Thème Contrôle Permanent

Transcription

Rapport du groupe de travail « Fonction RSSI » - avril 2007
Le RSSI, dans les faits, dix ans après le Livre blanc
de la Sécurité
des Systèmes d’Information
«Le RSSI, dans les faits,
dix ans après le Livre blanc »
-Rapport du groupe de travail –
« Fonction RSSI, dix ans après le livre
bl anc »
1
de la Sécurité
2
de la Sécurité
Remerciements
Le Forum des Compétences de la Sécurité des Systèmes
d’Information remercie ses Etablissements Membres qui ont participé à la
réflexion et à la rédaction de cet ouvrage présentant
Dans le cadre de la protection du patrimoine Informationnel des entreprises.
Il tient à remercier particulièrement les personnes du groupe de travail
Fonction RSSI, dix ans après le livre blanc
qui ont contribué à cet ouvrage
3
de la Sécurité
4
de la Sécurité
Sommaire
Introduction ............................................................................................ 7
Thème Métiers ....................................................................................... 9
Thème Politique ................................................................................... 10
Thème « In-formation » ........................................................................ 12
Thème Plan de Continuité de l’Activité - PCA ...................................... 14
Thème Contrôle Interne ....................................................................... 15
Thème Maîtrise d’Ouvrage des projets de sécurisation ........................ 17
Thème Gestion des accréditations ....................................................... 19
Thème Juridique .................................................................................. 20
5
de la Sécurité
6
de la Sécurité
Introduction
Où en est la fonction de responsable de la sécurité du système d’information (RSSI) dix ans après sa
naissance? À partir de nos expériences diverses et du recul acquis, un groupe de travail (“Le RSSI
dans les faits, 10 ans après le Livre Blanc”) a été créé pour faire le point sur ce sujet au sein du Forum
des Compétences*. Depuis dix ans, l’environnement du RSSI s’est complexifié. Sous l’autorité de la
direction générale, en appui du contrôle permanent, sa mission l’a conduit à travailler avec les
directions métiers de la banque ainsi qu’avec la direction informatique, en bénéficiant du support des
directions de la communication, des ressources humaines et de la direction juridique, en collaborant
avec les risques opérationnels, les assureurs et la conformité, en dialoguant avec le contrôle
périodique. Tout en respectant les directives de la Commission bancaire, en s’appuyant sur le Livre
Blanc, Bâle II, le CRBF 97-02, les normes, sans oublier la CNIL, l’AMF, le CFONB, la BRI… et le
tableau est loin d’être complet.
Le RSSI assume une fonction transversale par excellence. Son environnement est marqué par une
accélération des changements: les systèmes d’information (SI) sont, notamment, de plus en plus
ouverts sur l’extérieur.
COMMENT AVONS- NOUS PROCÉDÉ ?
Pour réaliser cette étude, le Forum a recensé auprès de ses membres, les différentes missions
unitaires assurées par les uns et les autres ; celles-ci ont été classées par thèmes. Puis un
questionnaire a été réalisé et il a été demandé à chaque RSSI de se positionner par rapport à ces
missions. Les résultats ont été dépouillés et trois catégories ont émergé : les missions que la majorité
des RSSI déclare assurer, celles qui sont hors champs et celles qui font l’objet de débats au sein du
groupe de travail.
QU’EN EST-IL AUJOURD’HUI?
Il apparaît que les RSSI sont les rédacteurs de la politique de sécurité du système d’information et des
chartes relatives à la sécurité du système d’information. Ils participent à des comités de sécurité de
haut niveau présidés par la direction générale ou un membre du comité de direction générale. C’est ici
qu’ils exercent une part significative de leur devoir d’influence. Ils assistent également au comité de
pilotage des grands projets informatiques; ils contribuent à l’élaboration des plans de continuité
d’activité (PCA) et sont membres de cellules de crise décisionnelles. En aval de ces instances
décisionnelles, ils animent dans les métiers bancaires, des réseaux de correspondants sécurité du
système d’information et jouent auprès de ces derniers, un rôle de conseiller. Ils ont une fonction de
sensibilisation et de conception des formations Sécurité du Système d’Information (SSI). L’idéal serait
que la SSI fasse systématiquement partie du contenu standard de la formation pour un poste. Les
RSSI participent aux formations, en tant qu’animateurs ou coanimateurs. En matière de contrôle, les
RSSI sont promoteurs et acteurs du contrôle permanent. Ils animent, par exemple, une autoévaluation de la sécurité du système d’information. Ils contribuent au rapport de contrôle interne
réglementaire pour son volet “système d’information” et peuvent être amenés à le présenter au comité
d’audit, dont ils ne sont cependant pas membres. En revanche, le RSSI n’est pas prescripteur, ni
acheteur d’une solution technique qui doit se conformer à ce qui est défini dans la politique SSI. Il
n’est pas non plus le gestionnaire de composants techniques. Enfin, il ne fait pas partie de l’organe du
contrôle périodique : sa mission peut naturellement être auditée et inspectée. Entrer ces deux bornes,
se décline un certain nombre de missions qui font l’objet de débats sur le fait de savoir si elles relèvent
ou non du poste du RSSI. Les situations varient en fonction de chaque établissement, mais visent en
général à établir un équilibre harmonieux entre les prérogatives du RSSI, du responsable des PCA et
de celui des risques opérationnels dont la fonction a été créée le plus souvent bien après le Livre
Blanc.
