Livrable FONCTION RSSI

Rapport du groupe de travail Fonction RSSI - avril 2007
Le RSSI, dans les faits, dix ans aprs le Livre blanc

1
dela Scurit
des Systmes dInformation

de la Scurit

Le RSSI, dans les faits,
dix ans aprs le Livre blanc
- -R Ra ap pp po or rt t d du u g gr ro ou up pe e d de e t tr ra av va ai il l
F Fo on nc ct ti io on n R RS SS SI I, , d di ix x a an ns s a ap pr r s s l le e l li iv vr re e
b bl la an nc c

2
dela Scurit

3
dela Scurit

Remerciements

Le Forum des Comptences de la Scurit des Systmes
dInformation remercie ses Etablissements Membres qui ont particip la
rflexion et la rdaction de cet ouvrage prsentant


Dans le cadre de la protection du patrimoine Informationnel des entreprises.
Il tient remercier particulirement les personnes du groupe de travail

Fonction RSSI, dix ans aprs le livre blanc
qui ont contribu cet ouvrage

4
dela Scurit

5
dela Scurit

Sommaire

Introduction ............................................................................................ 7

Thme Mtiers ....................................................................................... 9

Thme Politique ................................................................................... 10

Thme In-formation ........................................................................ 12

Thme Plan de Continuit de lActivit - PCA ...................................... 14

Thme Contrle Interne ....................................................................... 15

Thme Matrise dOuvrage des projets de scurisation ........................ 17

Thme Gestion des accrditations ....................................................... 19

Thme Juridique .................................................................................. 20

6
dela Scurit

7
dela Scurit

Introduction

O en est la fonction de responsable de la scurit du systme dinformation (RSSI) dix ans aprs sa
naissance? partir de nos expriences diverses et du recul acquis, un groupe de travail (Le RSSI
dans les faits, 10 ans aprs le Livre Blanc) a t cr pour faire le point sur ce sujet au sein du Forum
des Comptences*. Depuis dix ans, lenvironnement du RSSI sest complexifi. Sous lautorit de la
direction gnrale, en appui du contrle permanent, sa mission la conduit travailler avec les
directions mtiers de la banque ainsi quavec la direction informatique, en bnficiant du support des
directions de la communication, des ressources humaines et de la direction juridique, en collaborant
avec les risques oprationnels, les assureurs et la conformit, en dialoguant avec le contrle
priodique. Tout en respectant les directives de la Commission bancaire, en sappuyant sur le Livre
Blanc, Ble II, le CRBF 97-02, les normes, sans oublier la CNIL, lAMF, le CFONB, la BRI et le
tableau est loin dtre complet.
Le RSSI assume une fonction transversale par excellence. Son environnement est marqu par une
acclration des changements: les systmes dinformation (SI) sont, notamment, de plus en plus
ouverts sur lextrieur.
COMMENT AVONS- NOUS PROCD ?
Pour raliser cette tude, le Forum a recens auprs de ses membres, les diffrentes missions
unitaires assures par les uns et les autres ; celles-ci ont t classes par thmes. Puis un
questionnaire a t ralis et il a t demand chaque RSSI de se positionner par rapport ces
missions. Les rsultats ont t dpouills et trois catgories ont merg : les missions que la majorit
des RSSI dclare assurer, celles qui sont hors champs et celles qui font lobjet de dbats au sein du
groupe de travail.
QUEN EST-IL AUJOURDHUI?
Il apparat que les RSSI sont les rdacteurs de la politique de scurit du systme dinformation et des
chartes relatives la scurit du systme dinformation. Ils participent des comits de scurit de
haut niveau prsids par la direction gnrale ou un membre du comit de direction gnrale. Cest ici
quils exercent une part significative de leur devoir dinfluence. Ils assistent galement au comit de
pilotage des grands projets informatiques; ils contribuent llaboration des plans de continuit
dactivit (PCA) et sont membres de cellules de crise dcisionnelles. En aval de ces instances
dcisionnelles, ils animent dans les mtiers bancaires, des rseaux de correspondants scurit du
systme dinformation et jouent auprs de ces derniers, un rle de conseiller. Ils ont une fonction de
sensibilisation et de conception des formations Scurit du Systme dInformation (SSI). Lidal serait
que la SSI fasse systmatiquement partie du contenu standard de la formation pour un poste. Les
RSSI participent aux formations, en tant quanimateurs ou coanimateurs. En matire de contrle, les
RSSI sont promoteurs et acteurs du contrle permanent. Ils animent, par exemple, une auto-
valuation de la scurit du systme dinformation. Ils contribuent au rapport de contrle interne
rglementaire pour son volet systme dinformation et peuvent tre amens le prsenter au comit
daudit, dont ils ne sont cependant pas membres. En revanche, le RSSI nest pas prescripteur, ni
acheteur dune solution technique qui doit se conformer ce qui est dfini dans la politique SSI. Il
nest pas non plus le gestionnaire de composants techniques. Enfin, il ne fait pas partie de lorgane du
contrle priodique : sa mission peut naturellement tre audite et inspecte. Entrer ces deux bornes,
se dcline un certain nombre de missions qui font lobjet de dbats sur le fait de savoir si elles relvent
ou non du poste du RSSI. Les situations varient en fonction de chaque tablissement, mais visent en
gnral tablir un quilibre harmonieux entre les prrogatives du RSSI, du responsable des PCA et
de celui des risques oprationnels dont la fonction a t cre le plus souvent bien aprs le Livre
Blanc.

