IT Risk Manager
Transcription
IT Risk Manager
E nquête management RSSI IT Risk Manager: Un même combat ? Aujourd’hui, il est impensable de « blinder » le SI sans penser risques pour appliquer une politique de sécurité viable. Le gestionnaire de risques IT a sa place aux côtés du RSSI dans la bataille. Une seule et même personne ou deux postes distincts ? Par Solange Belkhayat-Fuchs A Justmakeit Aujourd’hui, le rôle de RSSI est de plus en plus reconnu au sein des entreprises, notamment parmi les plus grandes d’entre elles. Même si tout n’est pas totalement défini et même si parmi les RSSI en poste, beaucoup d’entre eux courent encore après un budget ou des moyens pour mener à bien leur mission, lorsque l’on prononce le terme RSSI, tout un chacun a 36 ◆ CNIS Mag N°01 ◆ OCTOBRE 2008 une idée assez précise de ce métier. Parmi les structures qui non seulement emploient des RSSI mais en plus, leur ont assigné un rôle des plus précis, l’on retrouve les pionniers en tous genres en terme de sécurité: les banques. Toujours à la pointe des technologies, toujours sur le qui-vive et tout le temps les premiers attaqués, les instituts financiers essuient bien des plâtres pour CNIS Mag N°01 ◆ OCTOBRE 2008 ◆ 37 nquête management Mais l’on se rend bien compte, avec le temps, qu’en dépit de multiples efforts et d’une vigilance des plus renforcées, il est impensable d’atteindre le niveau absolu en terme de protection et d’obtenir un SI 100% sécurisé. Parallèlement à la progression des menaces, le métier de RSSI s’affine, s’ajuste pour répondre au mieux à la situation. Les femmes et hommes sécurité peaufinent leurs politiques au mieux afin de proposer des moyens pour mieux contrer les menaces. Parmi ceux qui ouvrent le chemin, les RSSI des groupes bancaires voient leurs charges changer en même temps que leur poste. Marc Guillaumot Intégrer la sécurité dans les processus métier Christine TRan-Faucher IT Risk Manager à la SGAM, filiale de la Société Générale. Elle possède une solide expérience dans le domaine de la sécurité du Système d'Information, expérience qui remonte à 1996. le reste de la communauté des entreprises. Aux avant-postes de ce front, les RSSI du monde bancaire tentent, entre autres, de maintenir le périmètre de sécurité du SI. Au fur et à mesure de la mutation des attaques et de la professionnalisation des cyber-criminels, ils renforcent leurs boucliers et tentent de tout prévoir afin de se faire surprendre le moins possible. 38 Aujourd’hui la grande question qui se pose est celle de la gestion des risques. Il est clair qu’il devient impensable de « blinder » le SI sans donc penser risques pour appliquer une politique de sécurité viable. Le gestionnaire des risques est un des postes les plus importants au sein de la banque, et l’un des aspects de son métier est de mesurer le risque encouru en termes de sécurité et de coût. Mais qui donc est le plus approprié pour réaliser une telle estimation ? Christine Tran-Faucher, IT Risk Manager à SGAM, filiale de la Société Générale, a bien sa petite idée sur la question. Elle travaille sur les problématiques de la sécurité du SI depuis 1996. « La gestion des risques est avant tout un acte de management au quotidien ce qui suppose qu’elle soit intégrée dans les processus métiers de chaque activité de l’entreprise. Les accords de Bâle2 constituent en ce sens une réforme structurante et stratégique pour les banques et établissements financiers. En effet, ils les incitent naturellement à mettre en œuvre une gestion professionnelle des risques et à disposer d’un processus récurrent d’identification, d’évaluation, de contrôle et de réduction des risques opérationnels. La conséquence est la nécessité d’avoir une approche orientée processus et de disposer d’une cartographie des risques: ◆ CNIS Mag N°01 ◆ OCTOBRE 2008 Le Risk Manager est un "traducteur", parfois "facilitateur", entre le métier et le RSSI, lequel valide des services ou dispositifs de sécurité en réponse à ces besoins. c’est véritablement la condition clé de succès pour une maîtrise exhaustive des risques opérationnels. Cette approche orientée processus est d’abord un axe de progrès dans la gestion des risques globale, pour des raisons évidentes de documentation et certification éventuelle, C’est également dans le domaine de la sécurité des systèmes d’information, l’élément clé retenu par les instances de normalisation pour la mise en place d’un dispositif de gestion de la sécurité du système d’information conformément à l’ISO 27001. Avec une telle démarche, l’IT Risk Manager s’impose naturellement comme la personne idoine chargée