7
de la Sécurité
Légende :
AMF : Autorité des marchés financiers
BCE : Banque centrale européenne
BDF : Banque de France
BRI : Banque des règlements internationaux
CFONB : Centre français d’organisation et de normalisation bancaires
CMF : Code monétaire et financier
CNIL : Commission nationale de l’informatique et des libertés
LCEN : Loi pour la confiance dans l’économie numérique
LSF : Loi sur la sécurité financière
PP SBFI : Profil de protection pour services bancaires et/ou financiers sur Internet
RH : Ressources humaines
Les fiches qui suivent détaillent nos réflexions selon les thèmes que nous avions retenus.
8
de la Sécurité
Thème Métiers
Synthèse
Nous animons des réseaux correspondants Sécurité du Système d’Information pour les métiers
bancaires. Nous jouons également un rôle de conseillers pour ces métiers. Nous assistons au comité
de pilotage des projets Système d’Information stratégiques.
Contexte
Nous avons parlé du devoir d'influence du RSSI vis à vis des dirigeants de l'entreprise. Mais son
action serait très partielle si le RSSI n'exerçait aucune influence au niveau du terrain, des maîtrises
d'ouvrages, au coeur des projets.
En outre, le RSSI oeuvre souvent dans des environnements complexes. L'entreprise au sein de
laquelle il agit est, dans bien des cas, un groupe d'entreprises qui peut aussi être géographiquement
étendu. L'action du RSSI d’un tel Groupe serait très virtuelle s'il ne s'appuyait pas sur un réseau de
correspondants, de relais, de délégués.
Les plus de cette approche
Nous avons rappelé dans l’introduction les missions inhérentes à la charge des RSSI : émission de la
politique de sécurité, participation active à l'analyse de risque, sensibilisateur, évaluateur... Il se doit
d'intervenir dans les projets, lorsque l'idée germe dans un métier. Mais quel progrès pourrait on
escompter si le RSSI ne recevait que l'information émise dans l'immeuble où se situe son bureau et
n'influençait que les personnes géographiquement proches ?
En s'appuyant sur un réseau, le RSSI a davantage de chances de collecter une information
importante (démarrage d'un projet, incident, faiblesse organisationnelle). En outre, il la collecte tôt, à
la source, encore peu déformée. Dans l'autre sens, il confie à ses délégués, répartis dans les métiers,
le soin de sensibiliser, de conseiller, d'analyser, d'évaluer, de contrôler de façon spécifique à la nature
de la filiale, au métier exercé. Le correspondant peut décliner, dans une version acceptable
localement, la politique de sécurité.
Il ne faut pas oublier qu'une filiale d'un grand groupe peut être directement assujettie à la
réglementation bancaire et financière. Dans ce cas, le correspondant du RSSI du Groupe n'est autre
que le RSSI de la filiale.
Enfin, la simple existence d'un réseau de correspondants accroît le nombre de personnes sensibles à
la sécurité dans l'entreprise, contribuant ainsi à l'échafaudage d'une masse critique.
Les Risques
Animer un réseau ne consiste pas à nommer des personnes. Il faut s'assurer que les correspondants
partagent tous la même idée des mécanismes de gouvernance sécuritaire, la même conception de
leurs missions, la même acception de leurs responsabilités.
Il est important qu'une documentation, rédigée préalablement aux nominations, évite toute forme
d'autodétermination sur les points cités précédemment. Il faut aussi qu'une documentation informe les
gens qui auront à nommer un correspondant local sinon les malentendus sur les critères d'éligibilité du
correspondant seront nombreux.
Il est nécessaire que les délégués locaux bénéficient des mêmes types de rattachement que leur
« tuteur ». En particulier, le rattachement à une direction informatique locale est très défavorable.
Enfin, le réseau doit être l'objet d'une animation permanente, sinon, il devient une collection de
personnes qui seront rapidement happées par d'autres missions. Le RSSI devra assurer un support
réactif de son réseau : les questions sur la technique, les méthodes devront être traitées rapidement
sinon le réseau se délitera de lui même.
Lorsque la structure locale est réduite, le correspondant local est souvent correspondant d'autres
filières de contrôle (contrôle permanent, risques opérationnels, Bâle II…). Il est important que le RSSI
et ses homologues d'autres filières harmonisent leurs exigences. Dans le pire des cas, un
correspondant doit pouvoir consacrer hebdomadairement un jour plein à sa mission SSI.
9
de la Sécurité
Thème Politique
Synthèse
Nous sommes les rédacteurs de la politique de sécurité du Système d’Information, et des chartes
relatives à la Sécurité du Système d’Information.
1
Nous participons à des comités de Sécurité de haut niveau (présidés par le Directeur Général ou un
membre du comité de Direction Générale). C’est par ce comité que nous pouvons exercer une part
significative de notre devoir d’influence. Cela montre l’importance des qualités de communication à
haut niveau du RSSI.
Contexte
La Politique Générale de Sécurité des Systèmes d’Informations (PGSSI) d’une entreprise, élaborée
par le RSSI, est promulguée et soutenue par la Direction Générale ; elle traduit sa volonté et ses
exigences en matière de sécurité des Systèmes d’Information (SSI).
Le RSSI est le garant de sa mise en œuvre et fait un reporting régulier à la Direction Générale sur
l’évolution du risque et des écarts existant entre cette politique et son application opérationnelle en
s’appuyant éventuellement sur les corps de contrôle.
Cette politique définit l’organisation, le champ d’application et la responsabilité des différents acteurs.
Elle respecte les obligations réglementaires et promeut leur application. Elle doit d’être en accord avec
la gouvernance et la stratégie de l’entreprise.
