le RSSI expérimenté saura lire entre les lignes et écartera peut-être les propositions confuses susceptibles d’évoquer une organisation immature de l’entreprise.

L’entrée dans la filière SSI

La fonction de RSSI nécessite des compétences professionnelles qui s’acquièrent au fur et à mesure de sa carrière. Il ne s’agit donc pas d’un premier poste mais est le fruit d’une évolution, d’une transition ou d’une reconversion professionnelle. Lorsqu’un employé a acquis une expérience suffisamment probante en cybersécurité, il peut alors se proposer pour la prise de fonction de RSSI. Tout commence par l’entrée dans la filière.

  • L’évolution professionnelle : de l’IT à la cybersécurité

Un poste en cybersécurité exige la compréhension de questions informatiques, techniques. La voie naturelle menant vers une fonction en cybersécurité prend aisément appui sur des fonctions d’informaticiens (administrateur système, développeur web…).

  • La transition professionnelle : du service métier à la cybersécurité

Il est courant de rencontrer des RSSI qui ont au préalable exercé des fonctions métiers centrales au sein de l’entreprise ou dans une entreprise du même secteur.

Le RSSI dispose alors d’une connaissance fine des processus métiers et des problématiques qui en découlent. Cette expérience métier lui apporte légitimité marquée et la capacité de porter plus facilement une politique de sécurité. Il bénéficiera alors d’une écoute supplémentaire de la part de la DSI et des départements métiers.

  • La reconversion professionnelle

De nombreuses reconversions professionnelles permettent d’accéder à la filière SSI. Ainsi en est-il par exemple :

  • du juriste se spécialisant dans le domaine du droit cyber (GDPR, compliance, SOX etc.) ;
  • de l’économiste devenant le référent business cyber permettant ainsi d’évaluer financièrement différentes options et les conséquences sur l’activité économique générale de l’entreprise ;
  • du communicant / marketing se recentrant vers des fonctions de sensibilisation à la cybersécurité.

Ces reconversions professionnelles dénotent la variété des compétences nécessaires permettant de porter une politique de sécurité au sein d’une organisation.

Toutefois, il existe encore un pré-requis majeur pour les personnes relevant de cette catégorie : la compréhension et le goût de l’informatique. La cybersécurité est un domaine reposant sur l’informatique. On ne peut devenir RSSI sans compréhension technique.

Dès lors, le RSSI et le DRH doivent s’attacher à prendre en compte ce facteur en apportant un plan de formation adapté aux employés relevant de cette catégorie pour les aider à grandir et développer les compétences techniques. L’acquisition de ces compétences donnera ainsi un enrichissement des profils conséquent et adapté permettant par la suite d’envisager un parcours professionnel dans le domaine de la cybersécurité.

  • La passion

Un nombre conséquent d’individus disposent de compétences SSI acquises par passion, comme passe-temps, le soir ou le week-end. Elles n’ont pas souvent conscience de la technicité développée et de la traduction de cette valeur sur le marché de l’emploi.

Si la capacité de détection des recruteurs de ces perles est insuffisante, des jeux dits « capture the flag » sont parfois organisés par certains employeurs permettant ainsi de révéler au grand jour certains talents et leur offrir un tremplin professionnel.

La carrière

Il n’existe pas de porte d’entrée unique dans la filière, il n’existe d’ailleurs pas de porte d’entrée car les métiers et les filières en charge de la cybersécurité tardent à se constituer au sein des entités. Encore trop peu d’entreprises ont initié une démarche d’organiser un véritable parcours professionnel en la matière.

Pour y remédier, c’est au RSSI de prendre l’initiative de travailler avec le DRH, c’est également au DRH de prendre l’initiative de travailler avec le RSSI. Cette responsabilité est mutuelle pour parvenir à la constitution d’une filière SSI et à une professionnalisation des métiers en charge de la cybersécurité.

Sans dialogue entre le DRH et le RSSI, sans politique RH prenant en compte les spécificités de la cybersécurité, l’entreprise ne peut se constituer une filière propre, se laissant ainsi vulnérable au marché de l’emploi. Elle se place dans l’incapacité de générer en son sein des compétences nouvelles et prend le risque de perdre les compétences existantes ne sachant ni promettre une carrière professionnelle appropriée ni un plan de formations adapté et évolutif.

