RGPD : Quel rôle pour le RSSI ?

Le Règlement Général sur la Protection des Données personnelles (RGPD), entré en application le 25 mai 2018, amène les Responsables de la Sécurité des Systèmes d’Information (RSSI) à être sollicités dans le dispositif de mise en conformité des organismes. Se pose alors la question de leur degré d’implication dans le projet de mise en conformité. 

Pour y répondre nous vous proposons d’aborder trois sujets sous la forme de trois articles :

• Une clarification du rôle du RSSI dans l’entreprise qui comme nous le verrons a évolué au cours du temps 
• La complémentarité des missions du DPO et du RSSI
• Les travaux du RSSI qui permettent d’accélérer la mise en conformité

Le RSSI, d’expert technique à pilote de la stratégie de sécurisation du SI.

De l’expert sécurité au responsable de la sécurité

L’image et le rôle du Responsable de la Sécurité du Système d’Information (RSSI) ont considérablement évolué en 30 ans. 

Au début, le RSSI issu le plus souvent des infrastructures informatiques et réseaux avait un rôle d’expert technique. La sécurité était traitée au travers de chantiers d’infrastructure avec la mise en place de firewall, proxy ou autre anti-virus. A cette époque, on travaillait plus sur ce que l’on appelle la sécurité périmétrique qui consiste à créer un mur de protection entre l’extérieur du SI et l’intérieur du SI. 

Puis les fondements de la sécurisation du SI ont été posés avec notamment l’arrivée des normes ISO 2700x publiées dans les années 2000 et transformant radicalement la posture du RSSI au sein des entreprises. 

D’un ensemble de projets et d’activités indépendantes, nous sommes passés à une vision globale, transversale de la sécurisation d’un système d’information autour de la roue de Deming (Plan-Do-Check-Act). 

La sécurisation d’un SI se construit au travers de la définition d’une politique de sécurité, accompagnée de mécanismes de contrôle, d’audit en passant par des outils de reporting et par la mise en place de processus et procédures opérationnelles. 

Cette évolution du métier de RSSI a grandement amélioré la sécurisation des systèmes d’information. 

• une démarche d’amélioration continue (le SMSI) ;
• une démarche d’optimisation des investissements en fonction des risques (pertinences des investissements) ;
• un principe de sécurisation en profondeur qui en plus des protections périmétriques couvre
• la sécurisation des réseaux au travers de leur segmentation, 
• la sécurisation des hôtes (postes de travail et serveurs) notamment dans un contexte de nomadisme, 
• la sécurisation par l’humain qui consiste à porter son attention sur les risques pouvant venir du personnel et pouvant toucher ce dernier. 

Ainsi le RSSI des années 2010 organise et supervise la sécurité des systèmes d’information de son organisme. 

“Le RSSI n’est plus le maître d’œuvre de la sécurité, il en assure la maîtrise d’ouvrage.” 

Il est chargé de définir la politique de sécurité, de mettre en place des processus pour s’assurer que celle-ci soit appliquée et mise en œuvre. Il a pour objectif de garantir la confidentialité, la disponibilité, l’intégrité du système d’information et la traçabilité des actions qui sont amenées à le faire évoluer. Sans renier son expertise technologique ou informatique, le RSSI  se doit de travailler sur un périmètre plus large. 

• Les infrastructures informatiques qui permettent de faire fonctionner le SI. On entend par là les composants classiques que sont les moyens de communication (réseau informatique, télécoms), les environnements d’hébergement des infrastructures (Data center, salle machine, etc.), les serveurs informatiques, etc.
• Le capital informationnel de l’entreprise ;
• La configuration liée à l’utilisation des locaux pour définir les zones à sécuriser et les principes d’accès physique à l’entreprise ;
• Les personnes au travers de formation et de sensibilisation des personnels aux problématiques de sécurité ;
• Les processus en mettant en place les mécanismes de surveillance, d’audit et de gestion d’incidents, voire de crise.

Le travail collaboratif au cœur de la réussite des objectifs de sécurisation du SI de demain

Pour le RSSI des années 2020, cette évolution dans son rôle et sa posture va continuer. 

