Bonjour,
Le voyage n’est pas fini, il ne fait que débuter.
Pendant la période estivale, j’ai débuté mes premières missions de RSSI. Je travaille entres autres sur la refonte des habilitations des utilisateurs. Cette mission nécessite une prise de contact avec les différents responsables. Sauf qu’aucune communication n’a été faite quant à mon changement de poste. Ce choix bien que contraire à mes recommandation et aux bonnes pratiques m’est imposé par la hiérarchie. Je vais donc devoir me présenter et présenter mes nouvelles habilitations. D’où l’idée de poser mes idée et d’écrire cet article sur le blog. Ceci me servira à produire un PowerPoint à présenter aux managers que je vais devoir interviewer.
Qu’est-ce qu’un RSSI ?
Vous avez 4 heures !
Comme indiqué dans l’article d’introduction, un RSSI est un Responsable de la Sécurité du Système d’information mais que cache se titre à rallonge ?
Je vais procéder comme il y a quelques mois lorsque l’on m’a proposé le poste. Je vais googliser ! Et également me baser sur le livre « La fonction RSSI de Bernard Foray chez Dunod (ISBN : 978-2-10-055693-9). Il s’agit du livre qui me semblais le plus pertinent lorsque j’étudiais la question. Il s’avère que j’ai fait un bon choix.
Bernard Foray y indique que les RSSI ont la responsabilité de veiller à la sécurisation des données et au patrimoine informationnel de l’entreprise. Cette phrase se décline en plusieurs sous-parties. Il s’agit de l’intégrité, la confidentialité, la traçabilité, la disponibilité, la conformité et l’information.
L’intégrité du patrimoine informationnel défini les actions à mener pour diminuer les risques d’altérations des données et des systèmes de l’entreprise. Il faut ainsi veiller à ce que seuls les traitements autorisés puissent modifié les informations stocké dans le SI en veillant à ce que les transferts soient automatisés ou en utilisant du chiffrement. Nous pouvons en complément nous assurer que la ségrégation des environnements soit respectée afin que seuls les gestionnaires puissent modifier les données de production. Notre solution de sauvegarde doit être pleinement opérationnelle pour nous pouvoir récupérer les données le cas échéant. Il ne faut pas négliger les bugs et les failles de sécurité qui peuvent permettre des modifications non souhaitées.
La confidentialité se focalise sur 3 aspects critiques. Veiller à ce que les utilisateurs aient les droits nécessaires et suffisants pour effectuer leurs missions. Cela s’effectue par la mise en place de profils. Surveiller le système pour s’assurer que personne ne tente ou ne parvienne à dérober des informations sensibles tel que les informations personnelles chères à la CNIL ou des données vitales pour l’entreprise tel que des secrets de fabrications. Un aspect de la confidentialité est également de fureter sur la toile pour dénicher des sites publiant de fausses informations qui seraient préjudiciable en termes d’image pour notre compagnie. Cela regroupe les faux sites web, les canulars et les usurpations d’identité.
La traçabilité est une partie importante du travail. Plusieurs actions doivent être mise en place pour fournir les éléments nécessaires à l’investigation suite à un incident de sécurité qui pourrait servir de preuve en cas de besoin. Ces éléments doivent être intègres.
La disponibilité est peut-être l’aspect qui est le moins flagrant lorsque l’on discute de SSI avec différentes personnes. La sécurité est souvent réduite aux failles, firewall et autre anti-virus mais jamais la disponibilité. J’ai également découvert cet aspect en lisant le livre. Cela inclus le Plan de secours qui dans mon cas dépasse le cadre de l’informatique et englobe l’intégralité de l’entreprise incluant également les sites distants. La protection physique du matériel fait partie cet aspect ainsi que les saturations accidentel ou non du système tel que le SPAM et des dénis de services. Les nouveaux usages sont a également pris en compte (cloud et mobilité).
La facette juridique de ma mission fut la plus grosse surprise pour moi le technicien. Comme personne n’est sensé ignoré la loi, nous devons nous mettre en conformité avec les différentes législations tels que la loi informatique et liberté ou la loi pour la confiance dans l’économie numérique et d’autres autorités de tutelle (ANSSI par exemple). La conformité peut également être poussé sous l’impulsion d’audit réglementaires tels que ceux effectué par les commissaires aux comptes ou simplement ceux commandité par le conseil d’administration.
Le dernier pan de ma mission est le plus social. Il faut informer ! C’est primordial car étant seul représentant de la sécurité de l’entreprise, je ne peux pas tout faire. Il faut donc tel un chef d’orchestre accorder les partitions des différentes équipes informatiques mais également sensibiliser toute l’entreprise à la sécurité. Il faut communiquer et selon le niveau hiérarchique, le message doit être adapté. Il faut impliquer toutes les populations à être vigilant sans devenir paranoïaque, il faut effectuer des retours au comité de direction sur les incidents et sur les améliorations apportées. Il faut également tenir à jour les différents tableaux de bords qui mesurent l’efficacité de la mission.
Si mes explications sont claires, vous vous rendez compte que je suis face à l’Everest et que plusieurs versants s’offrent à moi. Avant la création de ce poste, la sécurité était assurée par le DSI et indirectement par l’équipe infrastructure déjà sensible au sujet. Je vais devoir gravir cette montagne en partant d’un niveau proche de la mer en changeant de versant en fonction des difficultés ou des facilités que cela apporte. Dans ce genre de situation la méthode Kaizen me semble la plus adapté. Petit pas par petit pas, nous gravirons la montagne même si aujourd’hui l’envie est plus à courir et à attaquer tous les versants en même temps
Merci pour votre lecture, bien sûr je suis preneur de retours si possibles constructifs.
A bientôt pour d’autres aventures.
Ma vie de RSSI 