VWqPHVG¶,QIRUPDWLRQ de la Sécurité

Rapport du groupe de travail « Fonction RSSI » - avril 2007 Le RSSI, dans les faits, dix ans après le Livre blanc

1

de la Sécurité

des Systèmes d’Information

de la Sécurité


«Le RSSI, dans les faits, dix ans après le Livre blanc »

--RRaappppoorrtt dduu ggrroouuppee ddee ttrraavvaaiill –– «« FFoonnccttiioonn RRSSSSII,, ddiixx aannss aapprrèèss llee lliivvrree

bbllaanncc »»


2

de la Sécurité



3

de la Sécurité


Remerciements

Le Forum des Compétences de la Sécurité des Systèmes d’Information remercie ses Etablissements Membres qui ont participé à la

réflexion et à la rédaction de cet ouvrage présentant

Le RSSI, dans les faits, dix ans après le Livre blanc

Dans le cadre de la protection du patrimoine Informationnel des entreprises. Il tient à remercier particulièrement les personnes du groupe de travail

Fonction RSSI, dix ans après le livre blanc

qui ont contribué à cet ouvrage


4

de la Sécurité



5

de la Sécurité


Sommaire

Introduction ............................................................................................ 7

Thème Métiers ....................................................................................... 9

Thème Politique ................................................................................... 10

Thème « In-formation » ........................................................................ 12

Thème Plan de Continuité de l’Activité - PCA ...................................... 14

Thème Contrôle Interne ....................................................................... 15

Thème Maîtrise d’Ouvrage des projets de sécurisation ........................ 17

Thème Gestion des accréditations ....................................................... 19

Thème Juridique .................................................................................. 20


6

de la Sécurité



7

de la Sécurité


Introduction

Où en est la fonction de responsable de la sécurité du système d’information (RSSI) dix ans après sa naissance? À partir de nos expériences diverses et du recul acquis, un groupe de travail (“Le RSSI dans les faits, 10 ans après le Livre Blanc”) a été créé pour faire le point sur ce sujet au sein du Forum des Compétences*. Depuis dix ans, l’environnement du RSSI s’est complexifié. Sous l’autorité de la direction générale, en appui du contrôle permanent, sa mission l’a conduit à travailler avec les directions métiers de la banque ainsi qu’avec la direction informatique, en bénéficiant du support des directions de la communication, des ressources humaines et de la direction juridique, en collaborant avec les risques opérationnels, les assureurs et la conformité, en dialoguant avec le contrôle périodique. Tout en respectant les directives de la Commission bancaire, en s’appuyant sur le Livre Blanc, Bâle II, le CRBF 97-02, les normes, sans oublier la CNIL, l’AMF, le CFONB, la BRI… et le tableau est loin d’être complet. Le RSSI assume une fonction transversale par excellence. Son environnement est marqué par une accélération des changements: les systèmes d’information (SI) sont, notamment, de plus en plus ouverts sur l’extérieur.

COMMENT AVONS- NOUS PROCÉDÉ ? Pour réaliser cette étude, le Forum a recensé auprès de ses membres, les différentes missions unitaires assurées par les uns et les autres ; celles-ci ont été classées par thèmes. Puis un questionnaire a été réalisé et il a été demandé à chaque RSSI de se positionner par rapport à ces missions. Les résultats ont été dépouillés et trois catégories ont émergé : les missions que la majorité des RSSI déclare assurer, celles qui sont hors champs et celles qui font l’objet de débats au sein du groupe de travail.

QU’EN EST-IL AUJOURD’HUI?