8
dela Scurit

Lgende :

Les fiches qui suivent dtaillent nos rflexions selon les thmes que nous avions retenus.

AMF : Autorit des marchs financiers

BCE : Banque centrale europenne
BDF : Banque de France
BRI : Banque des rglements internationaux
CFONB : Centre franais dorganisation et de normalisation bancaires
CMF : Code montaire et financier
CNIL : Commission nationale de linformatique et des liberts
LCEN : Loi pour la confiance dans lconomie numrique
LSF : Loi sur la scurit financire
PP SBFI : Profil de protection pour services bancaires et/ou financiers sur Internet
RH : Ressources humaines

9
dela Scurit

Synthse
Nous animons des rseaux correspondants Scurit du Systme dInformation pour les mtiers
bancaires. Nous jouons galement un rle de conseillers pour ces mtiers. Nous assistons au comit
de pilotage des projets Systme dInformation stratgiques.
Contexte
Nous avons parl du devoir d'influence du RSSI vis vis des dirigeants de l'entreprise. Mais son
action serait trs partielle si le RSSI n'exerait aucune influence au niveau du terrain, des matrises
d'ouvrages, au coeur des projets.
En outre, le RSSI oeuvre souvent dans des environnements complexes. L'entreprise au sein de
laquelle il agit est, dans bien des cas, un groupe d'entreprises qui peut aussi tre gographiquement
tendu. L'action du RSSI dun tel Groupe serait trs virtuelle s'il ne s'appuyait pas sur un rseau de
correspondants, de relais, de dlgus.
Les plus de cette approche
Nous avons rappel dans lintroduction les missions inhrentes la charge des RSSI : mission de la
politique de scurit, participation active l'analyse de risque, sensibilisateur, valuateur... Il se doit
d'intervenir dans les projets, lorsque l'ide germe dans un mtier. Mais quel progrs pourrait on
escompter si le RSSI ne recevait que l'information mise dans l'immeuble o se situe son bureau et
n'influenait que les personnes gographiquement proches ?
En s'appuyant sur un rseau, le RSSI a davantage de chances de collecter une information
importante (dmarrage d'un projet, incident, faiblesse organisationnelle). En outre, il la collecte tt,
la source, encore peu dforme. Dans l'autre sens, il confie ses dlgus, rpartis dans les mtiers,
le soin de sensibiliser, de conseiller, d'analyser, d'valuer, de contrler de faon spcifique la nature
de la filiale, au mtier exerc. Le correspondant peut dcliner, dans une version acceptable
localement, la politique de scurit.
Il ne faut pas oublier qu'une filiale d'un grand groupe peut tre directement assujettie la
rglementation bancaire et financire. Dans ce cas, le correspondant du RSSI du Groupe n'est autre
que le RSSI de la filiale.
Enfin, la simple existence d'un rseau de correspondants accrot le nombre de personnes sensibles
la scurit dans l'entreprise, contribuant ainsi l'chafaudage d'une masse critique.
Les Risques
Animer un rseau ne consiste pas nommer des personnes. Il faut s'assurer que les correspondants
partagent tous la mme ide des mcanismes de gouvernance scuritaire, la mme conception de
leurs missions, la mme acception de leurs responsabilits.
Il est important qu'une documentation, rdige pralablement aux nominations, vite toute forme
d'autodtermination sur les points cits prcdemment. Il faut aussi qu'une documentation informe les
gens qui auront nommer un correspondant local sinon les malentendus sur les critres d'ligibilit du
correspondant seront nombreux.
Il est ncessaire que les dlgus locaux bnficient des mmes types de rattachement que leur
tuteur . En particulier, le rattachement une direction informatique locale est trs dfavorable.
Enfin, le rseau doit tre l'objet d'une animation permanente, sinon, il devient une collection de
personnes qui seront rapidement happes par d'autres missions. Le RSSI devra assurer un support
ractif de son rseau : les questions sur la technique, les mthodes devront tre traites rapidement
sinon le rseau se dlitera de lui mme.
Lorsque la structure locale est rduite, le correspondant local est souvent correspondant d'autres
filires de contrle (contrle permanent, risques oprationnels, Ble II). Il est important que le RSSI
et ses homologues d'autres filires harmonisent leurs exigences. Dans le pire des cas, un
correspondant doit pouvoir consacrer hebdomadairement un jour plein sa mission SSI.
Thme Mtiers
10
dela Scurit

Thme Politique
Synthse

Nous sommes les rdacteurs de la politique de scurit du Systme dInformation, et des chartes
1

relatives la Scurit du Systme dInformation.

Nous participons des comits de Scurit de haut niveau (prsids par le Directeur Gnral ou un
membre du comit de Direction Gnrale). Cest par ce comit que nous pouvons exercer une part
significative de notre devoir dinfluence. Cela montre limportance des qualits de communication
haut niveau du RSSI.