Le RSSI s’appuie sur la PGSSI pour promouvoir une approche économique de la SSI visant à
atteindre un équilibre entre une prise de risques calculée et les dépenses relatives à la sécurité des
SI, afin d’éliminer les risques inacceptables.
La PGSSI est un cadre qui exprime les valeurs de la banque et les grands principes, c’est une cible et
chaque métier doit ensuite développer sa propre politique et ses modalités d’application, ou plutôt ses
objectifs de maîtrise des risques sécurité dans le cadre de la politique générale.
Bien que la forme puisse varier d’une entreprise à l’autre, cette politique s’appuie sur la mise en place
de domaines de confiance basés sur les valeurs de l’entreprise et sur la classification des ressources
selon les critères de Disponibilité, d’Intégrité, de Confidentialité et de possibilité de Preuve.
La PGSSI comporte un volet sensibilisation et formation ciblant toutes les catégories de personnel, de
la Direction Générale à l’utilisateur final, dans l’objectif d’une plus grande responsabilisation de
l’ensemble des acteurs de l’entreprise par rapport à la SSI. Il s’agit en particulier de renforcer les
« maillons faibles » de la chaîne de la sécurité qui se trouvent souvent liés aux facteurs humains.
La capacité de réaction aux incidents est aussi intégrée dans la PGSSI, avec la préconisation d’un
dispositif de veille en amont, d’une analyse en forte concertation avec les lignes métier en cas d’alerte
ou d’incident avéré, puis, en aval, d’une réaction proportionnée pouvant aller jusqu’a la mise en place
2
d’un PCA .
La PGSSI préconise également la mise en œuvre d’un comité de pilotage de haut niveau et proche de
la Direction Générale, alimenté régulièrement par un tableau de bord permettant d’une part d’identifier
les risques résiduels, l’évolution des menaces et les incidents avérés, d’autre part de mesurer l’effort
déployé et enfin d’apprécier l’efficacité des actions ainsi que les progrès accomplis. Ce tableau de
bord est complété par une enquête d’auto-évaluation s’appuyant sur la norme ISO 17799 (ou ISO
2700x)
1
2
Dans le cas des chartes, le RSSI peut être le contributeur à un document Ressources Humaines
PCA = Plan de Continuité de l’Activité
10
de la Sécurité
Les dispositions de la PGSSI contribuent à une communication proche des lignes métiers et elles
permettent un dialogue permanent avec toutes les composantes de l’entreprise, afin de faire passer
un message essentiel : « la sécurité, c’est 80% d’organisationnel et 20% de technique ».
Les Risques
La PGSSI doit définir clairement les responsabilités des divers acteurs intervenant sur le système
d’information ; elle doit spécifier la gouvernance à mettre en place pour assurer la séparation des
pouvoirs afin de garantir, en particulier, que le RSSI ne soit pas juge et partie.
En référence au thème contrôle interne, même si la politique, avec le règlement intérieur qui en est
une partie intégrante, définit les sanctions applicables en cas de non-respect de la PGSSI, l’exécution
de ces sanctions n’est pas du ressort du RSSI.
L’articulation des entités en charge de la SSI avec les entités en charge des risques opérationnels et
des PCA, mais aussi de la conformité, doit aussi être définie ; cette articulation peut aller d’une
séparation forte jusqu'à une intégration complète. C’est une décision importante pour le risk
management de l’entreprise qui relève donc de la direction générale.
11
de la Sécurité
Thème « In-formation »
Synthèse
3
Le RSSI a un rôle de sensibilisation et de conception des formations SSI . Il influence toujours le
contenu des formations (l’idéal serait que la SSI fasse partie du contenu des formations normales pour
un poste). Il participe aux formations (en collaboration ou non).
Contexte
La formation, la communication et la sensibilisation à la SSI, que nous regroupons sous le terme
générique « in-formation », sont primordiales afin d’accompagner le déploiement d’une politique de
sécurité et sa compréhension par le plus grand nombre.
Le RSSI a donc pour mission de s’assurer que toute personne ayant accès au SI soit « in-formée » de
façon la plus efficace voire efficiente possible, quelle que soit sa localisation géographique (France,
Europe, International), son statut (salarié, stagiaire, prestataire en régie…) ou sa fonction
(manager/VIP, informaticien, utilisateur…).
Il lui faut donc commencer par définir un plan d’ « in-formation » global, qui va mettre en parallèle les
différentes populations identifiées, les messages à faire passer en priorité ainsi que les outils les plus
adaptés (lettres d’information, intranets, vidéos, session plénières, formations techniques…).
4
Cette démarche devra être coordonnée avec la DRH et notamment son département formation
interne. Le RSSI sera généralement maître d’ouvrage sur ces programmes de formation mais pourra
parfois intervenir en maîtrise d’oeuvre sur certains sujets.
Si définir des règles est nécessaire, elles ne seront suivies avec rigueur que lorsqu’elles seront
comprises. L’Homme s’oppose d’autant plus au changement et à la discipline qu’il ne comprend pas
5
les raisons imposant la mise en place de normes et règlements constituant une PSSI .
C’est pourquoi l’« in-formation » est si importante. Une population sensibilisée, non seulement, sera
plus réceptive et active dans l’application de la PSSI, mais aura également la capacité à prendre les
bonnes décisions lorsqu’elle sera confrontée à un choix pouvant impacter la sécurité du SI (choix de
conception d’une application sensible pour un architecte applicatif, effacement sans ouverture d’un
fichier attaché douteux par une assistante...). Par ailleurs, les différents acteurs de l’entreprise auront
plus facilement le réflexe de prévenir l’assistance informatique voire l’équipe SSI en cas d’événement
inhabituel.