Il apparaît que les RSSI sont les rédacteurs de la politique de sécurité du système d’information et des chartes relatives à la sécurité du système d’information. Ils participent à des comités de sécurité de haut niveau présidés par la direction générale ou un membre du comité de direction générale. C’est ici qu’ils exercent une part significative de leur devoir d’influence. Ils assistent également au comité de pilotage des grands projets informatiques; ils contribuent à l’élaboration des plans de continuité d’activité (PCA) et sont membres de cellules de crise décisionnelles. En aval de ces instances décisionnelles, ils animent dans les métiers bancaires, des réseaux de correspondants sécurité du système d’information et jouent auprès de ces derniers, un rôle de conseiller. Ils ont une fonction de sensibilisation et de conception des formations Sécurité du Système d’Information (SSI). L’idéal serait que la SSI fasse systématiquement partie du contenu standard de la formation pour un poste. Les RSSI participent aux formations, en tant qu’animateurs ou coanimateurs. En matière de contrôle, les RSSI sont promoteurs et acteurs du contrôle permanent. Ils animent, par exemple, une auto-évaluation de la sécurité du système d’information. Ils contribuent au rapport de contrôle interne réglementaire pour son volet “système d’information” et peuvent être amenés à le présenter au comité d’audit, dont ils ne sont cependant pas membres. En revanche, le RSSI n’est pas prescripteur, ni acheteur d’une solution technique qui doit se conformer à ce qui est défini dans la politique SSI. Il n’est pas non plus le gestionnaire de composants techniques. Enfin, il ne fait pas partie de l’organe du contrôle périodique : sa mission peut naturellement être auditée et inspectée. Entrer ces deux bornes, se décline un certain nombre de missions qui font l’objet de débats sur le fait de savoir si elles relèvent ou non du poste du RSSI. Les situations varient en fonction de chaque établissement, mais visent en général à établir un équilibre harmonieux entre les prérogatives du RSSI, du responsable des PCA et de celui des risques opérationnels dont la fonction a été créée le plus souvent bien après le Livre Blanc.


8

de la Sécurité


Légende :

Les fiches qui suivent détaillent nos réflexions selon les thèmes que nous avions retenus.

AMF : Autorité des marchés financiers BCE : Banque centrale européenne

BDF : Banque de France

BRI : Banque des règlements internationaux

CFONB : Centre français d’organisation et de normalisation bancaires

CMF : Code monétaire et financier

CNIL : Commission nationale de l’informatique et des libertés

LCEN : Loi pour la confiance dans l’économie numérique

LSF : Loi sur la sécurité financière

PP SBFI : Profil de protection pour services bancaires et/ou financiers sur Internet

RH : Ressources humaines


9

de la Sécurité


Synthèse

Nous animons des réseaux correspondants Sécurité du Système d’Information pour les métiers bancaires. Nous jouons également un rôle de conseillers pour ces métiers. Nous assistons au comité de pilotage des projets Système d’Information stratégiques.

Contexte

Nous avons parlé du devoir d'influence du RSSI vis à vis des dirigeants de l'entreprise. Mais son action serait très partielle si le RSSI n'exerçait aucune influence au niveau du terrain, des maîtrises d'ouvrages, au coeur des projets. En outre, le RSSI oeuvre souvent dans des environnements complexes. L'entreprise au sein de laquelle il agit est, dans bien des cas, un groupe d'entreprises qui peut aussi être géographiquement étendu. L'action du RSSI d’un tel Groupe serait très virtuelle s'il ne s'appuyait pas sur un réseau de correspondants, de relais, de délégués.

Les plus de cette approche

Nous avons rappelé dans l’introduction les missions inhérentes à la charge des RSSI : émission de la politique de sécurité, participation active à l'analyse de risque, sensibilisateur, évaluateur... Il se doit d'intervenir dans les projets, lorsque l'idée germe dans un métier. Mais quel progrès pourrait on escompter si le RSSI ne recevait que l'information émise dans l'immeuble où se situe son bureau et n'influençait que les personnes géographiquement proches ? En s'appuyant sur un réseau, le RSSI a davantage de chances de collecter une information importante (démarrage d'un projet, incident, faiblesse organisationnelle). En outre, il la collecte tôt, à la source, encore peu déformée. Dans l'autre sens, il confie à ses délégués, répartis dans les métiers, le soin de sensibiliser, de conseiller, d'analyser, d'évaluer, de contrôler de façon spécifique à la nature de la filiale, au métier exercé. Le correspondant peut décliner, dans une version acceptable localement, la politique de sécurité. Il ne faut pas oublier qu'une filiale d'un grand groupe peut être directement assujettie à la réglementation bancaire et financière. Dans ce cas, le correspondant du RSSI du Groupe n'est autre que le RSSI de la filiale. Enfin, la simple existence d'un réseau de correspondants accroît le nombre de personnes sensibles à la sécurité dans l'entreprise, contribuant ainsi à l'échafaudage d'une masse critique.