Le recrutement d’un RSSI

La démarche préalable à la désignation d’un RSSI

Avant de ne procéder à la désignation d’un nouvel RSSI, il est tout d’abord nécessaire de se poser cette question : pourquoi devrais-je désigner un RSSI ?

  • Un RSSI n’est pas un effet de mode, il répond à une problématique

La cybersécurité est actuellement, une thématique en plein essor. Les processus de production se recentrent autour de l’IT et sortent des murs de l’entreprise pour s’exposer à travers l’internet et les services connectés. Le risque est présent, partout, constant, dans un contexte de porosité croissante entre les sphères malveillantes (espionnages étatique et concurrentiel, mafieux, idéologiques).

La désignation d’un RSSI ne devrait pas être le fruit d’un affichage, d’une tendance ou d’un effet de mode. Une entreprise désigne un RSSI parce qu’elle a pris conscience de son besoin de protéger l’information, ses processus de production, son savoir-faire numérique et d’en maitriser les risques liés.

  • La seule désignation d’un RSSI ne suffit pas

La réflexion concernant la protection du numérique ne devrait pas commencer et s’arrêter par la désignation d’un RSSI. Il serait en effet illusoire de considérer que la seule nomination d’un RSSI suffirait à répondre à toutes les problématiques.

Pour commencer, l’entreprise considère qu’elle a un besoin, celui de maitriser les risques touchant la protection de l’information et donc des processus de production d’aujourd’hui et de demain. Il y a donc d’abord la volonté de mettre en place une politique et des mesures en cybersécurité. Cette politique SSI peut être nouvelle ou prendre pied sur un héritage constitué le plus souvent d’un assemblage de mesures disséminées au sein des départements de l’entreprise.

Puis, l’entreprise désigne alors un responsable de la cybersécurité afin de porter cette politique.

L’entreprise ne considère donc pas que la désignation d’un RSSI est en soi suffisante pour répondre à la problématiques des risques IT, mais s’inscrit dans un engagement plus général de protéger son patrimoine numérique. Si l’entreprise ne dispose pas de cette volonté, elle ne peut pas demander au RSSI de seul l’avoir pour tous les départements.

Cela signifie que l’entreprise porte de manière continue la sécurité numérique et alloue les conditions et les moyens nécessaires au RSSI lui permettant de mener effectivement sa mission.

  • Préparer l’entretien

Dans un contexte favorable à l’emploi, le recruteur doit préparer ses réponses car le candidat éclairé se posera nécessairement les questions suivantes afin de se décider :

  • Quel sera mon positionnement dans l’entreprise, notamment vis-à-vis du DSI ?
  • Qui sera mon sponsor ?
  • Quel est mon périmètre d’intervention ?
  • Quels seront les moyens mis à ma disposition ? Quelle est la composition de mon équipe ? Vais-je disposer d’un budget autonome ?

 

L’écueil du diplôme scolaire

Un nombre conséquent d’offres d’emploi s’adresse à des candidats titulaires de certains diplômes spécifiques, voire uniquement issus de certaines écoles.

Cette référence scolaire souligne finalement que l’on sait assez peu appréhender la globalité des compétences professionnelles requises pour exercer la fonction de RSSI.

Dès lors qu’il s’agit d’un métier dont les compétences ne peuvent être acquises que dans un cadre professionnel et au terme d’une expérience plurielle avérée, exiger un cursus scolaire spécifique n’est pas à propos.

Le recruteur doit faire preuve de pragmatisme et d’ouverture d’esprit lorsqu’il recrute un RSSI car, plus que tout autre métier, la fonction est grandement ouverte aux profils et cursus atypiques.

Finalement, le candidat qui aura démontré avoir pu s’en sortir dans la vie professionnelle est certainement celui qui sera la mieux placé pour mener une politique de sécurité des systèmes d’information au sein d’une entreprise, tant le parcours lui sera difficile et semé d’embûches.

  • RSSI, un métier pluridisciplinaire

La cybersécurité d’une organisation requiert un ensemble de compétences pluridisciplinaires. Celles-ci sont notamment techniques, rédactionnelles, financières, juridiques et organisationnelles.

N’envisager ce métier que d’un point de vue technique, c’est avoir un firewall bien configuré et dans le même temps s’affranchir des politiques de sensibilisation. C’est donc prendre le risque de voir des données de l’entreprise disparaitre dans la nature par mauvaise gestion des clefs USB.

Eluder les considérations juridiques, et c’est prendre les plus grands risques avec la confidentialité des données des salariés et des clients, ce qui peut entrainer des conséquences irréversibles, notamment sur la confiance.

