IT Risk Manager

E
nquête management
RSSI
IT Risk
Manager:
Un même combat ?
Aujourd’hui, il est impensable de « blinder » le SI sans penser risques
pour appliquer une politique de sécurité viable. Le gestionnaire de risques
IT a sa place aux côtés du RSSI dans la bataille. Une seule et même
personne ou deux postes distincts ?
Par Solange Belkhayat-Fuchs
A
Justmakeit
Aujourd’hui, le rôle de RSSI est de
plus en plus reconnu au sein des entreprises, notamment parmi les plus
grandes d’entre elles. Même si tout
n’est pas totalement défini et même
si parmi les RSSI en poste, beaucoup
d’entre eux courent encore après un
budget ou des moyens pour mener
à bien leur mission, lorsque l’on prononce le terme RSSI, tout un chacun a
36
◆ CNIS Mag N°01 ◆ OCTOBRE 2008
une idée assez précise de ce métier.
Parmi les structures qui non seulement
emploient des RSSI mais en plus, leur
ont assigné un rôle des plus précis, l’on
retrouve les pionniers en tous genres
en terme de sécurité: les banques.
Toujours à la pointe des technologies,
toujours sur le qui-vive et tout le temps
les premiers attaqués, les instituts financiers essuient bien des plâtres pour
CNIS Mag N°01 ◆ OCTOBRE 2008 ◆
37
nquête management
Mais l’on se rend bien compte, avec le
temps, qu’en dépit de multiples efforts
et d’une vigilance des plus renforcées, il
est impensable d’atteindre le niveau absolu en terme de protection et d’obtenir
un SI 100% sécurisé.
Parallèlement à la progression des
menaces, le métier de RSSI s’affine,
s’ajuste pour répondre au mieux à la
situation. Les femmes et hommes sécurité peaufinent leurs politiques au mieux
afin de proposer des moyens pour mieux
contrer les menaces. Parmi ceux qui ouvrent le chemin, les RSSI des groupes
bancaires voient leurs charges changer
en même temps que leur poste.
Marc Guillaumot
Intégrer la sécurité dans les
processus métier
Christine TRan-Faucher
IT Risk Manager à la SGAM,
filiale de la Société Générale. Elle
possède une solide expérience
dans le domaine de la sécurité du
Système d'Information, expérience qui remonte à 1996.
le reste de la communauté des entreprises. Aux avant-postes de ce front, les RSSI
du monde bancaire tentent, entre autres,
de maintenir le périmètre de sécurité du
SI. Au fur et à mesure de la mutation des
attaques et de la professionnalisation
des cyber-criminels, ils renforcent leurs
boucliers et tentent de tout prévoir afin
de se faire surprendre le moins possible.
38
Aujourd’hui la grande question qui se
pose est celle de la gestion des risques.
Il est clair qu’il devient impensable de
« blinder » le SI sans donc penser risques
pour appliquer une politique de sécurité
viable. Le gestionnaire des risques est
un des postes les plus importants au
sein de la banque, et l’un des aspects de
son métier est de mesurer le risque encouru en termes de sécurité et de coût.
Mais qui donc est le plus approprié pour
réaliser une telle estimation ?
Christine Tran-Faucher, IT Risk Manager
à SGAM, filiale de la Société Générale, a
bien sa petite idée sur la question. Elle
travaille sur les problématiques de la sécurité du SI depuis 1996. « La gestion des
risques est avant tout un acte de management au quotidien ce qui suppose qu’elle
soit intégrée dans les processus métiers
de chaque activité de l’entreprise. Les accords de Bâle2 constituent en ce sens une
réforme structurante et stratégique pour
les banques et établissements financiers.
En effet, ils les incitent naturellement
à mettre en œuvre une gestion professionnelle des risques et à disposer d’un
processus récurrent d’identification,
d’évaluation, de contrôle et de réduction des risques opérationnels. La conséquence est la nécessité d’avoir une
approche orientée processus et de disposer d’une cartographie des risques:
◆ CNIS Mag N°01 ◆ OCTOBRE 2008
Le Risk Manager est un
"traducteur", parfois
"facilitateur", entre le
métier et le RSSI, lequel
valide des services ou
dispositifs de sécurité en
réponse à ces besoins.
c’est véritablement la condition clé de
succès pour une maîtrise exhaustive des
risques opérationnels.
Cette approche orientée processus est
d’abord un axe de progrès dans la gestion des risques globale, pour des raisons
évidentes de documentation et certification éventuelle, C’est également dans
le domaine de la sécurité des systèmes
d’information, l’élément clé retenu par
les instances de normalisation pour la
mise en place d’un dispositif de gestion
de la sécurité du système d’information
conformément à l’ISO 27001.