Contexte

La Politique Gnrale de Scurit des Systmes dInformations (PGSSI) dune entreprise, labore
par le RSSI, est promulgue et soutenue par la Direction Gnrale ; elle traduit sa volont et ses
exigences en matire de scurit des Systmes dInformation (SSI).
Le RSSI est le garant de sa mise en uvre et fait un reporting rgulier la Direction Gnrale sur
lvolution du risque et des carts existant entre cette politique et son application oprationnelle en
sappuyant ventuellement sur les corps de contrle.
Cette politique dfinit lorganisation, le champ dapplication et la responsabilit des diffrents acteurs.
Elle respecte les obligations rglementaires et promeut leur application. Elle doit dtre en accord avec
la gouvernance et la stratgie de lentreprise.


Le RSSI sappuie sur la PGSSI pour promouvoir une approche conomique de la SSI visant
atteindre un quilibre entre une prise de risques calcule et les dpenses relatives la scurit des
SI, afin dliminer les risques inacceptables.
La PGSSI est un cadre qui exprime les valeurs de la banque et les grands principes, cest une cible et
chaque mtier doit ensuite dvelopper sa propre politique et ses modalits dapplication, ou plutt ses
objectifs de matrise des risques scurit dans le cadre de la politique gnrale.
Bien que la forme puisse varier dune entreprise lautre, cette politique sappuie sur la mise en place
de domaines de confiance bass sur les valeurs de lentreprise et sur la classification des ressources
selon les critres de Disponibilit, dIntgrit, de Confidentialit et de possibilit de Preuve.
La PGSSI comporte un volet sensibilisation et formation ciblant toutes les catgories de personnel, de
la Direction Gnrale lutilisateur final, dans lobjectif dune plus grande responsabilisation de
lensemble des acteurs de lentreprise par rapport la SSI. Il sagit en particulier de renforcer les
maillons faibles de la chane de la scurit qui se trouvent souvent lis aux facteurs humains.
La capacit de raction aux incidents est aussi intgre dans la PGSSI, avec la prconisation dun
dispositif de veille en amont, dune analyse en forte concertation avec les lignes mtier en cas dalerte
ou dincident avr, puis, en aval, dune raction proportionne pouvant aller jusqua la mise en place
dun PCA
2
.
La PGSSI prconise galement la mise en uvre dun comit de pilotage de haut niveau et proche de
la Direction Gnrale, aliment rgulirement par un tableau de bord permettant dune part didentifier
les risques rsiduels, lvolution des menaces et les incidents avrs, dautre part de mesurer leffort
dploy et enfin dapprcier lefficacit des actions ainsi que les progrs accomplis. Ce tableau de
bord est complt par une enqute dauto-valuation sappuyant sur la norme ISO 17799 (ou ISO
2700x)

1 Dans le cas des chartes, le RSSI peut tre le contributeur un document Ressources Humaines
2 PCA = Plan de Continuit de lActivit
11
dela Scurit

Les dispositions de la PGSSI contribuent une communication proche des lignes mtiers et elles
permettent un dialogue permanent avec toutes les composantes de lentreprise, afin de faire passer
un message essentiel : la scurit, cest 80% dorganisationnel et 20% de technique .
Les Risques

La PGSSI doit dfinir clairement les responsabilits des divers acteurs intervenant sur le systme
dinformation ; elle doit spcifier la gouvernance mettre en place pour assurer la sparation des
pouvoirs afin de garantir, en particulier, que le RSSI ne soit pas juge et partie.
En rfrence au thme contrle interne, mme si la politique, avec le rglement intrieur qui en est
une partie intgrante, dfinit les sanctions applicables en cas de non-respect de la PGSSI, lexcution
de ces sanctions nest pas du ressort du RSSI.
Larticulation des entits en charge de la SSI avec les entits en charge des risques oprationnels et
des PCA, mais aussi de la conformit, doit aussi tre dfinie ; cette articulation peut aller dune
sparation forte jusqu' une intgration complte. Cest une dcision importante pour le risk
management de lentreprise qui relve donc de la direction gnrale.
12
dela Scurit

Thme In-formation
Synthse
Le RSSI a un rle de sensibilisation et de conception des formations SSI
3
. Il influence toujours le
contenu des formations (lidal serait que la SSI fasse partie du contenu des formations normales pour
un poste). Il participe aux formations (en collaboration ou non).
Contexte
La formation, la communication et la sensibilisation la SSI, que nous regroupons sous le terme
gnrique in-formation , sont primordiales afin daccompagner le dploiement dune politique de
scurit et sa comprhension par le plus grand nombre.

Le RSSI a donc pour mission de sassurer que toute personne ayant accs au SI soit in-forme de
faon la plus efficace voire efficiente possible, quelle que soit sa localisation gographique (France,
Europe, International), son statut (salari, stagiaire, prestataire en rgie) ou sa fonction
(manager/VIP, informaticien, utilisateur).

Il lui faut donc commencer par dfinir un plan d in-formation global, qui va mettre en parallle les
diffrentes populations identifies, les messages faire passer en priorit ainsi que les outils les plus
adapts (lettres dinformation, intranets, vidos, session plnires, formations techniques).

Cette dmarche devra tre coordonne avec la DRH
4
et notamment son dpartement formation
interne. Le RSSI sera gnralement matre douvrage sur ces programmes de formation mais pourra
parfois intervenir en matrise doeuvre sur certains sujets.

Si dfinir des rgles est ncessaire, elles ne seront suivies avec rigueur que lorsquelles seront
comprises. LHomme soppose dautant plus au changement et la discipline quil ne comprend pas
les raisons imposant la mise en place de normes et rglements constituant une PSSI
5
.