Omettre de prendre en compte les considérations financières, c’est passer à côté de la compréhension des besoins métiers d’aujourd’hui et peut-être emmener l’entreprise vers une organisation dont l’architecture technique freinera son développement économique de demain.

La cybersécurité requiert donc un ensemble de compétences variées et il serait regrettable de ne rechercher un RSSI qui ne disposerait que d’une corde à son arc.

  • RSSI, des compétences acquises dans un contexte professionnel

Ensuite, la cybersécurité est un domaine intimement lié au secteur professionnel dans lequel on exerce.

La cybersécurité du secteur financier n’est pas la même que la cybersécurité du secteur industriel : les contraintes réglementaires ayant des conséquences sur l’IT ne sont pas les mêmes ; le matériel utilisé et les conditions d’utilisation diffèrent, les processus de production se singularisent…

Ainsi, on ne redémarre pas l’informatique d’une banque de la même manière que celui d’un industriel : couper le processus de production alors que le chocolat ou le métal se trouve dans des cuves et il sera nécessaire de les gratter manuellement ou de remplacer les fonderies.

L’enseignement scolaire apporte des notions utiles et importantes sur des domaines techniques spécifiques mais les compétences liées à la cybersécurité ne s’acquièrent véritablement que dans un contexte professionnel. On n’apprend pas non plus à travailler avec un DRH, un DSI ou à gérer des prestataires en amphithéâtre.

  • RSSI, une personne formée par le monde du travail

Enfin, cela et vrai pour la cybersécurité comme pour tout autre domaine : poser comme prérequis une quinzaine d’années d’expérience et, dans le même temps, l’obtention d’un certain diplôme il y a donc plus d’une décennie n’a pas de fondement professionnel sérieux. Tout comme les grilles salariales de certaines entreprises qui se focalisent encore trop non pas sur la fonction exercée mais sur l’éducation initiale, allant même jusqu’à classer les universités et les écoles entre elles. Quel rapport avec la capacité de pilotage d’une crise SSI ?

Les formations continues prennent le relais de ce qui ne peut être acquis dans le milieu scolaire. La formation continue est notamment fondée sur la proximité de professionnels de la cybersécurité s’adressant à un auditoire du monde du travail permettant ainsi et une transmission et une acquisition effectives des compétences.

Compétences requises

Voici les principales compétences qui nous semblent nécessaires pour exercer le métier de RSSI. Elles prennent en compte les évolutions récentes du métier, notamment réglementaires.

  • La coordination

La première compétence du RSSI est sa capacité à mettre en place des coordinations.

Le RSSI omniscient ne sera d’aucune utilité s’il ne sait pas mettre en place des coordinations vastes et complexes, s’il ne sait pas travailler et faire travailler ses réseaux.

Le RSSI a besoin de s’adapter à ses interlocuteurs. Il sera amené à parler à des techniciens, à des dirigeants, à des prestataires.

Il doit aussi comprendre rapidement les questions politiques, les relations et l’historique entre les personnes, les difficultés des uns et des autres.

Le travail de coordination est aussi interne au département SSI. Il existe parfois un segment à l’intérieur des équipes cyber entre équipes techniques et non techniques. Ce segment peut s’exprimer sous forme de défiance, les techniciens considérant qu’ils sont les seuls légitimes à exercer une fonction cyber, tandis que les organisationnels regardent parfois avec un certain dédain la première catégorie. Le responsable de la SSI se doit de faire travailler ses équipes entre elles et assurer un enrichissement mutuel des compétences car elles participent toutes à un objectif commun.

  • La sécurité

Le RSSI exerce un métier portant sur la protection de l’information. La sécurité est la pierre angulaire de son métier. Le candidat doit démontrer un intérêt vif et une compréhension des problématiques et des enjeux liés à la sécurité tels que les risques d’espionnage économique (étatique ou concurrentiel), la malveillance de groupes plus ou moins homogène (mafieux ou poussés par une idéologie) ou d’individus isolés (vengeance à l’encontre de son employeur, dilettantisme etc.).

Le RSSI a conscience que l’entreprise dispose d’un patrimoine numérique, de procédés de fabrication, d’informations relatives à la clientèle et aux partenaires. Il sait que des tiers peuvent souhaiter s’approprier ces informations, porter atteinte à l’entreprise en pulvérisant ses systèmes d’information en quelques clics ou porter atteinte à son image de manière irréversible.