Enfin, la sensibilisation peut, dans certains cas, découler d’une obligation légale, notamment en
matière de protection des données personnelles. En effet, on ne peut pas se contenter de définir des
règles (parfois très –trop ?- nombreuses) et chartes sans donner les moyens nécessaires pour
qu’elles soient correctement expliquées à ceux qui doivent les appliquer (cas, par exemple, des
commentaires à proscrire au sein d’un dossier client).
Les Risques
Même s’il peut s’agir d’un domaine relativement simple pour le RSSI, par rapport à d’autres sujets plus
complexes, « l’in-formation » n’est pas toujours si facile à traiter.
3
SSI = Sécurité du Système d’Information
4
DRH = Direction des Ressources Humaines
5
On désigne ici, sous le terme «PSSI – Politique de Sécurité du Système d’Information», toute la hiérarchie de
normes sécuritaires allant jusqu’aux chartes et procédures de plus bas niveau.
12
de la Sécurité
Il faut en effet travailler en coordination avec la DRH, la communication interne… et surtout ne pas
développer pléthore de canaux de communication / formation spécifiques qui rendraient la démarche
difficile à assumer dans le temps.
Par ailleurs, l’« in-formation » doit être régulière sans être trop présente. Il faut trouver un juste
équilibre entre les actions mises en œuvres et leur distribution dans le temps : trop de communication
simultanée ou trop rapprochée risque de la rendre inefficace. A l’inverse, si un temps trop important
s’écoule entre deux actions d’« in-formation », les populations concernées risquent de perdre les bons
réflexes rapidement. Il faut donc inscrire ces actions dans la durée et surtout s’assurer que les
nouveaux venus seront également « in-formés » quelques temps après leur arrivée. Il est relativement
facile de faire une grande campagne de sensibilisation sur un site ou périmètre géographique précis
mais plus difficile de relancer des séances régulières pour les nouveaux arrivants ou d’effectuer une
piqûre de rappel.
Il ne faut pas non plus que l’« in-formation » soit surabondante par rapport aux actions, projets et
chantiers de sécurité mis en œuvre. On ne doit pas masquer ses échecs par une communication à
tout va.
En ce qui concerne la direction informatique, il faut faire attention aux actions de sensibilisation des
maîtrises d’ouvrage qui, si elles étaient faites en avance de phase sur la direction informatique,
pourraient entraîner un déphasage important entre la vision sécurité du client interne et de son
fournisseur (la direction informatique).
Enfin, l’« in-formation » a souvent tendance à servir de variable d’ajustement dans les budgets SSI au
6
7
profit d’autres investissement apparemment plus stratégiques (PKI , SSO , gestion des habilitations,
etc.). Il est donc primordial de bien sensibiliser sa direction, peut être même en premier, afin qu’elle
comprenne que le retour sur investissement de « l’in-formation » est beaucoup plus important qu’elle
ne peut l’imaginer…
6
7
PKI = Private Key Infrastructure
SSO = Single Sign On
13
de la Sécurité
Thème Plan de Continuité de l’Activité - PCA
Synthèse
Le RSSI est un contributeur majeur au plan de continuité des opérations de l'établissement financier
(PCA / BCP – Business Continuity Plan) et fait partie du processus de décision de la cellule de crise.
C’est lui qui s’assure, ès qualité, de l’existence d’un PSI – Plan de Secours Informatique qui fait
naturellement partie du PCA et en est un élément essentiel. L’attribution d’autres chapitres du PCA
(immeubles...) à la même personne est possible mais il faudra alors veiller à ce que, au-delà de
l’aspect SI, l’ensemble des aspects du PCA soit bien pris en compte.
Contexte
Le PCA couvre la continuité de toutes les opérations de l'établissement financier (front/middle/back
office, fonctions support…) et comprend donc aussi la continuité des opérations informatiques (PSI DRP : Plan de Secours Informatique - Disaster Recovery Plan).
La disponibilité est l'une des quatre faces de la tétralogie de la sécurité (D-Disponibilité / I-Intégrité / CConfidentialité / P-Preuve et contrôle) et rentre donc bien dans les responsabilités du RSSI, mais pour
cette dimension système d'information.
L'extension aux aspects logistiques, organisation, back office… peut être discutée au cas par cas.
Il est naturel et efficace que le maintien de la disponibilité des SI, en cas [1] de problème informatique
circonscrit (incident matériel ou logiciel, bogue applicatif, erreur humaine…) et [2] de sinistre simple ou
extrême (panne d'électricité, indisponibilité des locaux ou de personnels…) soit traité de manière
similaire par un seul acteur, le RSSI. Le RSSI s’assure que la continuité des opérations informatiques
est adéquate : couverture des besoins du business, moyens en ordre de marche, procédures
existantes et connues, tests et exercices réguliers...
La gestion de la crise, matérialisée par les réunions du comité de crise, comprend des décisions
importantes comme le déclenchement du PCA, la bascule sur des moyens alternatifs de production
(site de secours, locaux de repli…), comme la gestion opérationnelle de ces moyens de secours et
enfin la décision de revenir aux moyens/sites normaux (quand cela est possible bien sûr).
Le RSSI doit alors être un acteur dès la prise de ces décisions, en relation bien évidemment avec le
métier et les autres fonctions de support. Son avis, pour les SI, doit éclairer les décisions du directeur
informatique (déclenchement du PSI/DRP…).