Cest pourquoi l in-formation est si importante. Une population sensibilise, non seulement, sera
plus rceptive et active dans lapplication de la PSSI, mais aura galement la capacit prendre les
bonnes dcisions lorsquelle sera confronte un choix pouvant impacter la scurit du SI (choix de
conception dune application sensible pour un architecte applicatif, effacement sans ouverture dun
fichier attach douteux par une assistante...). Par ailleurs, les diffrents acteurs de lentreprise auront
plus facilement le rflexe de prvenir lassistance informatique voire lquipe SSI en cas dvnement
inhabituel.

Enfin, la sensibilisation peut, dans certains cas, dcouler dune obligation lgale, notamment en
matire de protection des donnes personnelles. En effet, on ne peut pas se contenter de dfinir des
rgles (parfois trs trop ?- nombreuses) et chartes sans donner les moyens ncessaires pour
quelles soient correctement expliques ceux qui doivent les appliquer (cas, par exemple, des
commentaires proscrire au sein dun dossier client).
Les Risques
Mme sil peut sagir dun domaine relativement simple pour le RSSI, par rapport dautres sujets plus
complexes, lin-formation nest pas toujours si facile traiter.

3 SSI = Scurit du Systme dInformation
4 DRH = Direction des Ressources Humaines
5 On dsigne ici, sous le terme PSSI Politique de Scurit du Systme dInformation, toute la hirarchie de
normes scuritaires allant jusquaux chartes et procdures de plus bas niveau.
13
dela Scurit

Il faut en effet travailler en coordination avec la DRH, la communication interne et surtout ne pas
dvelopper plthore de canaux de communication / formation spcifiques qui rendraient la dmarche
difficile assumer dans le temps.

Par ailleurs, l in-formation doit tre rgulire sans tre trop prsente. Il faut trouver un juste
quilibre entre les actions mises en uvres et leur distribution dans le temps : trop de communication
simultane ou trop rapproche risque de la rendre inefficace. A linverse, si un temps trop important
scoule entre deux actions d in-formation , les populations concernes risquent de perdre les bons
rflexes rapidement. Il faut donc inscrire ces actions dans la dure et surtout sassurer que les
nouveaux venus seront galement in-forms quelques temps aprs leur arrive. Il est relativement
facile de faire une grande campagne de sensibilisation sur un site ou primtre gographique prcis
mais plus difficile de relancer des sances rgulires pour les nouveaux arrivants ou deffectuer une
piqre de rappel.

Il ne faut pas non plus que l in-formation soit surabondante par rapport aux actions, projets et
chantiers de scurit mis en uvre. On ne doit pas masquer ses checs par une communication
tout va.

En ce qui concerne la direction informatique, il faut faire attention aux actions de sensibilisation des
matrises douvrage qui, si elles taient faites en avance de phase sur la direction informatique,
pourraient entraner un dphasage important entre la vision scurit du client interne et de son
fournisseur (la direction informatique).

Enfin, l in-formation a souvent tendance servir de variable dajustement dans les budgets SSI au
profit dautres investissement apparemment plus stratgiques (PKI
6
, SSO
7
, gestion des habilitations,
etc.). Il est donc primordial de bien sensibiliser sa direction, peut tre mme en premier, afin quelle
comprenne que le retour sur investissement de lin-formation est beaucoup plus important quelle
ne peut limaginer

6 PKI = Private Key Infrastructure
7 SSO = Single Sign On
14
dela Scurit

Thme Plan de Continuit de lActivit - PCA
Synthse
Le RSSI est un contributeur majeur au plan de continuit des oprations de l'tablissement financier
(PCA / BCP Business Continuity Plan) et fait partie du processus de dcision de la cellule de crise.
Cest lui qui sassure, s qualit, de lexistence dun PSI Plan de Secours Informatique qui fait
naturellement partie du PCA et en est un lment essentiel. Lattribution dautres chapitres du PCA
(immeubles...) la mme personne est possible mais il faudra alors veiller ce que, au-del de
laspect SI, lensemble des aspects du PCA soit bien pris en compte.
Contexte
Le PCA couvre la continuit de toutes les oprations de l'tablissement financier (front/middle/back
office, fonctions support) et comprend donc aussi la continuit des oprations informatiques (PSI -
DRP : Plan de Secours Informatique - Disaster Recovery Plan).
La disponibilit est l'une des quatre faces de la ttralogie de la scurit (D-Disponibilit / I-Intgrit / C-
Confidentialit / P-Preuve et contrle) et rentre donc bien dans les responsabilits du RSSI, mais pour
cette dimension systme d'information.
L'extension aux aspects logistiques, organisation, back office peut tre discute au cas par cas.
Il est naturel et efficace que le maintien de la disponibilit des SI, en cas [1] de problme informatique
circonscrit (incident matriel ou logiciel, bogue applicatif, erreur humaine) et [2] de sinistre simple ou
extrme (panne d'lectricit, indisponibilit des locaux ou de personnels) soit trait de manire
similaire par un seul acteur, le RSSI. Le RSSI sassure que la continuit des oprations informatiques
est adquate : couverture des besoins du business, moyens en ordre de marche, procdures
existantes et connues, tests et exercices rguliers...
La gestion de la crise, matrialise par les runions du comit de crise, comprend des dcisions
importantes comme le dclenchement du PCA, la bascule sur des moyens alternatifs de production
(site de secours, locaux de repli), comme la gestion oprationnelle de ces moyens de secours et
enfin la dcision de revenir aux moyens/sites normaux (quand cela est possible bien sr).
Le RSSI doit alors tre un acteur ds la prise de ces dcisions, en relation bien videmment avec le
mtier et les autres fonctions de support. Son avis, pour les SI, doit clairer les dcisions du directeur
informatique (dclenchement du PSI/DRP).