Le RSSI est sensible à ces questions et souhaite protéger le patrimoine de l’entreprise.

Dans des cas limités, la réglementation impose parfois d’aller au-delà des compétences professionnelles pour exiger une certaine probité de la part de la chaine en charge de la sécurité numérique. Ainsi en est-il, par exemple, de la réglementation portant sur les opérateurs d’importance vitale (OIV). L’instruction générale interministérielle (IGI) n°6600 4 portant sur les secteurs d’activités d’importance vitale, couplée à l’IGI 1300 5 portant sur la protection du secret de la défense nationale établissent une chaine de confiance impliquant une contrainte particulière et personnelle : l’habilitation. Dans ce cas, il est nécessaire de faire l’objet d’une habilitation de sécurité spécifique (par ex. de type « confidentiel-défense ») pour pouvoir participer et contribuer à cette chaine de confiance.

  • La capacité d’initier et de conduire le changement

La cybersécurité est un monde qui évolue en permanence, par exemple :

  • Les technologies utilisées évoluent constamment et les failles également ;
  • La réglementation ne cesse de se développer (NIS, GDPR…) ;
  • De nouveaux acteurs souhaitent peser sur les questions SSI de l’entreprise (consommateurs, représentants du personnel…).

Le cœur de métier du RSSI est de pouvoir apporter ce changement au sein de l’entreprise. Le changement, caractéristique intrinsèque de la fonction SSI, se retrouve régulièrement face à l’opposition de celles et ceux souhaitant conserver les pratiques anciennes.

Le RSSI doit savoir faire preuve de persévérance pour avancer mais il ne doit en aucun cas essayer de forcer les choses et encore moins regarder de manière hautaine les employés qui préfèrent le statu quo ante. Le RSSI doit chercher à comprendre les causes, faire évoluer son propre raisonnement et définir collectivement la solution innovante la plus à même de répondre aux exigences de chacun-e.

  • La technicité : informatique, juridique, financière, métiers…

Les compétences requises pour exercer la fonction de RSSI sont vastes. Cela peut étonner mais voici un court florilège de compétences requises pour exercer la fonction de responsable de la sécurité des systèmes d’information :

- sécurité, gouvernance, connaissances informatique, télécom, stratégie, restitution, gestion de crise, coordination, management hiérarchique, management fonctionnel, diplomatie, pugnacité, humilité, culture du secret, responsabilité, autonomie, droit, anglais technique, analyse de risques, innovation, business etc....

Un RSSI dispose parfois de certaines de ces compétences, plus rarement de toutes. Le recruteur devra s’attacher à sélectionner le candidat qui, au regard des spécificités de l’entreprise, sera le plus à même de porter la politique SSI.

Les premiers pas : les Cent-Jours du RSSI

Un certain nombre d’événements sont à traiter dès la prise de poste. Toutefois, le RSSI doit s’attacher à ne pas se laisser happer par le quotidien. En effet, il doit initier un tout premier plan d’action à partir duquel il sera en mesure de bâtir une politique cyber durable et laisser ainsi sa propre marque dans la construction de l’entreprise.

Les décisions prioritaires

Avant de ne commencer à agir sur le niveau de sécurité numérique de l’entreprise, il doit prendre une photographie de l’état de la cybersécurité.

  • L’état réel de la cybersécurité de l’entreprise

Constater l’état des lieux d’arrivée est bien évidemment le premier objectif à avoir. A ce titre, il est nécessaire de prendre connaissance de l’historique et des documents de gouvernance : l’entreprise dispose-t-elle d’une PSSI ? D’une charte d’utilisation des TIC ? Des audits ont-ils été réalisés ? Il y a-t-il une base d’informations laissée par l’équipe précédente ?

Le RSSI doit savoir où il met réellement les pieds en ordonnant un audit de sécurité. Il serait en effet regrettable de découvrir plusieurs mois après son arrivée une compromission datant d’avant son arrivée. La recherche de compromission est l’une des toutes premières décisions à prendre.

  • La procédure d’incident

Le RSSI doit immédiatement constater l’existence ou non d’une procédure de gestion des incidents.

Finalement, si le RSSI est attendu et jugé sur un point, c’est bien sur sa capacité à gérer et à éteindre un incendie cyber.

Le traitement d’un incident ne se gère pas seul et implique une ventilation des responsabilités et des actions associant la chaine SSI, la DSI, les services métiers concernés, le service communication etc.