Les Risques
8
Les deux rôles RSSI et RPCA ne sont pas incompatibles et peuvent donc être exercés par la même
personne/entité.
Dans ce cas, des garde-fous et des définitions précises des rôles et responsabilités de chaque acteur
doivent être formalisés pour bien couvrir toutes les dimensions et pas seulement la partie SI.
A contrario, cette dimension "disponibilité" ne doit pas prendre le pas, et donc occulter, les trois autres
dimensions (I-Intégrité/C-Confidentialité/P-Preuve et Contrôle) et mettre le RSSI en conflit d'intérêt.
Enfin, les aspects logistiques, humains, sanitaires, immobiliers, communications… inhérents au
traitement d'une crise d'indisponibilité, doivent être traités de concert avec les entités en charge
(Moyens généraux, DRH, Direction de la communication…) et pas par le RSSI/RPCA seul.
8
RPCA = Responsable Plan de Continuité de l’Activité
14
de la Sécurité
Thème Contrôle Interne
Synthèse
Le RSSI est un promoteur et un acteur du contrôle permanent. C’est lui qui anime l’auto-évaluation
de la sécurité du système d’information. Il est une source d’informations pour le contrôle interne tant
permanent que périodique, et concrètement c’est lui qui produit l’état de la sécurité SI qui est inclus
dans le rapport de contrôle interne réglementaire.
Le RSSI n’appartient pas à l’organe responsable du contrôle périodique (audit/inspection). Sa
mission peut naturellement être auditée, inspectée.
Contexte
Le contrôle interne, organisé par le CRBF 97-02, précise, dès les dispositions générales, qu’il a
notamment pour objet « de vérifier la qualité des systèmes d’information et de communication »
(article 5 e). Il ajoute que « les entreprises assujetties [au CRBF 97-02] doivent déterminer le niveau
de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. Elles veillent au
niveau de sécurité retenu et à ce que leurs systèmes d’information soient adaptés. Le contrôle des
systèmes d’information doit notamment permettre de s’assurer que le niveau de sécurité des
systèmes d’informatiques est périodiquement apprécié et que le cas échéant les actions correctrices
sont entreprises » (article 14).
Le contrôle interne comprend un volet contrôle périodique et un volet contrôle permanent (article
6). Le contrôle périodique est effectué par des agents différents de ceux qui exercent le contrôle
permanent (article 6 b).
Le contrôle permanent est [notamment] assuré par [des] agents […] dédiés à cette fonction (article
6a).
« En cas de pluralité de responsables de niveau le plus élevé du contrôle permanent, un membre de
l’organe exécutif assure la cohérence et l’efficacité dudit contrôle » (article 7.1 dernier alinéa).
« Au moins une fois par an, les entreprises assujetties élaborent un rapport sur les conditions dans
lesquelles le contrôle interne est assuré » (article 42).
Le RSSI est, dans l’entreprise, le promoteur de la maîtrise des risques des systèmes d’information. À
9
ce titre, il exerce sans aucun doute une mission « Contrôle Permanent ». Il doit donc être intégré
dans le dispositif de contrôle permanent.
Son intégration dans ce dispositif facilite la prise en compte chez les acteurs Contrôle Permanent,
dédiés ou non, de l’analyse des risques SI au même titre que les autres analyses de risques et la mise
en œuvre dans ce même dispositif des contrôles permettant d’en assurer la maîtrise.
Globalement, le RSSI a ainsi une légitimité naturelle dans tous les dispositifs de construction et
d’animation du contrôle permanent quel que soit le modèle organisationnel du contrôle permanent.
Si, par exemple, le contrôle permanent est organisé avec un pilotage central et une mise en œuvre
locale (par exemple, au niveau des directions ou des métiers), il participera à la définition des objectifs
de maîtrise de risques au niveau central et appuiera la mise en œuvre au niveau local. Ainsi, en
ouvrant au RSSI le réseau des correspondants locaux Contrôle Permanent, que ceux-ci soient dédiés
ou non à la fonction, cette intégration lui permet de s’appuyer sur ce réseau pour faire remonter les
informations en provenance du terrain (notamment des auto-évaluation sur la maîtrise des risques SI)
et servir d’appui pour la mise en œuvre de la politique SSI.
L’exercice des missions de contrôle permanent et de contrôle périodique doit être effectué par des
personnes différentes pour qu’elles ne soient pas juge et partie. Le RSSI, qui exerce des fonctions de
Contrôle Permanent, n’appartient pas à l’organe en charge du Contrôle Périodique. Par contre, il est à
9
Il faut lire « être intégré » au sens participer de manière intégrée au dispositif mais pas nécessairement en étant
rattaché hiérarchiquement au responsable du Contrôle Permanent. Par contre, il faut a minima une coordination
efficace.
15
de la Sécurité
la fois source d’informations pour le Contrôle Périodique et destinataire d’informations en provenance
de celui-ci, notamment pour lui permettre d’intégrer les recommandations des inspections.
Les Risques
Cette intégration de la maîtrise des risques SI dans les fonctions de contrôle permanent, au même
titre que la maîtrise des autres risques, ne doit pas faire oublier la nécessité de cette approche
spécifique d’analyse de risques SI.