de développer cette culture de gestion des risques liés au SI dans les processus et d’accompagner le métier dans la prise de conscience nécessaire à une pleine responsabilisation au regard de la sécurisation de son processus métier et de ses activités. La mission est nouvelle: il s’agit avant tout d’aider à faire émerger le besoin de sécurité au regard d’un enjeu ou d’une exigence métier et non plus d’identifier les solutions techniques préventives ou curatives en réponse à des menaces. Traduire, faciliter mais également évaluer On responsabilise de plus en plus le métier en lui demandant d’exprimer ses besoins. On l’implique complètement dans l’analyse et la gestion du risque de ses processus spécifiques. Aujourd’hui, on ne met plus en place de dispositifs de sécurité s’il n’y a pas de besoins exprimés: c’est l’approche économique de la sécurité qui sous-tend cet ensemble ! L’IT RM est donc en quelques sortes un « traducteur » parfois « facilitateur » entre le métier et le RSSI qui, pour sa tique, option systèmes et réseaux. Dès Quelques temps plus tard, alors qu’il a part, doit valider des services ou dis- sa sortie de l'école, lors de son service le sentiment d’avoir accompli sa mispositifs de sécurité en réponse à ces be- scientifique, il est propulsé au poste de sion chez Accor, Eric Larcher rejoint en soins. Ces deux fonctions cohabitent de Responsable Informatique d’un centre 2005 la Banque Fédérale des Banques manière efficace et se complètent bien ; de recherche de quarante chercheurs Populaires, organe central du Groupe ils contribuent à la chaîne de valeur du travaillant notamment pour plusieurs Banque Populaire, en tant que RSSI processus de gestion des risques du SI. entreprises du secteur de la Défense. Groupe. Commence alors une nouvelle Par ailleurs, les missions aventure. Sa mission de l’IT Risk Manager lui est d’abord de mettre permettent aussi d’évaluer en place une Politique l’efficacité des dispositifs de sécurité, d’animer la de sécurité proposés par communauté des RSSI le RSSI. La reconnaissance des établissements et de ces deux fonctions filiales, de mettre en distinctes au sein d’une place des tableaux de même entité contribue à bord, d’assurer la maîs’affranchir de l’éternelle trise d’ouvrage des problématique à laquelle projets de sécurité faisait face le RSSI : juge transversaux, la coorou partie ? Nous somdination des incidents mes pionniers sur ce de sécurité relatifs au genre d’approche dans le Groupe, bref, les misgroupe SGAM mais égalesions classiques d’un ment dans le monde banRSSI Groupe. Il a par caire. Je n’ai pas beaucoup ailleurs l’occasion de Un métier de solitaire encore peu connu ... d’homologue IT RM ». participer activement C. Tran-Faucher s’est lanà certains projets de cée dans cette carrière, titres en poche, Déjà, il est très vite confronté aux ques- grande envergure (réseau Groupe, mise en étant titulaire d’une Maîtrise des tions de sécurité, la confidentialité des en place d’un SOC, etc.). Mais les missciences de gestion de Paris-Dauphine études étant bien sûr de mise. Ce pre- sions d’Eric Larcher ne s’arrêtent pas là puis diplômée de l’INT Management. mier contact avec la sécurité le décide car il est également en charge de la séPuis elle débute son cursus profession- alors à se spécialiser dans ce domaine curité des SI de la Banque Fédérale en nel dans l’organisation de la sécurité du en intégrant le mastère Sécurité des tant qu’établissement, ce qui lui permet système d’information et dans la ges- Systèmes Informatiques et des Réseaux de garder un contact avec les problémation de projets chez Banque de Neuflize où "Le RSSI a une mission essentielle tournée vers la prévention des elle a été fondé risques afin de diminuer les facteurs de ces risques. de pouvoir. Elle rejoint ensuite XP Conseil, cabinet de de Télécom Paris. C’est alors qu’il entre tiques opérationnelles du quotidien. Auconseil au sein duquel elle intervient sur chez Accor Services (4500 personnes delà des définitions de fonctions et de des problématiques de gouvernance de dans 35 pays) à la fin des années 90, postes, Eric Larcher a également un point la sécurité de l’information et du plan de d’abord en tant que stagiaire puis, une de vue sur les fonctions de Risk Manager continuité d’activité avant de rejoindre fois sa formation achevée, en tant que et de RSSI: « Avant d’entrer dans le secSociété Générale Asset Management en RSSI dans le cadre d’une création de teur bancaire, les Risk Managers que je tant que Responsable des Risques de la poste. Là, il fait ses premières armes en côtoyais étaient