Ces éléments se préparent et il est préférable de s’y reporter de suite. Surtout, il ne doit pas rester seul car en cas d’incident, la responsabilité qu’il porte est aussi celle de sa capacité à régler les difficultés sur la base d’une large coordination.

La mise en place de coordinations

Dans son ouvrage « Homo Sapiens 6 », Yuval Noah Harrari souligne que le leadership au sein d’une communauté de singes ne repose pas sur la force physique d’un primate. En réalité, le leader sera celle ou celui qui disposera de la plus grande capacité de pouvoir mener une coalition, une coordination. C’est également vrai de la part du RSSI au sein de l’entreprise.

1 - La coordination des équipes en charge de la cybersécurité

Les rouages relevant de la sécurité du numérique sont portés par des acteurs qu’il convient de cartographier et le RSSI doit essayer de définir la chaine fonctionnelle existante, comprendre les contraintes professionnelles de chacun et étudier la manière dont les relais pourront diffuser efficacement les mesures cyber.

2 – Le DSI

Le DSI est un interlocuteur privilégié. La confiance et le soutien mutuel sont un impératif pour une collaboration réussie. Certains projets seront initiés par le RSSI et le DSI s’attachera à le soutenir. D’autres projets portés par le DSI nécessiteront un accompagnement éclairé et compréhensif de la part du RSSI.

3 - La coordination avec les autres départements de l’entreprise

 

  • Les services métiers

Chaque entreprise a une âme, une histoire, des événements heureux qui l’ont forgée, parfois des drames qui marquent durablement la vie collective. Une entreprise, c’est aussi un ou plusieurs secteurs d’activités avec des processus de production et des pratiques spécifiques.

La cybersécurité n’est pas un savoir théorique qui s’applique à toutes les entreprises de la même manière et sans discernement. Le RSSI du secteur industriel connait les réglementations de son secteur (ex. dispositif SEVESO), tandis qu’un RSSI du secteur bancaire saura expliquer les règles du Comité de Bâle.

Le RSSI doit comprendre l’activité de l’entreprise et nécessairement partager la passion et le goût pour ce métier. Dès lors, il sera le plus à même d’apprécier les mesures à prendre avec justesse, de trancher de manière équilibrée pour l’accompagner.

  • Les directeurs des ressources humaines, de la gestion des risques et de la sûreté (sécurité physique)

Le RSSI a vocation à collaborer avec d’autres directeurs pour mener à bien certains projets qui seront structurants pour l’entreprise. Il sera de bon ton de prendre attache rapidement afin d’être identifié par ces interlocuteurs.

  • Les coordinations en dehors de l’entreprise

Mener une politique de sécurité n’est pas un projet isolé, enfermé au sein de l’entreprise. La cybersécurité repose sur des facteurs externes tels que l’utilisation de technologies tierces, de réglementations à venir et, bien entendu, l’ingéniosité de pirates découvrant de nouvelles failles. Il existe des associations de RSSI et il est fortement recommandé d’adhérer à l’une d’entre elles pour partager les bonnes pratiques et se tenir informé.

Il est également important de définir les revues périodiques permettant d’obtenir une information continue et un traitement de l’information avec recul.

La relation avec les prestataires est également l’un des rôles du RSSI. Le marché du conseil en cybersécurité est aujourd’hui mature. Il s’attachera à sélectionner les partenaires qui seront d’une part les plus à mêmes de l’accompagner dans sa démarche et d’autre part définir les fonctions externalisées pour lesquelles il serait préférable de les internaliser et inversement.

La relation hiérarchique

Le RSSI doit définir un premier tableau de bord qui lui permettra d’enrichir la relation qu’il dispose avec son sponsor et évaluer l’impact de son action avec le temps.

Ce tableau de bord est composé d’indicateurs qui vont varier en fonction de son positionnement, de la qualité du sponsor et de la taille de l’entreprise.

Par exemple, si le RSSI s’adresse à un DSI, il se permettra d’avoir un regard plus technique que s’il devait s’adresser à un dirigeant (secrétaire général, CEO etc.), auquel cas les éléments seront davantage organisationnels.

Le RSSI peut également écrire ou réécrire sa fiche de poste. Celle qui lui a été présentée et sur laquelle il a été recruté ne correspond pas forcément aux besoins effectifs de l’entreprise. De plus, un RSSI doit agir avec méthode et par étape, il ne peut s’attaquer à tout et en même temps.