En effet, s’il s’agit de faciliter l’intégration dans l’action « habituelle » de chacun, il est encore utile
10
aujourd’hui d’organiser une animation spécifique SSI au sein de la maîtrise des risques. Si, par
exemple, on rapproche la maîtrise des risques SI et les grandes catégories de risques opérationnels,
on voit bien qu’on ne peut pas réduire la maîtrise des risques SI à la maîtrise de la seule catégorie
« Interruption d’activités et dysfonctionnement des systèmes ». Cette maîtrise touche aussi d’autres
catégories notamment la « Fraude externe », la « Fraude Interne », ou l’ « Exécution, livraison et
gestion des processus ».
L’existence d’acteurs dédiés SSI participant au plus haut niveau du Contrôle Permanent (et des
instances de décision de l’entreprise) est une condition nécessaire à l’efficacité du Contrôle
Permanent sur le domaine SI notamment lorsque ceux-ci sont complexes, comme c’est le cas dès que
l’entreprise atteint une certaine taille. Leur nombre et leurs niveaux devront, naturellement, être
cohérents avec la structure de gouvernance de l’entreprise et de son Contrôle Permanent.
L’impossibilité d’intégrer à un niveau suffisant la maîtrise des risques SI dans le Contrôle Permanent
conduira à renforcer le Contrôle Périodique sur le SI.
Enfin, n’oublions pas que la mission du RSSI ne s’arrête pas à l’aspect restrictif du contrôle qui se
cantonnerait à une simple vérification. Il doit s’agir d’un contrôle au sens maîtrise comme le joueur de
football contrôle son ballon alors que l’arbitre se contente de le vérifier. Ce qui est, bien sûr, le rôle
d’un Contrôle Permanent. La mission du RSSI nécessite notamment la mise en place de politique, de
la sensibilisation, du conseil, de la prévention. Ainsi, il faudra s’assurer que son intégration au
dispositif de Contrôle Permanent n’amène pas le RSSI à négliger ces missions essentielles de
prévention et d’assistance pour la maîtrise des risques SI.
10
Sécurité du Système d’Information
16
de la Sécurité
Thème Maîtrise d’Ouvrage des projets de sécurisation
Synthèse
Être la maîtrise d’ouvrage de projets de sécurisation n’est pas un objectif permanent et à long terme
du RSSI.
Cependant, que le RSSI assume ce rôle, pour amorcer voire même conduire un projet de sécurisation
qui a du mal à démarrer, peut être pertinent, si c’est de manière temporaire et exceptionnelle et sous
réserve de précautions indispensables. Le RSSI joue alors le rôle d’un « promoteur » de projet,
n’étant ni le futur utilisateur ou bénéficiaire direct, ni le futur exploitant.
Contexte
Il n’est pas simple de gérer des projets de sécurité, qui apportent soit de nouvelles fonctionnalités aux
11
12
métiers (émission de certificats par PKI , SSO , logiciels d’aide aux contrôles internes…), soit un
meilleur niveau de sécurité sur des infrastructures existantes (durcissement des systèmes ouverts
Windows ou Unix, cloisonnement des réseaux…).
Bien que convaincus du bien fondé des progrès à accomplir en matière de sécurité sur leurs
infrastructures, les acteurs de terrain au quotidien sont le plus souvent démunis de marges de
manœuvre pour conduire, en parallèle avec leurs tâches courantes, des projets lourds en temps et en
changements induits.
Par ailleurs, il est parfois délicat de désigner le maître d’ouvrage du développement de nouvelles
fonctionnalités transversales à l’entreprise. Il ne faut pas que le projet se cale sur les seuls besoins du
premier métier utilisateur.
En outre, les nécessaires changements de comportement ou d’organisation pour obtenir un bon
niveau de sécurisation (limitation des droits, contrôles à inscrire dans la durée, etc.) sont parfois
difficiles à obtenir de l’intérieur même des équipes.
Enfin, les budgets de tels projets sont assez conséquents et ne peuvent généralement pas être
absorbés dans des budgets récurrents, propres à une seule entité.
C’est pourquoi, une maîtrise d’ouvrage, clairement identifiée, dotée d’un budget sanctuarisé, et devant
répondre de l’avancement de tels projets, constitue un atout pour l’entreprise, pour mener à bien, non
seulement les réalisations techniques, mais également les changements d’organisation ou les
évolutions de comportement afférents dans tous les métiers (y compris au sein d’équipes
informatiques le cas échéant).
Confier la maîtrise d’ouvrage au RSSI induit plusieurs avantages.
D’une part, du côté de la maîtrise d’ouvrage.
Le RSSI connaît tous les projets de sécurisation. Il assure la cohérence entre eux et peut en faire
facilement la synthèse. Il peut conduire des actions de fond, dans la durée. Il peut se saisir de sujets
de sécurisation en déshérence, le plus souvent par manque de ressources (pour finaliser un
diagnostic, pour engager des actions correctrices …). Il peut financer des actions urgentes non
budgétés par des métiers ou des services techniques. Il peut conforter des changements
d’organisation ou de comportements par la mise à disposition d’outils d’aide à la gestion et au contrôle
de la sécurité. Enfin, étant directement responsable du budget de mise en œuvre de sa politique, le
RSSI n’oubliera pas de prévoir les moyens nécessaires à la prise en compte de la sécurité sur le
terrain. L’entreprise peut en espérer un meilleur niveau de sécurité global.
11
12
PKI = Private Key Infrastructure
SSO = Single Sign On
17
de la Sécurité
D’autre part, du coté de la maîtrise d’œuvre (= la direction informatique).
Celle-ci peut se consacrer pleinement à son rôle de réalisateur, puis d’exploitant d’infrastructures
techniques de sécurité.