Avec une telle démarche, l’IT Risk
Manager s’impose naturellement comme la personne idoine chargée de
développer cette culture de gestion des
risques liés au SI dans les processus et
d’accompagner le métier dans la prise
de conscience nécessaire à une pleine
responsabilisation au regard de la sécurisation de son processus métier et de
ses activités. La mission est nouvelle: il
s’agit avant tout d’aider à faire émerger
le besoin de sécurité au regard d’un
enjeu ou d’une exigence métier et non
plus d’identifier les solutions techniques
préventives ou curatives en réponse à
des menaces.
Traduire, faciliter mais
également évaluer
On responsabilise de plus en plus le métier en lui demandant d’exprimer ses besoins. On l’implique complètement dans
l’analyse et la gestion du risque de ses
processus spécifiques. Aujourd’hui, on
ne met plus en place de dispositifs de
sécurité s’il n’y a pas de besoins exprimés: c’est l’approche économique de la
sécurité qui sous-tend cet ensemble !
L’IT RM est donc en quelques sortes
un « traducteur » parfois « facilitateur »
entre le métier et le RSSI qui, pour sa tique, option systèmes et réseaux. Dès Quelques temps plus tard, alors qu’il a
part, doit valider des services ou dis- sa sortie de l'école, lors de son service le sentiment d’avoir accompli sa mispositifs de sécurité en réponse à ces be- scientifique, il est propulsé au poste de sion chez Accor, Eric Larcher rejoint en
soins. Ces deux fonctions cohabitent de Responsable Informatique d’un centre 2005 la Banque Fédérale des Banques
manière efficace et se complètent bien ; de recherche de quarante chercheurs Populaires, organe central du Groupe
ils contribuent à la chaîne de valeur du travaillant notamment pour plusieurs Banque Populaire, en tant que RSSI
processus de gestion des risques du SI. entreprises du secteur de la Défense. Groupe. Commence alors une nouvelle
Par ailleurs, les missions
aventure. Sa mission
de l’IT Risk Manager lui
est d’abord de mettre
permettent aussi d’évaluer
en place une Politique
l’efficacité des dispositifs
de sécurité, d’animer la
de sécurité proposés par
communauté des RSSI
le RSSI. La reconnaissance
des établissements et
de ces deux fonctions
filiales, de mettre en
distinctes au sein d’une
place des tableaux de
même entité contribue à
bord, d’assurer la maîs’affranchir de l’éternelle
trise d’ouvrage des
problématique à laquelle
projets de sécurité
faisait face le RSSI : juge
transversaux, la coorou partie ? Nous somdination des incidents
mes pionniers sur ce
de sécurité relatifs au
genre d’approche dans le
Groupe, bref, les misgroupe SGAM mais égalesions classiques d’un
ment dans le monde banRSSI Groupe. Il a par
caire. Je n’ai pas beaucoup
ailleurs l’occasion de
Un métier de solitaire encore peu connu ...
d’homologue IT RM ».
participer activement
C. Tran-Faucher s’est lanà certains projets de
cée dans cette carrière, titres en poche, Déjà, il est très vite confronté aux ques- grande envergure (réseau Groupe, mise
en étant titulaire d’une Maîtrise des tions de sécurité, la confidentialité des en place d’un SOC, etc.). Mais les missciences de gestion de Paris-Dauphine études étant bien sûr de mise. Ce pre- sions d’Eric Larcher ne s’arrêtent pas là
puis diplômée de l’INT Management. mier contact avec la sécurité le décide car il est également en charge de la séPuis elle débute son cursus profession- alors à se spécialiser dans ce domaine curité des SI de la Banque Fédérale en
nel dans l’organisation de la sécurité du en intégrant le mastère Sécurité des tant qu’établissement, ce qui lui permet
système d’information et dans la ges- Systèmes Informatiques et des Réseaux de garder un contact avec les problémation de projets
chez
Banque
de Neuflize où "Le RSSI a une mission essentielle tournée vers la prévention des
elle a été fondé risques afin de diminuer les facteurs de ces risques.
de pouvoir. Elle
rejoint ensuite XP Conseil, cabinet de de Télécom Paris. C’est alors qu’il entre tiques opérationnelles du quotidien. Auconseil au sein duquel elle intervient sur chez Accor Services (4500 personnes delà des définitions de fonctions et de
des problématiques de gouvernance de dans 35 pays) à la fin des années 90, postes, Eric Larcher a également un point
la sécurité de l’information et du plan de d’abord en tant que stagiaire puis, une de vue sur les fonctions de Risk Manager
continuité d’activité avant de rejoindre fois sa formation achevée, en tant que et de RSSI: « Avant d’entrer dans le secSociété Générale Asset Management en RSSI dans le cadre d’une création de teur bancaire, les Risk Managers que je
tant que Responsable des Risques de la poste. Là, il fait ses premières armes en côtoyais étaient généralement en charge
Direction du SI.