Les Risques

Animer un réseau ne consiste pas à nommer des personnes. Il faut s'assurer que les correspondants partagent tous la même idée des mécanismes de gouvernance sécuritaire, la même conception de leurs missions, la même acception de leurs responsabilités. Il est important qu'une documentation, rédigée préalablement aux nominations, évite toute forme d'autodétermination sur les points cités précédemment. Il faut aussi qu'une documentation informe les gens qui auront à nommer un correspondant local sinon les malentendus sur les critères d'éligibilité du correspondant seront nombreux. Il est nécessaire que les délégués locaux bénéficient des mêmes types de rattachement que leur « tuteur ». En particulier, le rattachement à une direction informatique locale est très défavorable. Enfin, le réseau doit être l'objet d'une animation permanente, sinon, il devient une collection de personnes qui seront rapidement happées par d'autres missions. Le RSSI devra assurer un support réactif de son réseau : les questions sur la technique, les méthodes devront être traitées rapidement sinon le réseau se délitera de lui même. Lorsque la structure locale est réduite, le correspondant local est souvent correspondant d'autres filières de contrôle (contrôle permanent, risques opérationnels, Bâle II…). Il est important que le RSSI et ses homologues d'autres filières harmonisent leurs exigences. Dans le pire des cas, un correspondant doit pouvoir consacrer hebdomadairement un jour plein à sa mission SSI.

Thème Métiers


10

de la Sécurité


Thème Politique

Synthèse

Nous sommes les rédacteurs de la politique de sécurité du Système d’Information, et des chartes1

relatives à la Sécurité du Système d’Information. Nous participons à des comités de Sécurité de haut niveau (présidés par le Directeur Général ou un membre du comité de Direction Générale). C’est par ce comité que nous pouvons exercer une part significative de notre devoir d’influence. Cela montre l’importance des qualités de communication à haut niveau du RSSI.

Contexte

La Politique Générale de Sécurité des Systèmes d’Informations (PGSSI) d’une entreprise, élaborée par le RSSI, est promulguée et soutenue par la Direction Générale ; elle traduit sa volonté et ses exigences en matière de sécurité des Systèmes d’Information (SSI). Le RSSI est le garant de sa mise en œuvre et fait un reporting régulier à la Direction Générale sur l’évolution du risque et des écarts existant entre cette politique et son application opérationnelle en s’appuyant éventuellement sur les corps de contrôle. Cette politique définit l’organisation, le champ d’application et la responsabilité des différents acteurs. Elle respecte les obligations réglementaires et promeut leur application. Elle doit d’être en accord avec la gouvernance et la stratégie de l’entreprise.


Le RSSI s’appuie sur la PGSSI pour promouvoir une approche économique de la SSI visant à atteindre un équilibre entre une prise de risques calculée et les dépenses relatives à la sécurité des SI, afin d’éliminer les risques inacceptables. La PGSSI est un cadre qui exprime les valeurs de la banque et les grands principes, c’est une cible et chaque métier doit ensuite développer sa propre politique et ses modalités d’application, ou plutôt ses objectifs de maîtrise des risques sécurité dans le cadre de la politique générale. Bien que la forme puisse varier d’une entreprise à l’autre, cette politique s’appuie sur la mise en place de domaines de confiance basés sur les valeurs de l’entreprise et sur la classification des ressources selon les critères de Disponibilité, d’Intégrité, de Confidentialité et de possibilité de Preuve. La PGSSI comporte un volet sensibilisation et formation ciblant toutes les catégories de personnel, de la Direction Générale à l’utilisateur final, dans l’objectif d’une plus grande responsabilisation de l’ensemble des acteurs de l’entreprise par rapport à la SSI. Il s’agit en particulier de renforcer les « maillons faibles » de la chaîne de la sécurité qui se trouvent souvent liés aux facteurs humains. La capacité de réaction aux incidents est aussi intégrée dans la PGSSI, avec la préconisation d’un dispositif de veille en amont, d’une analyse en forte concertation avec les lignes métier en cas d’alerte ou d’incident avéré, puis, en aval, d’une réaction proportionnée pouvant aller jusqu’a la mise en place d’un PCA

2.