Les deux entités, RSSI et direction informatique, contribuent ainsi à l’amélioration de la sécurité, au
bénéfice de tous les métiers de l’entreprise.
Enfin, le RSSI étant directement dans les organes de direction de ces projets, il peut jouer le rôle de
modérateur et enrayer d’éventuelles surenchères fonctionnelles ou techniques : il est parfois, au plus
grand étonnement de tous, le « …Monsieur MOINS … » de la sécurité.
Les Risques
Quand le RSSI est maître d’ouvrage, il devient juge et partie.
Que le RSSI ne soit pas uniquement le gardien d’exigences élevées de sécurité et qu’il ait à arbitrer
lui-même les modalités d’application de ses principes, peut légitimement être vu comme un risque.
En effet, s’il prend pleinement ses responsabilités de maître d’ouvrage, le RSSI sera appelé à faire
des arbitrages entre sécurité/budget/délais.
Pour ne pas affaiblir la sécurité, le RSSI doit proposer ces arbitrages, clairement, devant un comité de
pilotage.
Par ailleurs, la maîtrise d’ouvrage risque d’empiéter sur la maîtrise d’œuvre. Il s’agit d’un risque
commun à tous les projets. Il est indispensable que, dans le cas de ces projets de sécurité, le choix
des produits, l’exploitation, les évolutions des produits relèvent clairement de la responsabilité de la
maîtrise d’œuvre. Sinon les hommes-sécurité se transformeraient en informaticiens, et la dualité
(maîtrise d’ouvrage /maîtrise d’œuvre) disparatrait à nouveau, et tous les bénéfices attendus avec.
En dernier ressort pour garantir l’entreprise contre les risques cités, la direction pourra mobiliser l’Audit
qui lui apportera un jugement impartial sur le niveau de sécurité réellement atteint à l’issue du projet,
ainsi que sur la conduite du projet.
Quand le RSSI mène en personne des projets de sécurité, l’entreprise court le risque que la sécurité
ne soit plus traitée que dans les projets où le RSSI est maître d’ouvrage, et où le RSSI apporte de
l’argent.
Ce risque est loin d’être négligeable. Il convient donc de rappeler que le but final de toute politique de
sécurité, est que la sécurité soit intégrée dans les projets, dans les procédures d’exploitation, dans les
contrôles, dans les unités, etc., et que la sécurité ne soit pas considérée comme un ajout ou une
option.
A un stade futur de maturité de l’entreprise, chaque métier, y compris la direction informatique, aura
intégré la sécurité dans ses projets, dans ses budgets, et cela très en amont. Alors, le RSSI ne sera
plus jamais sollicité pour jouer le rôle de parrain de substitution.
18
de la Sécurité
Thème Gestion des accréditations
Synthèse
Le RSSI doit être à l’initiative de la mise en œuvre et du contrôle de la démarche. Il est garant de son
bon fonctionnement. Il doit apporter aux décideurs les supports méthodologiques permettant
d’objectiver leurs choix, ainsi que leur permettant de fixer le besoin de sécurité des ressources sous
leur responsabilité et enfin de mettre en œuvre le processus complet d’accréditation – contrôle
permanent et périodique inclus.
Dans des structures de moyenne importance, il peut être vu comme un « super administrateur » de
l’accès aux données.
Contexte
L’accès aux Systèmes d’Information (et l’utilisation des ressources et données qu’ils contiennent) fait
l’objet de contrôles et d’attributions individuelles. Ces règles générales sont définies dans la Politique
de sécurité.
Au plan opérationnel, la gestion des droits d’accès et des droits d’utilisation est généralement réalisée
au sein de chacune des entités propriétaires (ou à défaut maîtrise d'ouvrage) des SI et au plus près
des utilisateurs.
L’accès à une ressource d’un système d’information est obtenue par l’adéquation permanente (et si
possible automatisée) entre les besoins de sécurité définis pour cette ressource et les « droits d’en
connaître » de l’utilisateur.
Chaque propriétaire d’une ressource (données, traitement, application…) définit les profils et le niveau
de sécurité requis.
La gestion de ces attributions et des contrôles compose la Gestion des Accréditations.
En général, les managers locaux ont en charge la gestion opérationnelle des accès, le suivi et le
traitement des incidents, ainsi que le suivi de l’activité. Ils ont également un devoir d’alerte en cas de
dysfonctionnement grave et/ou répétitif vis-à-vis du RSSI et du propriétaire du SI.
Le RSSI est garant du respect des règles définies dans la Politique de sécurité et assure la cohérence
des profils et droits associés entre les différents SI de la banque.
Le RSSI assure sa mission de contrôle auprès des propriétaires des ressources en validant que le
niveau requis pour l’accès à ces ressources est conforme à la Politique de sécurité, ou en proposant
des profils types aux propriétaires des SI afin d’assurer le premier niveau de cohérence.
Afin de maintenir le niveau de sécurité de la banque, le RSSI peut proposer la mise en place d’une
organisation interdisant le cumul des droits. Dans ce cas, et en accord avec le propriétaire du SI, le
RSSI assure le contrôle de deuxième niveau et l’informe en cas de dysfonctionnement.
Le Propriétaire du SI conserve son autorité et le RSSI garde une position de contrôle et d’alerte.
Dans une structure centralisée de moyenne importance, le RSSI peut avoir également un rôle plus
opérationnel dans la validation et le contrôle. Il peut être considéré comme l’administrateur de plus
haut niveau.