généralement en charge Direction du SI. tant que RSSI au sein de cette structure. des contrats d’assurance. Au sein d’une Eric Larcher a également fréquenté une En 2004, il contribue à la mise en place banque, la notion de Risk Manager est grande école durant son parcours sco- d’une organisation sécurité transverse beaucoup plus large. En effet, de nomlaire. C’est à l’ESME Sudria qu’il aura ac- pour l’ensemble du Groupe Accor au breux acteurs contribuent à la maîtrise quis ses lettres de noblesse en y suivant sein de laquelle il prendra en charge la des risques. Tout d’abord, les métiers une formation d’Ingénieur en informa- sécurité applicative et organisationnelle. qui déterminent le risque maximum Justmakeit E L CNIS Mag N°01 ◆ OCTOBRE 2008 ◆ 39 E RSSI, un Risk Manager parmi d'autres Cela se traduit aussi bien par la mise en place d’une PSSI que l’assistance à maîtrise d’ouvrage sur des projets informatiques en passant par la sensibilisation à la sécurité. Enfin, il ne faut pas oublier les fonctions de contrôle, notamment la Direction des risques, la Direction de la conformité, la Direction de l’audit, qui ont pour rôle de s’assurer de la bonne maîtrise des risques. Le RSSI intervient également à ce niveau car il est en effet un acteur essentiel du contrôle permanent de deuxième niveau (le premier niveau étant dévolu aux métiers) au même titre que d’autres fonctions de contrôle. Il intervient notamment dans le contrôle des habilitations, du niveau de conformité à la PSSI, aux recommandations des audits, etc. Pour résumer, dans la banque, le RSSI est un Risk Manager parmi d’autres, certes important, compte tenu du poids de l’informatique dans les activités ban- RSSI et IT Risk Manager à la Société Générale GIMS, "s'il faut trouver un titre au futur RSSI, je choisis " Chief Trust Officer". La confiance est notre métier." Pejman Gohari confirme la nécessité de créer un rôle de Risk Manager IT au sein de la DSI. Mais pour lui ceci n’est qu’une étape pour atteindre l’objectif de ‘’la protection de l’information’’. « Le RSSI a encore une image de spécialiste de sécurité informatique. Que nous soyons bien d’accord, la sécurité de notre système informatique est une nécessité et il faut avoir un bon niveau de sécurité au niveau de nos infrastructures; mais c’est au métier de définir ses besoins. L’IT RM traduit le besoin du métier et travaille avec lui pour classifier les ressources. On va ensuite définir s’il faut tinguer et de gagner de nouvelles parts de marché: l’une de ces valeurs est la confiance. Et s’il faut trouver un titre au futur RSSI, mon candidat favori est ‘Chief Trust Officer’. Ce CTO devra construire ce label de confiance au sein de l’entreprise: pour l’interne mais aussi pour les clients, les partenaires, voire pour le régulateur. » Philippe Le Berre, expert en sécurité informatique depuis de nombreuses années et également fondateur d’Entelience, interlocuteur privilégié des CSO et RSSI ainsi que de tout décideur au niveau de la Direction, S " Si nous, les RSSI, souhaitons être associés dans les décisions stratégiques de l'entreprise, il va falloir faire évoluer le poste" caires, mais pas le seul. Dans d’autres secteurs moins réglementés, la répartition des rôles en matière de gestion des risques est plus libre et peut être très différente. Dans ce cas, on ne peut pas, à mon sens, citer une organisation type permettant d’assurer une bonne maîtrise des risques: il y a celles qui marchent et celles qui ne marchent pas.» Pejman GOHARI, RSSI et IT Risk Manager à la Société Générale GIMS, 40 diminuer les risques avec des mesures IT ou dans certains cas accepter le risque. SI. Maintenant nous, les RSSI, souhaitons être associés dans les grandes décisions stratégiques de l’entreprise, il va falloir faire évoluer le poste. Aujourd’hui nous sommes dans un monde où la globalisation est une réalité. Je pense que le futur RSSI devra participer à la création d’une valeur qui permettra à l’entreprise de se dis- ◆ CNIS Mag N°01 ◆ OCTOBRE 2008 livre à son tour sa vision des rôles partagés de RSSI et IT Risk Manager. « Le Responsable de la Sécurité des Systèmes d’Information peut-il et doitil être le dépositaire responsable des risques de son organisation ? Face à la montée en puissance des réglementations et standards, les organisations se questionnent sur le positionnement, voire la légitimité ou l’utilité, du RSSI. Du coup, le positionnement, le rôle et la DR tolérable pour leurs activités. Viennent ensuite les entités qui contribuent plus particulièrement à la réduction des risques comme la Direction de la Sécurité et de la