La PGSSI préconise également la mise en œuvre d’un comité de pilotage de haut niveau et proche de la Direction Générale, alimenté régulièrement par un tableau de bord permettant d’une part d’identifier les risques résiduels, l’évolution des menaces et les incidents avérés, d’autre part de mesurer l’effort déployé et enfin d’apprécier l’efficacité des actions ainsi que les progrès accomplis. Ce tableau de bord est complété par une enquête d’auto-évaluation s’appuyant sur la norme ISO 17799 (ou ISO 2700x)

1 Dans le cas des chartes, le RSSI peut être le contributeur à un document Ressources Humaines 2 PCA = Plan de Continuité de l’Activité


11

de la Sécurité


Les dispositions de la PGSSI contribuent à une communication proche des lignes métiers et elles permettent un dialogue permanent avec toutes les composantes de l’entreprise, afin de faire passer un message essentiel : « la sécurité, c’est 80% d’organisationnel et 20% de technique ».

Les Risques

La PGSSI doit définir clairement les responsabilités des divers acteurs intervenant sur le système d’information ; elle doit spécifier la gouvernance à mettre en place pour assurer la séparation des pouvoirs afin de garantir, en particulier, que le RSSI ne soit pas juge et partie. En référence au thème contrôle interne, même si la politique, avec le règlement intérieur qui en est une partie intégrante, définit les sanctions applicables en cas de non-respect de la PGSSI, l’exécution de ces sanctions n’est pas du ressort du RSSI. L’articulation des entités en charge de la SSI avec les entités en charge des risques opérationnels et des PCA, mais aussi de la conformité, doit aussi être définie ; cette articulation peut aller d’une séparation forte jusqu'à une intégration complète. C’est une décision importante pour le risk management de l’entreprise qui relève donc de la direction générale.


12

de la Sécurité


Thème « In-formation »

Synthèse

Le RSSI a un rôle de sensibilisation et de conception des formations SSI3. Il influence toujours le

contenu des formations (l’idéal serait que la SSI fasse partie du contenu des formations normales pour un poste). Il participe aux formations (en collaboration ou non).

Contexte

La formation, la communication et la sensibilisation à la SSI, que nous regroupons sous le terme générique « in-formation », sont primordiales afin d’accompagner le déploiement d’une politique de sécurité et sa compréhension par le plus grand nombre. Le RSSI a donc pour mission de s’assurer que toute personne ayant accès au SI soit « in-formée » de façon la plus efficace voire efficiente possible, quelle que soit sa localisation géographique (France, Europe, International), son statut (salarié, stagiaire, prestataire en régie…) ou sa fonction (manager/VIP, informaticien, utilisateur…). Il lui faut donc commencer par définir un plan d’ « in-formation » global, qui va mettre en parallèle les différentes populations identifiées, les messages à faire passer en priorité ainsi que les outils les plus adaptés (lettres d’information, intranets, vidéos, session plénières, formations techniques…). Cette démarche devra être coordonnée avec la DRH

4 et notamment son département formation

interne. Le RSSI sera généralement maître d’ouvrage sur ces programmes de formation mais pourra parfois intervenir en maîtrise d’oeuvre sur certains sujets.


Si définir des règles est nécessaire, elles ne seront suivies avec rigueur que lorsqu’elles seront comprises. L’Homme s’oppose d’autant plus au changement et à la discipline qu’il ne comprend pas les raisons imposant la mise en place de normes et règlements constituant une PSSI

5.

C’est pourquoi l’« in-formation » est si importante. Une population sensibilisée, non seulement, sera plus réceptive et active dans l’application de la PSSI, mais aura également la capacité à prendre les bonnes décisions lorsqu’elle sera confrontée à un choix pouvant impacter la sécurité du SI (choix de conception d’une application sensible pour un architecte applicatif, effacement sans ouverture d’un fichier attaché douteux par une assistante...). Par ailleurs, les différents acteurs de l’entreprise auront plus facilement le réflexe de prévenir l’assistance informatique voire l’équipe SSI en cas d’événement inhabituel. Enfin, la sensibilisation peut, dans certains cas, découler d’une obligation légale, notamment en matière de protection des données personnelles. En effet, on ne peut pas se contenter de définir des règles (parfois très –trop ?- nombreuses) et chartes sans donner les moyens nécessaires pour qu’elles soient correctement expliquées à ceux qui doivent les appliquer (cas, par exemple, des commentaires à proscrire au sein d’un dossier client).