Pour ces raisons, il est donc préférable de faire des choix et préciser en conséquence sa fiche de poste.

Le RSSI peut enfin présenter un « rapport d’étonnement » dans lequel il décrit de manière factuelle et sans détours, les éléments de surprise constatés lors de la prise de poste.

Préparer les grandes lignes de son mandat

La cybersécurité comporte de larges domaines et il serait illusoire de penser que l’on peut s’attaquer à toutes ses dimensions en même temps, le RSSI devra choisir la marque qu’il souhaitera laisser à son départ. Les grandes orientations pluriannuelles dépendront de l’état de la SSI de l’entreprise, de son histoire, de ses spécificités, de la volonté des acteurs, et plus généralement de son industrie.

Voici quelques thèmes pour l’exemple.

  • Préparer de grands chantiers IT structurants

Le DSI et le RSSI vont mener conjointement des projets nécessitant une implication importante des équipes sur des échéances pluriannuelles.

L’intégration de la cybersécurité et du respect de la vie privée dès la conception d’un système d’information (« security/privacy by design ») appellent des changements de pratique et la mise en place de nouvelles règles internes. Dans les grandes entités, il s’agit d’un projet qui prend du temps car cela nécessite un dialogue avec différents niveaux techniques et organisationnels (techniciens, développeurs, chefs de projets…) pour une mise en œuvre effective et en douceur.

Les SI sont aujourd’hui en forte mutation, notamment en raison d’une translation vers le cloud et d’une interconnexion entre organisations internes et externes. Il s’agit d’une opportunité permettant de mettre en place une colonne vertébrale saine à travers une gouvernance des identités et des accès numériques qui associe, outre le RSSI et le DSI, le DRH, le directeur des risques et les services métiers.

L’utilisateur est également l’un des enjeux prioritaires de la cybersécurité. Un programme de sensibilisation conséquent et annuel devrait être envisagé, à l’image de ce qui est réalisé par les directions générales des ministères économiques et financiers 7 à l’égard de l’ensemble de ses agents, des représentants des entreprises et des associations agréées de consommateurs.

  • L’organisation de la filière en charge de la cybersécurité

Les fonctions en sécurité numérique sont exercées de manière diffuse au sein de l’entreprise.

Conjointement avec le DRH, le RSSI organisera une filière permettant ainsi de professionnaliser les métiers en charge de la cybersécurité et de maitriser davantage les effectifs face à un marché de l’emploi difficile.

La professionnalisation de la filière SSI porte notamment sur l’établissement d’un cadre général apportant une meilleure identification des points d’entrée, un plan de formation continue et une évolution de carrière.

Conclusion

Pour réaliser un recrutement réussi, le recruteur fera preuve d’une ouverture supplémentaire tandis que le directeur en charge de la cybersécurité s’attachera, pour une prise de fonction optimale, à porter en coordination des projets numériques structurants.

La fonction de RSSI est probablement difficile, complexe, hétérogène, souvent peu gratifiante.

C’est certainement l’une des fonctions les plus exaltantes et enthousiasmantes qui soit : participer à la protection des données de l’entreprise et de ses clients apporte le sentiment singulier d’agir et de contribuer au bien commun.

A propos des auteurs

Yuksel Aydin dirige les activités de conseil en identités et accès numériques (IAM), de sensibilisation et de formation en cybersécurité (Academy) auprès d’Ernst & Young (EY) pour l’Europe de l’ouest et le Maghreb.

Ayant exercé des fonctions de gouvernance en cybersécurité, de pilotage et de coordination de réseaux de RSSI au sein de l’Etat, Yuksel est notamment l’auteur d’un rapport administratif portant sur la professionnalisation des métiers en charge de la cybersécurité et de réglementations nationales organisant la sécurité d’entreprises stratégiques des secteurs de la finance, de l’industrie et de l’internet.

Hervé Schauer dirige la société HS2 dispensant un éventail de formations en sécurité des systèmes d’information sous ses multiples facettes (organisationnelle, technique, DPO, PCA, juridique etc.).

Hervé est la référence française en matière de formation à la cybersécurité. Pionner dans le domaine, il a participé au développement de ce métier dès 1987. Au cours de sa carrière, il a formé près d’un millier de RSSI et accompagné des centaines d’entreprises françaises et étrangères. Il participe à l’enrichissement des débats en matière de cybersécurité à travers une contribution régulière à des actions associatives.