Continuité d’activités. C’est à ce niveau qu’on retrouve des acteurs comme le RSSI. Il a en effet une mission essentielle tournée vers la prévention des risques afin de diminuer les facteurs de ces risques. DR nquête management Philippe Le Berre responsabilité du RSSI est sous le feu des projecteurs, avec potentiellement des impacts non négligeables. Le risque opérationnel est défini par la Commission bancaire comme « le risque résultant d’une inadaptation ou d’une défaillance imputable à des procédures, personnels et systèmes internes ou à des événements extérieurs. ». Centralisation et délégation, où s'arrête le RM ? Le risque opérationnel est donc avant tout celui des métiers, le risque d’un procédé de fabrication défectueux, d’un mauvais contrôle d’un bordereau par un backoffice ou simplement d’une erreur lors d’un contrôle qualité en fin de chaîne de montage. Globalement, le risque opérationnel tend à mesurer la perfection, ou à l’inverse l’exposition au défaut, de l’organisation dans la réalisation de son métier. C’est un fondement pour évaluer la gouvernance et la qualité de la gestion d’une organisation. Il est bien naturel qu’actionnaires, législateurs et simples citoyens en demandent plus quand ces risques peuvent se traduire en Seveso, Enron, AZF, etc. La prépondérance de l’un ou plusieurs de ces risques sous-jacents va profondément influencer la stra- Expert en sécurité informatique, fondateur d'Entelience. "L'enjeu ? La pertinence, pour toute entreprise, d'une notion de Direction des Risques" tégie de gestion des risques décidés par les dirigeants de l’organisation, et, par la même, les responsabilités du RSSI. Doit-il couvrir les risques opérationnels, inclure les risques de l’information ou plus traditionnellement se focaliser sur les risques informatiques ? L’enjeu est bien la pertinence pour l’organisation d’une notion de Direction des Risques qui engloberait les différents types de risques, de la contribution du RSSI à cette direction et avec l’éternelle balance entre centralisation et délégation. Il peut être intéressant d’aborder le métier de RSSI en faisant l’analogie avec un autre mieux défini et compris des organisations comme celui de Directeur Administratif & Financier (DAF). Le DAF n’est pas responsable de l’utilisation par chaque département des budgets alloués. Il est en charge de définir et mettre en œuvre les processus et l’organisation nécessaire au suivi de l’utilisation des budgets et des recettes. La comptabilité enregistre les opérations de crédits et débits de l’organisation et le contrôle de gestion procède à l’analyse des comptes, notamment à des fins de conformité et de pilotage. Ainsi pourquoi un RSSI devrait-il être le primo responsable des risques liés aux données nominatives d’un fichier de prospects ou clients, quand le Directeur Financier n’est pas lui le primo responsable des dépenses commerciales et marketing ? Le Directeur Financier a-til autorité pour expliquer au Directeur Marketing quand et comment il doit utiliser son budget ? Le RSSI doit-il seul décider du niveau de confidentialité d’un plan marketing et supporter les conséquences de la décision ? Le RSSI, un "amalgame pratique" de responsabilité ? Le RSSI doit, comme son homologue des finances le fait via la comptabilité et le contrôle de gestion, définir et mettre en œuvre les processus de gestion et de suivi des risques qui lui incombent. D’une part des processus de comptabilisation des risques pour augmenter et maintenir un référentiel alimenté par les métiers et unités opérationnelles. D’autre part, des processus de contrôle des risques pour structurer, analyser et communiquer la posture de l’organisation. Par la maîtrise Le responsable d'un risque, celui qui endosse les mesures de contingentement, ne peut-être que le responsable du métier impacté de ces processus, le RSSI peut fournir à la Direction Générale une vision sur les risques de l’entreprise et apporter toute son expertise. Mais, le responsable d’un risque, celui qui a autorité à l’accepter ainsi qu’à endosser les mesures de contingentement ne peut-être que le responsable du métier impacté. La vraie responsabilité du RSSI est le bon fonctionnement des différents processus de gestion des risques, du respect de leurs objectifs de performance et adéquation vis-à-vis de la stratégie et de l’organisation. C’est par la compréhension du cap fixé par les dirigeants que le RSSI peut bâtir l’itinéraire vers l’objectif de la gestion des risques: la compréhension et la maîtrise de la résilience de l’entreprise face aux risques.» ❏ CNIS Mag N°01 ◆ OCTOBRE 2008 ◆ 41