Les Risques

Même s’il peut s’agir d’un domaine relativement simple pour le RSSI, par rapport à d’autres sujets plus complexes, « l’in-formation » n’est pas toujours si facile à traiter.

3 SSI = Sécurité du Système d’Information 4 DRH = Direction des Ressources Humaines 5 On désigne ici, sous le terme «PSSI – Politique de Sécurité du Système d’Information», toute la hiérarchie de normes sécuritaires allant jusqu’aux chartes et procédures de plus bas niveau.


13

de la Sécurité


Il faut en effet travailler en coordination avec la DRH, la communication interne… et surtout ne pas développer pléthore de canaux de communication / formation spécifiques qui rendraient la démarche difficile à assumer dans le temps. Par ailleurs, l’« in-formation » doit être régulière sans être trop présente. Il faut trouver un juste équilibre entre les actions mises en œuvres et leur distribution dans le temps : trop de communication simultanée ou trop rapprochée risque de la rendre inefficace. A l’inverse, si un temps trop important s’écoule entre deux actions d’« in-formation », les populations concernées risquent de perdre les bons réflexes rapidement. Il faut donc inscrire ces actions dans la durée et surtout s’assurer que les nouveaux venus seront également « in-formés » quelques temps après leur arrivée. Il est relativement facile de faire une grande campagne de sensibilisation sur un site ou périmètre géographique précis mais plus difficile de relancer des séances régulières pour les nouveaux arrivants ou d’effectuer une piqûre de rappel. Il ne faut pas non plus que l’« in-formation » soit surabondante par rapport aux actions, projets et chantiers de sécurité mis en œuvre. On ne doit pas masquer ses échecs par une communication à tout va. En ce qui concerne la direction informatique, il faut faire attention aux actions de sensibilisation des maîtrises d’ouvrage qui, si elles étaient faites en avance de phase sur la direction informatique, pourraient entraîner un déphasage important entre la vision sécurité du client interne et de son fournisseur (la direction informatique). Enfin, l’« in-formation » a souvent tendance à servir de variable d’ajustement dans les budgets SSI au profit d’autres investissement apparemment plus stratégiques (PKI

6, SSO

7, gestion des habilitations,

etc.). Il est donc primordial de bien sensibiliser sa direction, peut être même en premier, afin qu’elle comprenne que le retour sur investissement de « l’in-formation » est beaucoup plus important qu’elle ne peut l’imaginer…

6 PKI = Private Key Infrastructure 7 SSO = Single Sign On


14

de la Sécurité


Thème Plan de Continuité de l’Activité - PCA

Synthèse

Le RSSI est un contributeur majeur au plan de continuité des opérations de l'établissement financier (PCA / BCP – Business Continuity Plan) et fait partie du processus de décision de la cellule de crise.

C’est lui qui s’assure, ès qualité, de l’existence d’un PSI – Plan de Secours Informatique qui fait naturellement partie du PCA et en est un élément essentiel. L’attribution d’autres chapitres du PCA (immeubles...) à la même personne est possible mais il faudra alors veiller à ce que, au-delà de l’aspect SI, l’ensemble des aspects du PCA soit bien pris en compte.

Contexte

Le PCA couvre la continuité de toutes les opérations de l'établissement financier (front/middle/back office, fonctions support…) et comprend donc aussi la continuité des opérations informatiques (PSI - DRP : Plan de Secours Informatique - Disaster Recovery Plan). La disponibilité est l'une des quatre faces de la tétralogie de la sécurité (D-Disponibilité / I-Intégrité / C-Confidentialité / P-Preuve et contrôle) et rentre donc bien dans les responsabilités du RSSI, mais pour cette dimension système d'information. L'extension aux aspects logistiques, organisation, back office… peut être discutée au cas par cas.