Il devra poursuivre son travail de communication, de formation et de sensibilisation des personnels et du management. Ceci doit permettre d’améliorer son positionnement pour ne plus être vu comme un frein au développement des nouveaux projets mais comme un partenaire du bon fonctionnement de l’entreprise. 

C’est pourquoi nombre de RSSI ont mis en place un réseau de correspondants SSI, cheville ouvrière de la sécurité dans l’entreprise. Ces correspondants sont des experts techniques, des administrateurs de base de données, des administrateurs système, des experts juridiques, des responsables d’applications, des référents métiers (experts processus métiers), etc. C’est sur ces correspondants que  le RSSI va s’appuyer pour définir et faire évoluer les règles de sécurité, pour veiller à leur bonne application, pour évaluer les risques et pour identifier les incidents/les menaces.

Ce rôle de partenariat qu’il a pu développer avec les autorités judiciaires ou administratives ou encore la DSI va donc devoir se renforcer vis-à-vis des directions métiers. 

« Le bon RSSI est devenu force de proposition pour concilier enjeux business et sécurisation du SI »

Pour être un bon RSSI, il devra être force de proposition pour trouver des solutions qui répondent aux besoins et aux enjeux métiers tout en protégeant le SI. 

L’arrivée des nouveaux interlocuteurs que sont les « DPO » ou les « Risk Manager » va obliger les RSSI à travailler de plus en plus sur les aspects conformités réglementaires (RGS, RGPD, etc.).

Ceci se traduira au quotidien par la mise en place des règles communes et des processus communs de pilotage. Lors des phases de mise à jour de sa PSSI, ces acteurs réfléchiront ensemble à une adaptation des règles, des mesures de sécurité ou des processus à mettre en place. 

Les nouveaux enjeux du SI, une opportunité pour le RSSI

Appréhender la gestion des risques pour aborder les nouveaux enjeux des SI.

Ces dernières années ont vu les systèmes d’informations s’ouvrir de plus en plus (vision client multicanal, partage de données entre magasins, etc.) avec une utilisation des outils du SI en mobilité (télétravail, externalisation d’activité, utilisation de solution SaaS, etc.), la proposition de nouveaux services aux clients (application mobile ou web). Cette tendance rend plus difficile le contrôle de la sécurité du SI pour le RSSI des années 2020. 

Pour y faire face, il faut passer d’une posture de détection/réaction à une posture d’anticipation. 

Cette évolution se concrétise dans son quotidien par une généralisation et une industrialisation des démarches d’identification des risques liés au système d’information dans l’entreprise. Ceci est d’autant plus nécessaire qu’avec la recrudescence des incidents de sécurité (vol de données, attaques de ransomware, etc.), les entreprises françaises considèrent maintenant les cyber-incidents comme le premier risque d’entreprise selon le baromètre 2019 d’Allianz.

Un nouveau cycle pour le RSSI au sein de son organisme

Le RSSI de demain se doit donc de renforcer ses démarches d’analyse de risque pour mieux comprendre les différents scénarios de menaces qui se complexifient. Il pourra s’appuyer sur de nouvelles méthodes d’analyse classique orientée défense ou celles orientées attaque telles qu’EBIOS RM. Il complétera ses stratégies de résilience du SI en mettant en place des Plans de Continuité d’Activité (PCA/PRA) avec une démarche de gestion de crise qui permettra de faire face aux cyber-incidents, aux pertes de ressources humaines, aux pertes de fournisseurs et pas qu’à une perte de la salle machine. 

Dans les années à venir, le rôle du RSSI au sein de l’entreprise va donc se renforcer et non être dilué avec l’arrivée des nouveaux acteurs tel que le DPO. 

Son activité d’élaboration d’une stratégie de défense du SI et de préservation du bon fonctionnement des mesures de sécurité du SI va devenir cruciale pour son organisme. 

L’impact de ses décisions et de ses actions aura un effet majeur sur le développement de son entreprise. 

Pour réussir ce nouveau cycle, le métier du RSSI va requérir plus d’outillage (méthode, logiciel), plus d’aspect partenarial (management, communication) et plus de visibilité/lisibilité au travers de reporting à destination des COMEX notamment. 

Il doit donc s’impliquer pleinement dans la démarche de conformité au RGPD et devenir un copilote avec le DPO de ce projet. Ses objectifs de sécurisation du SI de son entreprise en dépendent.