Les Risques
Les deux rles RSSI et RPCA
8
ne sont pas incompatibles et peuvent donc tre exercs par la mme
personne/entit.
Dans ce cas, des garde-fous et des dfinitions prcises des rles et responsabilits de chaque acteur
doivent tre formaliss pour bien couvrir toutes les dimensions et pas seulement la partie SI.
A contrario, cette dimension "disponibilit" ne doit pas prendre le pas, et donc occulter, les trois autres
dimensions (I-Intgrit/C-Confidentialit/P-Preuve et Contrle) et mettre le RSSI en conflit d'intrt.
Enfin, les aspects logistiques, humains, sanitaires, immobiliers, communications inhrents au
traitement d'une crise d'indisponibilit, doivent tre traits de concert avec les entits en charge
(Moyens gnraux, DRH, Direction de la communication) et pas par le RSSI/RPCA seul.

8
RPCA = Responsable Plan de Continuit de lActivit
15
dela Scurit

Thme Contrle Interne

Synthse
Le RSSI est un promoteur et un acteur du contrle permanent. Cest lui qui anime lauto-valuation
de la scurit du systme dinformation. Il est une source dinformations pour le contrle interne tant
permanent que priodique, et concrtement cest lui qui produit ltat de la scurit SI qui est inclus
dans le rapport de contrle interne rglementaire.

Le RSSI nappartient pas lorgane responsable du contrle priodique (audit/inspection). Sa
mission peut naturellement tre audite, inspecte.
Contexte
Le contrle interne, organis par le CRBF 97-02, prcise, ds les dispositions gnrales, quil a
notamment pour objet de vrifier la qualit des systmes dinformation et de communication
(article 5 e). Il ajoute que les entreprises assujetties [au CRBF 97-02] doivent dterminer le niveau
de scurit informatique jug souhaitable par rapport aux exigences de leurs mtiers. Elles veillent au
niveau de scurit retenu et ce que leurs systmes dinformation soient adapts. Le contrle des
systmes dinformation doit notamment permettre de sassurer que le niveau de scurit des
systmes dinformatiques est priodiquement apprci et que le cas chant les actions correctrices
sont entreprises (article 14).

Le contrle interne comprend un volet contrle priodique et un volet contrle permanent (article
6). Le contrle priodique est effectu par des agents diffrents de ceux qui exercent le contrle
permanent (article 6 b).
Le contrle permanent est [notamment] assur par [des] agents [] ddis cette fonction (article
6a).
En cas de pluralit de responsables de niveau le plus lev du contrle permanent, un membre de
lorgane excutif assure la cohrence et lefficacit dudit contrle (article 7.1 dernier alina).
Au moins une fois par an, les entreprises assujetties laborent un rapport sur les conditions dans
lesquelles le contrle interne est assur (article 42).
Le RSSI est, dans lentreprise, le promoteur de la matrise des risques des systmes dinformation.
ce titre, il exerce sans aucun doute une mission Contrle Permanent . Il doit donc tre intgr
9

dans le dispositif de contrle permanent.
Son intgration dans ce dispositif facilite la prise en compte chez les acteurs Contrle Permanent,
ddis ou non, de lanalyse des risques SI au mme titre que les autres analyses de risques et la mise
en uvre dans ce mme dispositif des contrles permettant den assurer la matrise.
Globalement, le RSSI a ainsi une lgitimit naturelle dans tous les dispositifs de construction et
danimation du contrle permanent quel que soit le modle organisationnel du contrle permanent.
Si, par exemple, le contrle permanent est organis avec un pilotage central et une mise en uvre
locale (par exemple, au niveau des directions ou des mtiers), il participera la dfinition des objectifs
de matrise de risques au niveau central et appuiera la mise en uvre au niveau local. Ainsi, en
ouvrant au RSSI le rseau des correspondants locaux Contrle Permanent, que ceux-ci soient ddis
ou non la fonction, cette intgration lui permet de sappuyer sur ce rseau pour faire remonter les
informations en provenance du terrain (notamment des auto-valuation sur la matrise des risques SI)
et servir dappui pour la mise en uvre de la politique SSI.
Lexercice des missions de contrle permanent et de contrle priodique doit tre effectu par des
personnes diffrentes pour quelles ne soient pas juge et partie. Le RSSI, qui exerce des fonctions de
Contrle Permanent, nappartient pas lorgane en charge du Contrle Priodique. Par contre, il est