Les Risques
Dans une structure moyenne, le RSSI est tenté de devenir le « super administrateur » voire le
gestionnaire des accréditations et le cumul des fonctions est de facto. Il doit alors être lui-même
contrôlé. Il en est de même dans toute structure si le RSSI est lui-même propriétaire d’un système
d’information.
19
de la Sécurité
Thème Juridique
Synthèse
13
Le RSSI est un citoyen et un cadre de l’entreprise. Il a ainsi les droits et les devoirs du citoyen et du
cadre. Il peut tenir de la hiérarchie des délégations de pouvoir spécifiques au sein de l’entreprise.
Le domaine qu’il a en charge comporte de nombreuses interactions avec le domaine juridique et il est
indispensable qu’il organise une relation interactive avec les spécialistes juridiques au sein de son
entreprise.
Contexte
Des lois et des règlements de plus en plus nombreux forment un ensemble auquel le RSSI doit se
conformer dans son action.
Elles concernent aussi bien les normes à respecter pour exercer l’activité de l’entreprise (par exemple,
pour la banque : le CRBF 97-02 ou l’article L. 511.33 du Code monétaire et financier relatif au secret
bancaire), que pour garantir les droits et obligations sur le plan civil et pénal, de l’entreprise, de ses
clients et de ses collaborateurs (par exemple : la loi Informatique et Libertés du 6 janvier 1978
modifiée par la loi du 6 août 2004, la loi pour la Confiance dans l’Economie Numérique du 21 juin
2004, les articles 266-15 et 432-9 du Codé Pénal relatifs à l’interception et la destruction de
correspondances privées).
Sur le plan opérationnel, le RSSI peut être concerné par des procédures judiciaires impliquant le
système d’information de l’entreprise dont il a en charge la sécurité.
Une relation organisée entre les spécialistes juridiques et le RSSI, où ils peuvent échanger avec les
spécialistes du système d’information et de sa sécurité, permet, par exemple, grâce à une veille
juridique active d’anticiper les évolutions législatives et réglementaires.
La mise en œuvre de la SSI et de sa Politique Générale de la Sécurité du Système d’Information doit
s’établir en conformité avec les lois et règlements. Cela signifie que le RSSI sera amené à valider son
action avec la direction juridique et la direction de la conformité.
Des points de rencontre réguliers sur des projets pluridisciplinaires permettront au RSSI de mettre en
œuvre sa politique de manière sécurisée sur le plan juridique (exemple : la charte de l’utilisateur de la
messagerie ou d’Internet nécessitera de consulter la direction juridique, la direction des ressources
humaines et celle de la conformité).
Les Risques
La clarté des délégations que reçoit le RSSI est un atout pour éviter les problèmes futurs.
Le RSSI ne doit pas se substituer à la mission confiée à la direction juridique dans la relation de
l’entreprise avec les autorités judiciaires. Il ne peut intervenir qu’en appui de celle-ci.
13
RSSI = Responsable Sécurité du Système d’Information
20
de la Sécurité
Conclusion
En synthèse, le RSSI est un homme ou une femme d’expérience qui assure une fonction transversale.
Il ou elle doit avoir des qualités de communiquant et se poser comme un facilitateur. Sa fonction
s’exerce pour prévenir un danger. Son efficacité se mesure au travers de la maîtrise des risques SI
par l’entreprise. Son action et celle de ses correspondants au sein de l’entreprise doivent permettre
aux différents acteurs de connaître les risques encourus, de les réduire et d’assumer les risques
résiduels. Sa position au sein de la société dépend de l’histoire, de la culture de l’entreprise, mais
aussi de sa taille. Il ne peut être réellement efficace pour l’entreprise que s’il est proche de la direction
générale. Le RSSI aura réussi sa mission si la maîtrise des risques SI est tellement intégrée à la vie
de l’entreprise qu’il n’y a plus nécessité absolue d’une animation spécifique. Il y a dix ans nous
pensions pouvoir le faire en quatre ans. C’est encore le cas aujourd’hui! Excès d’optimisme ?
21
de la Sécurité
22
de la Sécurité
LISTE DES MEMBRES DU GROUPE DE TRAVAIL
Ce document a été rédigé par le groupe de travail « Fonction RSSI »
Jacques Sarrasin, LCL, animateur du groupe de travail, remercie :
-
ceux qui ont activement participé à la rédaction des fiches :
Frédéric
Gil
Jean-Pierre
Jean-François
Eric
Gilles
-
LA BANQUE POSTALE
CALYON
BANQUE DE FRANCE
SOCIETE GENERALE
BANQUES POPULAIRES
BNP PARIBAS
CHAVOUTIER
DELILLE
DELMAS
LAMBILLOTTE
LARCHER
MAWAS
et tous ceux qui ont également contribué, dont notamment :
François
Joël
Patrick
Wilfrid
Marie-Agnès
SOCIETE GENERALE
MINISTERE DE LA JUSTICE
GROUPE LA POSTE
FORUM DES COMPETENCES
BANQUE FINAMA
COUPEZ
FERRY
LANGRAND
GHIDALIA
PLURIEN
23
de la Sécurité

Thème Contrôle Permanent

Transcription

Documents pareils

UN RESPONSABLE DE LA SECURITE DU SYSTEME D

Politique de Sécurité Interne

Organigramme direction des systèmes d`information

SENSIBILISER L`UTILISATEUR À LA VALEUR

Responsable sécurité des systèmes d`information

Création d`un nouveau Papier à lettres

Mise à jour de la recommandation

Cycle INHESJ-CIGREF - Entreprise et fonction des participants

Julien ROYERE