LMi-MAG 8 Juillet 2021 - Flipbook - Page 13
© DR
PROFIL LINKEDIN
cutt.ly/linkedin-salvan-posts
histoire : le RSSI va faire son scan de vulnérabilités, mais,
sur les centaines, combien seront corrigées ? C’est problématique, il va se retrouver en best effort et en mode
nominal. Le RSSI, c’est vraiment le pompier et ce qu’il va
faire, c'est gérer cette situation jusqu’au bout.
A quelles autres difficultés est soumis le RSSI ?
« Le RSSI a besoin d'être compris pour jouer pleinement
son rôle et accomplir le travail que l'on attend de lui »,
explique Nacira Salvan, présidente et fondatrice du Cefcys.
NS : La mission du RSSI aujourd'hui est très complexe,
notamment à cause d'un manque de reconnaissance,
mais aussi de son rôle qui reste flou selon les organisations. En cette période de Covid, le RSSI est frustré et
même stressé, il doit dérouler une stratégie de sécurité
dans un contexte où les cybermenaces se sont multipliées. Il est aussi stressé parce qu'il doit se conformer à
une réglementation, qu'il craint d'être tenu responsable
en cas d'atteinte à la sécurité, et aussi par le manque de
compétences dont il aura besoin. Et puis aussi par la
complexité des systèmes d'information qui est de plus en
plus importante, et la menace qui s'accroît avec. En cette
période, le RSSI est sur le front de l’ensemble des risques
cyber qu’il peut trouver. Il doit faire face aux besoins de
sensibilisation des utilisateurs qui restent ceux les plus
exposés aux menaces.
NS : En premier, le RSSI, qui est rattaché à la DSI, a des
avantages parce qu'il est proche des équipes opérationnelles, donc à proximité de celles qui vont mettre en
place la politique de sécurité. Mais quand il est rattaché
au risque, il n’a pas la visibilité sur la mise en place de la
politique. Et même s’il peut avoir des avantages à être
rattaché à la DSI, le RSSI sera confronté au problème de
budget. Cela veut dire que le budget du SSI est dans le
budget de la DSI et souvent, je le sais par expérience, c'est
la ligne du RSSI qui va sauter quand il faut tailler dans les
budgets. Donc selon l’organisation, soit il manque de vision opérationnelle, soit le RSSI va avoir cette vision, mais
n'a pas les moyens de la mettre en place. Cette politique
n'est souvent pas appliquée, qu’il soit à l’intérieur ou à
l’extérieur de la DSI. Cela reste d’abord une problématique de moyens, de ressources et d'organisation. Le RSSI
doit avoir son mot à dire pour faire appliquer la politique
de sécurité, de sauvegarde, des patchs management et
des gestions des incidents. Et avoir une certaine relation
avec les opérationnels. L’organisation idéale n’existe pas.
Quand les règles sont mal respectées par les utilisateurs
ou que la sensibilisation ne marche pas comme on le veut,
à la fin on tient le RSSI responsable. [Lire l'intégralité de
l'entretien sur lemondeinformatique.fr]
APPROFONDIR
Quelles sont les ressources mises
à la disposition du RSSI ?
NS : Il peut appliquer une méthode de gestion de crise en
trois phases : une première, proactive, en préparant les
moyens techniques et organisationnels pour répondre à
une crise. Ensuite, dans la crise, se montrer réactif pour
y répondre. Et puis, faire du retour d'expérience par rapport à ce qui s'est passé. Malheureusement, je le sais par
expérience, ce n'est jamais le cas. On fait le pompier en
période de crise, mais une fois que le problème est passé,
on oublie tout ce qui a été fait. Quand bien même on va
se dire que l'on prépare une période proactive avant la
crise, les plans de secours sont rarement testés, comme
les sauvegardes. Le patch management, c’est une belle
ÉCOUTER EN LIGNE
Entretien/Podcast
cutt.ly/podcast-salvan
LIRE EN LIGNE
Entretien
cutt.ly/iTV-salvan
13