9 Il faut lire tre intgr au sens participer de manire intgre au dispositif mais pas ncessairement en tant
rattach hirarchiquement au responsable du Contrle Permanent. Par contre, il faut a minima une coordination
efficace.
16
dela Scurit

la fois source dinformations pour le Contrle Priodique et destinataire dinformations en provenance
de celui-ci, notamment pour lui permettre dintgrer les recommandations des inspections.
Les Risques
Cette intgration de la matrise des risques SI dans les fonctions de contrle permanent, au mme
titre que la matrise des autres risques, ne doit pas faire oublier la ncessit de cette approche
spcifique danalyse de risques SI.
En effet, sil sagit de faciliter lintgration dans laction habituelle de chacun, il est encore utile
aujourdhui dorganiser une animation spcifique SSI
10
au sein de la matrise des risques. Si, par
exemple, on rapproche la matrise des risques SI et les grandes catgories de risques oprationnels,
on voit bien quon ne peut pas rduire la matrise des risques SI la matrise de la seule catgorie
Interruption dactivits et dysfonctionnement des systmes . Cette matrise touche aussi dautres
catgories notamment la Fraude externe , la Fraude Interne , ou l Excution, livraison et
gestion des processus .
Lexistence dacteurs ddis SSI participant au plus haut niveau du Contrle Permanent (et des
instances de dcision de lentreprise) est une condition ncessaire lefficacit du Contrle
Permanent sur le domaine SI notamment lorsque ceux-ci sont complexes, comme cest le cas ds que
lentreprise atteint une certaine taille. Leur nombre et leurs niveaux devront, naturellement, tre
cohrents avec la structure de gouvernance de lentreprise et de son Contrle Permanent.
Limpossibilit dintgrer un niveau suffisant la matrise des risques SI dans le Contrle Permanent
conduira renforcer le Contrle Priodique sur le SI.
Enfin, noublions pas que la mission du RSSI ne sarrte pas laspect restrictif du contrle qui se
cantonnerait une simple vrification. Il doit sagir dun contrle au sens matrise comme le joueur de
football contrle son ballon alors que larbitre se contente de le vrifier. Ce qui est, bien sr, le rle
dun Contrle Permanent. La mission du RSSI ncessite notamment la mise en place de politique, de
la sensibilisation, du conseil, de la prvention. Ainsi, il faudra sassurer que son intgration au
dispositif de Contrle Permanent namne pas le RSSI ngliger ces missions essentielles de
prvention et dassistance pour la matrise des risques SI.

10 Scurit du Systme dInformation
17
dela Scurit

Thme Matrise dOuvrage des projets de scurisation
Synthse
tre la matrise douvrage de projets de scurisation nest pas un objectif permanent et long terme
du RSSI.

Cependant, que le RSSI assume ce rle, pour amorcer voire mme conduire un projet de scurisation
qui a du mal dmarrer, peut tre pertinent, si cest de manire temporaire et exceptionnelle et sous
rserve de prcautions indispensables. Le RSSI joue alors le rle dun promoteur de projet,
ntant ni le futur utilisateur ou bnficiaire direct, ni le futur exploitant.
Contexte
Il nest pas simple de grer des projets de scurit, qui apportent soit de nouvelles fonctionnalits aux
mtiers (mission de certificats par PKI
11
, SSO
12
, logiciels daide aux contrles internes), soit un
meilleur niveau de scurit sur des infrastructures existantes (durcissement des systmes ouverts
Windows ou Unix, cloisonnement des rseaux).

Bien que convaincus du bien fond des progrs accomplir en matire de scurit sur leurs
infrastructures, les acteurs de terrain au quotidien sont le plus souvent dmunis de marges de
manuvre pour conduire, en parallle avec leurs tches courantes, des projets lourds en temps et en
changements induits.

Par ailleurs, il est parfois dlicat de dsigner le matre douvrage du dveloppement de nouvelles
fonctionnalits transversales lentreprise. Il ne faut pas que le projet se cale sur les seuls besoins du
premier mtier utilisateur.

En outre, les ncessaires changements de comportement ou dorganisation pour obtenir un bon
niveau de scurisation (limitation des droits, contrles inscrire dans la dure, etc.) sont parfois
difficiles obtenir de lintrieur mme des quipes.

Enfin, les budgets de tels projets sont assez consquents et ne peuvent gnralement pas tre
absorbs dans des budgets rcurrents, propres une seule entit.
Cest pourquoi, une matrise douvrage, clairement identifie, dote dun budget sanctuaris, et devant
rpondre de lavancement de tels projets, constitue un atout pour lentreprise, pour mener bien, non
seulement les ralisations techniques, mais galement les changements dorganisation ou les
volutions de comportement affrents dans tous les mtiers (y compris au sein dquipes
informatiques le cas chant).

Confier la matrise douvrage au RSSI induit plusieurs avantages.

Dune part, du ct de la matrise douvrage.
Le RSSI connat tous les projets de scurisation. Il assure la cohrence entre eux et peut en faire
facilement la synthse. Il peut conduire des actions de fond, dans la dure. Il peut se saisir de sujets
de scurisation en dshrence, le plus souvent par manque de ressources (pour finaliser un
diagnostic, pour engager des actions correctrices ). Il peut financer des actions urgentes non
budgts par des mtiers ou des services techniques. Il peut conforter des changements
dorganisation ou de comportements par la mise disposition doutils daide la gestion et au contrle
de la scurit. Enfin, tant directement responsable du budget de mise en uvre de sa politique, le
RSSI noubliera pas de prvoir les moyens ncessaires la prise en compte de la scurit sur le
terrain. Lentreprise peut en esprer un meilleur niveau de scurit global.