tant que RSSI au sein de cette structure. des contrats d’assurance. Au sein d’une
Eric Larcher a également fréquenté une En 2004, il contribue à la mise en place banque, la notion de Risk Manager est
grande école durant son parcours sco- d’une organisation sécurité transverse beaucoup plus large. En effet, de nomlaire. C’est à l’ESME Sudria qu’il aura ac- pour l’ensemble du Groupe Accor au breux acteurs contribuent à la maîtrise
quis ses lettres de noblesse en y suivant sein de laquelle il prendra en charge la des risques. Tout d’abord, les métiers
une formation d’Ingénieur en informa- sécurité applicative et organisationnelle. qui déterminent le risque maximum
Justmakeit
E
L
CNIS Mag N°01 ◆ OCTOBRE 2008 ◆
39
E
RSSI, un Risk Manager
parmi d'autres
Cela se traduit aussi bien par la mise
en place d’une PSSI que l’assistance à
maîtrise d’ouvrage sur des projets informatiques en passant par la sensibilisation à la sécurité. Enfin, il ne faut
pas oublier les fonctions de contrôle,
notamment la Direction des risques, la
Direction de la conformité, la Direction
de l’audit, qui ont pour rôle de s’assurer
de la bonne maîtrise des risques. Le
RSSI intervient également à ce niveau
car il est en effet un acteur essentiel du
contrôle permanent de deuxième niveau
(le premier niveau étant dévolu aux métiers) au même titre que d’autres fonctions de contrôle. Il intervient notamment dans le contrôle des habilitations,
du niveau de conformité à la PSSI, aux
recommandations des audits, etc. Pour
résumer, dans la banque, le RSSI est
un Risk Manager parmi d’autres, certes
important, compte tenu du poids de
l’informatique dans les activités ban-
RSSI et IT Risk
Manager à la Société Générale GIMS,
"s'il faut trouver un
titre au futur RSSI,
je choisis " Chief
Trust Officer".
La confiance est
notre métier."
Pejman Gohari
confirme la nécessité de créer un rôle
de Risk Manager IT au sein de la DSI.
Mais pour lui ceci n’est qu’une étape
pour atteindre l’objectif de ‘’la protection de l’information’’. « Le RSSI a
encore une image de spécialiste de sécurité informatique. Que nous soyons
bien d’accord, la sécurité de notre système informatique est une nécessité et
il faut avoir un bon niveau de sécurité
au niveau de nos infrastructures; mais
c’est au métier de définir ses besoins.
L’IT RM traduit le besoin du métier et
travaille avec lui pour classifier les ressources. On va ensuite définir s’il faut
tinguer et de gagner de nouvelles parts
de marché: l’une de ces valeurs est la
confiance. Et s’il faut trouver un titre
au futur RSSI, mon candidat favori est
‘Chief Trust Officer’. Ce CTO devra construire ce label de confiance au sein de
l’entreprise: pour l’interne mais aussi
pour les clients, les partenaires, voire
pour le régulateur. »
Philippe Le Berre, expert en sécurité informatique depuis de nombreuses années et également fondateur
d’Entelience, interlocuteur privilégié
des CSO et RSSI ainsi que de tout
décideur au niveau de la Direction,
S
" Si nous, les RSSI, souhaitons être associés dans les décisions
stratégiques de l'entreprise, il va falloir faire évoluer le poste"
caires, mais pas le seul. Dans d’autres
secteurs moins réglementés, la répartition des rôles en matière de gestion des
risques est plus libre et peut être très
différente. Dans ce cas, on ne peut pas,
à mon sens, citer une organisation type
permettant d’assurer une bonne maîtrise des risques: il y a celles qui marchent
et celles qui ne marchent pas.»
Pejman GOHARI, RSSI et IT Risk
Manager à la Société Générale GIMS,
40
diminuer les risques avec des mesures
IT ou dans certains cas accepter le
risque. SI. Maintenant nous, les RSSI,
souhaitons être associés dans les
grandes décisions stratégiques de
l’entreprise, il va falloir faire évoluer le
poste. Aujourd’hui nous sommes dans
un monde où la globalisation est une
réalité. Je pense que le futur RSSI devra
participer à la création d’une valeur
qui permettra à l’entreprise de se dis-
◆ CNIS Mag N°01 ◆ OCTOBRE 2008
livre à son tour sa vision des rôles
partagés de RSSI et IT Risk Manager.
« Le Responsable de la Sécurité des
Systèmes d’Information peut-il et doitil être le dépositaire responsable des
risques de son organisation ? Face à la
montée en puissance des réglementations et standards, les organisations se
questionnent sur le positionnement,
voire la légitimité ou l’utilité, du RSSI.