Il est naturel et efficace que le maintien de la disponibilité des SI, en cas [1] de problème informatique circonscrit (incident matériel ou logiciel, bogue applicatif, erreur humaine…) et [2] de sinistre simple ou extrême (panne d'électricité, indisponibilité des locaux ou de personnels…) soit traité de manière similaire par un seul acteur, le RSSI. Le RSSI s’assure que la continuité des opérations informatiques est adéquate : couverture des besoins du business, moyens en ordre de marche, procédures existantes et connues, tests et exercices réguliers... La gestion de la crise, matérialisée par les réunions du comité de crise, comprend des décisions importantes comme le déclenchement du PCA, la bascule sur des moyens alternatifs de production (site de secours, locaux de repli…), comme la gestion opérationnelle de ces moyens de secours et enfin la décision de revenir aux moyens/sites normaux (quand cela est possible bien sûr). Le RSSI doit alors être un acteur dès la prise de ces décisions, en relation bien évidemment avec le métier et les autres fonctions de support. Son avis, pour les SI, doit éclairer les décisions du directeur informatique (déclenchement du PSI/DRP…).

Les Risques

Les deux rôles RSSI et RPCA8 ne sont pas incompatibles et peuvent donc être exercés par la même

personne/entité. Dans ce cas, des garde-fous et des définitions précises des rôles et responsabilités de chaque acteur doivent être formalisés pour bien couvrir toutes les dimensions et pas seulement la partie SI. A contrario, cette dimension "disponibilité" ne doit pas prendre le pas, et donc occulter, les trois autres dimensions (I-Intégrité/C-Confidentialité/P-Preuve et Contrôle) et mettre le RSSI en conflit d'intérêt. Enfin, les aspects logistiques, humains, sanitaires, immobiliers, communications… inhérents au traitement d'une crise d'indisponibilité, doivent être traités de concert avec les entités en charge (Moyens généraux, DRH, Direction de la communication…) et pas par le RSSI/RPCA seul.

8 RPCA = Responsable Plan de Continuité de l’Activité


15

de la Sécurité


Thème Contrôle Interne

Synthèse

Le RSSI est un promoteur et un acteur du contrôle permanent. C’est lui qui anime l’auto-évaluation de la sécurité du système d’information. Il est une source d’informations pour le contrôle interne tant permanent que périodique, et concrètement c’est lui qui produit l’état de la sécurité SI qui est inclus dans le rapport de contrôle interne réglementaire. Le RSSI n’appartient pas à l’organe responsable du contrôle périodique (audit/inspection). Sa

mission peut naturellement être auditée, inspectée.

Contexte

Le contrôle interne, organisé par le CRBF 97-02, précise, dès les dispositions générales, qu’il a notamment pour objet « de vérifier la qualité des systèmes d’information et de communication » (article 5 e). Il ajoute que « les entreprises assujetties [au CRBF 97-02] doivent déterminer le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. Elles veillent au niveau de sécurité retenu et à ce que leurs systèmes d’information soient adaptés. Le contrôle des systèmes d’information doit notamment permettre de s’assurer que le niveau de sécurité des systèmes d’informatiques est périodiquement apprécié et que le cas échéant les actions correctrices sont entreprises » (article 14). Le contrôle interne comprend un volet contrôle périodique et un volet contrôle permanent (article 6). Le contrôle périodique est effectué par des agents différents de ceux qui exercent le contrôle permanent (article 6 b). Le contrôle permanent est [notamment] assuré par [des] agents […] dédiés à cette fonction (article 6a). « En cas de pluralité de responsables de niveau le plus élevé du contrôle permanent, un membre de l’organe exécutif assure la cohérence et l’efficacité dudit contrôle » (article 7.1 dernier alinéa). « Au moins une fois par an, les entreprises assujetties élaborent un rapport sur les conditions dans lesquelles le contrôle interne est assuré » (article 42).