11 PKI = Private Key Infrastructure
12 SSO = Single Sign On
18
dela Scurit

Dautre part, du cot de la matrise duvre (= la direction informatique).
Celle-ci peut se consacrer pleinement son rle de ralisateur, puis dexploitant dinfrastructures
techniques de scurit.
Les deux entits, RSSI et direction informatique, contribuent ainsi lamlioration de la scurit, au
bnfice de tous les mtiers de lentreprise.

Enfin, le RSSI tant directement dans les organes de direction de ces projets, il peut jouer le rle de
modrateur et enrayer dventuelles surenchres fonctionnelles ou techniques : il est parfois, au plus
grand tonnement de tous, le Monsieur MOINS de la scurit.
Les Risques
Quand le RSSI est matre douvrage, il devient juge et partie.
Que le RSSI ne soit pas uniquement le gardien dexigences leves de scurit et quil ait arbitrer
lui-mme les modalits dapplication de ses principes, peut lgitimement tre vu comme un risque.
En effet, sil prend pleinement ses responsabilits de matre douvrage, le RSSI sera appel faire
des arbitrages entre scurit/budget/dlais.
Pour ne pas affaiblir la scurit, le RSSI doit proposer ces arbitrages, clairement, devant un comit de
pilotage.
Par ailleurs, la matrise douvrage risque dempiter sur la matrise duvre. Il sagit dun risque
commun tous les projets. Il est indispensable que, dans le cas de ces projets de scurit, le choix
des produits, lexploitation, les volutions des produits relvent clairement de la responsabilit de la
matrise duvre. Sinon les hommes-scurit se transformeraient en informaticiens, et la dualit
(matrise douvrage /matrise duvre) disparatrait nouveau, et tous les bnfices attendus avec.
En dernier ressort pour garantir lentreprise contre les risques cits, la direction pourra mobiliser lAudit
qui lui apportera un jugement impartial sur le niveau de scurit rellement atteint lissue du projet,
ainsi que sur la conduite du projet.

Quand le RSSI mne en personne des projets de scurit, lentreprise court le risque que la scurit
ne soit plus traite que dans les projets o le RSSI est matre douvrage, et o le RSSI apporte de
largent.
Ce risque est loin dtre ngligeable. Il convient donc de rappeler que le but final de toute politique de
scurit, est que la scurit soit intgre dans les projets, dans les procdures dexploitation, dans les
contrles, dans les units, etc., et que la scurit ne soit pas considre comme un ajout ou une
option.

A un stade futur de maturit de lentreprise, chaque mtier, y compris la direction informatique, aura
intgr la scurit dans ses projets, dans ses budgets, et cela trs en amont. Alors, le RSSI ne sera
plus jamais sollicit pour jouer le rle de parrain de substitution.
19
dela Scurit

Thme Gestion des accrditations
Synthse
Le RSSI doit tre linitiative de la mise en uvre et du contrle de la dmarche. Il est garant de son
bon fonctionnement. Il doit apporter aux dcideurs les supports mthodologiques permettant
dobjectiver leurs choix, ainsi que leur permettant de fixer le besoin de scurit des ressources sous
leur responsabilit et enfin de mettre en uvre le processus complet daccrditation contrle
permanent et priodique inclus.
Dans des structures de moyenne importance, il peut tre vu comme un super administrateur de
laccs aux donnes.
Contexte
Laccs aux Systmes dInformation (et lutilisation des ressources et donnes quils contiennent) fait
lobjet de contrles et dattributions individuelles. Ces rgles gnrales sont dfinies dans la Politique
de scurit.
Au plan oprationnel, la gestion des droits daccs et des droits dutilisation est gnralement ralise
au sein de chacune des entits propritaires (ou dfaut matrise d'ouvrage) des SI et au plus prs
des utilisateurs.
Laccs une ressource dun systme dinformation est obtenue par ladquation permanente (et si
possible automatise) entre les besoins de scurit dfinis pour cette ressource et les droits den
connatre de lutilisateur.
Chaque propritaire dune ressource (donnes, traitement, application) dfinit les profils et le niveau
de scurit requis.
La gestion de ces attributions et des contrles compose la Gestion des Accrditations.

En gnral, les managers locaux ont en charge la gestion oprationnelle des accs, le suivi et le
traitement des incidents, ainsi que le suivi de lactivit. Ils ont galement un devoir dalerte en cas de
dysfonctionnement grave et/ou rptitif vis--vis du RSSI et du propritaire du SI.

Le RSSI est garant du respect des rgles dfinies dans la Politique de scurit et assure la cohrence
des profils et droits associs entre les diffrents SI de la banque.

Le RSSI assure sa mission de contrle auprs des propritaires des ressources en validant que le
niveau requis pour laccs ces ressources est conforme la Politique de scurit, ou en proposant
des profils types aux propritaires des SI afin dassurer le premier niveau de cohrence.

Afin de maintenir le niveau de scurit de la banque, le RSSI peut proposer la mise en place dune
organisation interdisant le cumul des droits. Dans ce cas, et en accord avec le propritaire du SI, le
RSSI assure le contrle de deuxime niveau et linforme en cas de dysfonctionnement.

Le Propritaire du SI conserve son autorit et le RSSI garde une position de contrle et dalerte.