Du coup, le positionnement, le rôle et la
DR
tolérable pour leurs activités. Viennent
ensuite les entités qui contribuent plus
particulièrement à la réduction des risques comme la Direction de la Sécurité
et de la Continuité d’activités. C’est à ce
niveau qu’on retrouve des acteurs comme le RSSI. Il a en effet une mission essentielle tournée vers la prévention des
risques afin de diminuer les facteurs de
ces risques.
DR
nquête management
Philippe Le Berre
responsabilité du RSSI est sous le feu des
projecteurs, avec potentiellement des impacts non négligeables. Le risque opérationnel est défini par la Commission bancaire comme « le risque résultant d’une
inadaptation ou d’une défaillance imputable à des procédures, personnels et
systèmes internes ou à des événements
extérieurs. ».
Centralisation et délégation,
où s'arrête le RM ?
Le risque opérationnel est donc avant
tout celui des métiers, le risque d’un procédé de fabrication défectueux, d’un mauvais contrôle d’un bordereau par un backoffice ou simplement d’une erreur lors
d’un contrôle qualité en fin de chaîne de
montage. Globalement, le risque opérationnel tend à mesurer la perfection,
ou à l’inverse l’exposition au défaut, de
l’organisation dans la réalisation de son
métier. C’est un fondement pour évaluer
la gouvernance et la qualité de la gestion
d’une organisation. Il est bien naturel
qu’actionnaires, législateurs et simples
citoyens en demandent plus quand ces
risques peuvent se traduire en Seveso,
Enron, AZF, etc. La prépondérance de
l’un ou plusieurs de ces risques sous-jacents va profondément influencer la stra-
Expert en sécurité
informatique, fondateur d'Entelience.
"L'enjeu ? La pertinence, pour toute
entreprise, d'une
notion de Direction
des Risques"
tégie de gestion des risques décidés par
les dirigeants de l’organisation, et, par la
même, les responsabilités du RSSI. Doit-il
couvrir les risques opérationnels, inclure
les risques de l’information ou plus traditionnellement se focaliser sur les risques
informatiques ? L’enjeu est bien la pertinence pour l’organisation d’une notion
de Direction des Risques qui engloberait
les différents types de risques, de la contribution du RSSI à cette direction et avec
l’éternelle balance entre centralisation
et délégation. Il peut être intéressant
d’aborder le métier de RSSI en faisant
l’analogie avec un autre mieux défini et
compris des organisations comme celui
de Directeur Administratif & Financier
(DAF). Le DAF n’est pas responsable de
l’utilisation par chaque département
des budgets alloués. Il est en charge de
définir et mettre en œuvre les processus
et l’organisation nécessaire au suivi de
l’utilisation des budgets et des recettes.
La comptabilité enregistre les opérations
de crédits et débits de l’organisation et le
contrôle de gestion procède à l’analyse
des comptes, notamment à des fins de
conformité et de pilotage.
Ainsi pourquoi un RSSI devrait-il être
le primo responsable des risques liés
aux données nominatives d’un fichier de
prospects ou clients, quand le Directeur
Financier n’est pas lui le primo responsable des dépenses commerciales et
marketing ? Le Directeur Financier a-til autorité pour expliquer au Directeur
Marketing quand et comment il doit utiliser son budget ? Le RSSI doit-il seul décider du niveau de confidentialité d’un
plan marketing et supporter les conséquences de la décision ?
Le RSSI, un "amalgame pratique" de responsabilité ?
Le RSSI doit, comme son homologue
des finances le fait via la comptabilité et
le contrôle de gestion, définir et mettre
en œuvre les processus de gestion et de
suivi des risques qui lui incombent. D’une
part des processus de comptabilisation
des risques pour augmenter et maintenir
un référentiel alimenté par les métiers et
unités opérationnelles. D’autre part, des
processus de contrôle des risques pour
structurer, analyser et communiquer la
posture de l’organisation. Par la maîtrise
Le responsable d'un risque, celui
qui endosse les mesures de
contingentement, ne peut-être que
le responsable du métier impacté
de ces processus, le RSSI peut fournir à
la Direction Générale une vision sur les
risques de l’entreprise et apporter toute
son expertise. Mais, le responsable d’un
risque, celui qui a autorité à l’accepter
ainsi qu’à endosser les mesures de contingentement ne peut-être que le responsable du métier impacté. La vraie responsabilité du RSSI est le bon fonctionnement
des différents processus de gestion des
risques, du respect de leurs objectifs de
performance et adéquation vis-à-vis de
la stratégie et de l’organisation. C’est par
la compréhension du cap fixé par les dirigeants que le RSSI peut bâtir l’itinéraire
vers l’objectif de la gestion des risques: la
compréhension et la maîtrise de la résilience de l’entreprise face aux risques.» ❏
CNIS Mag N°01 ◆ OCTOBRE 2008 ◆
41