Dans une structure centralise de moyenne importance, le RSSI peut avoir galement un rle plus
oprationnel dans la validation et le contrle. Il peut tre considr comme ladministrateur de plus
haut niveau.
Les Risques
Dans une structure moyenne, le RSSI est tent de devenir le super administrateur voire le
gestionnaire des accrditations et le cumul des fonctions est de facto. Il doit alors tre lui-mme
contrl. Il en est de mme dans toute structure si le RSSI est lui-mme propritaire dun systme
dinformation.
20
dela Scurit

Thme Juridique
Synthse
Le RSSI
13
est un citoyen et un cadre de lentreprise. Il a ainsi les droits et les devoirs du citoyen et du
cadre. Il peut tenir de la hirarchie des dlgations de pouvoir spcifiques au sein de lentreprise.
Le domaine quil a en charge comporte de nombreuses interactions avec le domaine juridique et il est
indispensable quil organise une relation interactive avec les spcialistes juridiques au sein de son
entreprise.
Contexte
Des lois et des rglements de plus en plus nombreux forment un ensemble auquel le RSSI doit se
conformer dans son action.
Elles concernent aussi bien les normes respecter pour exercer lactivit de lentreprise (par exemple,
pour la banque : le CRBF 97-02 ou larticle L. 511.33 du Code montaire et financier relatif au secret
bancaire), que pour garantir les droits et obligations sur le plan civil et pnal, de lentreprise, de ses
clients et de ses collaborateurs (par exemple : la loi Informatique et Liberts du 6 janvier 1978
modifie par la loi du 6 aot 2004, la loi pour la Confiance dans lEconomie Numrique du 21 juin
2004, les articles 266-15 et 432-9 du Cod Pnal relatifs linterception et la destruction de
correspondances prives).
Sur le plan oprationnel, le RSSI peut tre concern par des procdures judiciaires impliquant le
systme dinformation de lentreprise dont il a en charge la scurit.
Une relation organise entre les spcialistes juridiques et le RSSI, o ils peuvent changer avec les
spcialistes du systme dinformation et de sa scurit, permet, par exemple, grce une veille
juridique active danticiper les volutions lgislatives et rglementaires.
La mise en uvre de la SSI et de sa Politique Gnrale de la Scurit du Systme dInformation doit
stablir en conformit avec les lois et rglements. Cela signifie que le RSSI sera amen valider son
action avec la direction juridique et la direction de la conformit.
Des points de rencontre rguliers sur des projets pluridisciplinaires permettront au RSSI de mettre en
uvre sa politique de manire scurise sur le plan juridique (exemple : la charte de lutilisateur de la
messagerie ou dInternet ncessitera de consulter la direction juridique, la direction des ressources
humaines et celle de la conformit).
Les Risques
La clart des dlgations que reoit le RSSI est un atout pour viter les problmes futurs.
Le RSSI ne doit pas se substituer la mission confie la direction juridique dans la relation de
lentreprise avec les autorits judiciaires. Il ne peut intervenir quen appui de celle-ci.

13 RSSI = Responsable Scurit du Systme dInformation
21
dela Scurit

Conclusion

En synthse, le RSSI est un homme ou une femme dexprience qui assure une fonction transversale.
Il ou elle doit avoir des qualits de communiquant et se poser comme un facilitateur. Sa fonction
sexerce pour prvenir un danger. Son efficacit se mesure au travers de la matrise des risques SI
par lentreprise. Son action et celle de ses correspondants au sein de lentreprise doivent permettre
aux diffrents acteurs de connatre les risques encourus, de les rduire et dassumer les risques
rsiduels. Sa position au sein de la socit dpend de lhistoire, de la culture de lentreprise, mais
aussi de sa taille. Il ne peut tre rellement efficace pour lentreprise que sil est proche de la direction
gnrale. Le RSSI aura russi sa mission si la matrise des risques SI est tellement intgre la vie
de lentreprise quil ny a plus ncessit absolue dune animation spcifique. Il y a dix ans nous
pensions pouvoir le faire en quatre ans. Cest encore le cas aujourdhui! Excs doptimisme ?

22
dela Scurit

23
dela Scurit

LISTE DES MEMBRES DU GROUPE DE TRAVAIL

Ce document a t rdig par le groupe de travail Fonction RSSI

Jacques Sarrasin, LCL, animateur du groupe de travail, remercie :

- ceux qui ont activement particip la rdaction des fiches :

Frdric CHAVOUTIER LA BANQUE POSTALE
Gil DELILLE CALYON
Jean-Pierre DELMAS BANQUE DE FRANCE
Jean-Franois LAMBILLOTTE SOCIETE GENERALE
Eric LARCHER BANQUES POPULAIRES
Gilles MAWAS BNP PARIBAS

- et tous ceux qui ont galement contribu, dont notamment :

Franois COUPEZ SOCIETE GENERALE
Jol FERRY MINISTERE DE LA JUSTICE
Patrick LANGRAND GROUPE LA POSTE
Wilfrid GHIDALIA FORUM DES COMPETENCES
Marie-Agns PLURIEN BANQUE FINAMA

Livrable FONCTION RSSI

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Livrable FONCTION RSSI

Transféré par

Droits d'auteur :

Formats disponibles

Rapport du groupe de travail Fonction RSSI - avril 2007

Le RSSI, dans les faits, dix ans aprs le Livre blanc

Vous aimerez peut-être aussi