Le RSSI est, dans l’entreprise, le promoteur de la maîtrise des risques des systèmes d’information. À ce titre, il exerce sans aucun doute une mission « Contrôle Permanent ». Il doit donc être intégré

9

dans le dispositif de contrôle permanent. Son intégration dans ce dispositif facilite la prise en compte chez les acteurs Contrôle Permanent, dédiés ou non, de l’analyse des risques SI au même titre que les autres analyses de risques et la mise en œuvre dans ce même dispositif des contrôles permettant d’en assurer la maîtrise. Globalement, le RSSI a ainsi une légitimité naturelle dans tous les dispositifs de construction et d’animation du contrôle permanent quel que soit le modèle organisationnel du contrôle permanent. Si, par exemple, le contrôle permanent est organisé avec un pilotage central et une mise en œuvre locale (par exemple, au niveau des directions ou des métiers), il participera à la définition des objectifs de maîtrise de risques au niveau central et appuiera la mise en œuvre au niveau local. Ainsi, en ouvrant au RSSI le réseau des correspondants locaux Contrôle Permanent, que ceux-ci soient dédiés ou non à la fonction, cette intégration lui permet de s’appuyer sur ce réseau pour faire remonter les informations en provenance du terrain (notamment des auto-évaluation sur la maîtrise des risques SI) et servir d’appui pour la mise en œuvre de la politique SSI. L’exercice des missions de contrôle permanent et de contrôle périodique doit être effectué par des personnes différentes pour qu’elles ne soient pas juge et partie. Le RSSI, qui exerce des fonctions de Contrôle Permanent, n’appartient pas à l’organe en charge du Contrôle Périodique. Par contre, il est à

9 Il faut lire « être intégré » au sens participer de manière intégrée au dispositif mais pas nécessairement en étant rattaché hiérarchiquement au responsable du Contrôle Permanent. Par contre, il faut a minima une coordination efficace.


16

de la Sécurité


la fois source d’informations pour le Contrôle Périodique et destinataire d’informations en provenance de celui-ci, notamment pour lui permettre d’intégrer les recommandations des inspections.

Les Risques

Cette intégration de la maîtrise des risques SI dans les fonctions de contrôle permanent, au même titre que la maîtrise des autres risques, ne doit pas faire oublier la nécessité de cette approche spécifique d’analyse de risques SI. En effet, s’il s’agit de faciliter l’intégration dans l’action « habituelle » de chacun, il est encore utile aujourd’hui d’organiser une animation spécifique SSI

10 au sein de la maîtrise des risques. Si, par

exemple, on rapproche la maîtrise des risques SI et les grandes catégories de risques opérationnels, on voit bien qu’on ne peut pas réduire la maîtrise des risques SI à la maîtrise de la seule catégorie « Interruption d’activités et dysfonctionnement des systèmes ». Cette maîtrise touche aussi d’autres catégories notamment la « Fraude externe », la « Fraude Interne », ou l’ « Exécution, livraison et gestion des processus ». L’existence d’acteurs dédiés SSI participant au plus haut niveau du Contrôle Permanent (et des instances de décision de l’entreprise) est une condition nécessaire à l’efficacité du Contrôle Permanent sur le domaine SI notamment lorsque ceux-ci sont complexes, comme c’est le cas dès que l’entreprise atteint une certaine taille. Leur nombre et leurs niveaux devront, naturellement, être cohérents avec la structure de gouvernance de l’entreprise et de son Contrôle Permanent. L’impossibilité d’intégrer à un niveau suffisant la maîtrise des risques SI dans le Contrôle Permanent conduira à renforcer le Contrôle Périodique sur le SI. Enfin, n’oublions pas que la mission du RSSI ne s’arrête pas à l’aspect restrictif du contrôle qui se cantonnerait à une simple vérification. Il doit s’agir d’un contrôle au sens maîtrise comme le joueur de football contrôle son ballon alors que l’arbitre se contente de le vérifier. Ce qui est, bien sûr, le rôle d’un Contrôle Permanent. La mission du RSSI nécessite notamment la mise en place de politique, de la sensibilisation, du conseil, de la prévention. Ainsi, il faudra s’assurer que son intégration au dispositif de Contrôle Permanent n’amène pas le RSSI à négliger ces missions essentielles de prévention et d’assistance pour la maîtrise des risques SI.

10 Sécurité du Système d’Information


17

de la Sécurité


Thème Maîtrise d’Ouvrage des projets de sécurisation

Synthèse

Être la maîtrise d’ouvrage de projets de sécurisation n’est pas un objectif permanent et à long terme du RSSI. Cependant, que le RSSI assume ce rôle, pour amorcer voire même conduire un projet de sécurisation qui a du mal à démarrer, peut être pertinent, si c’est de manière temporaire et exceptionnelle et sous réserve de précautions indispensables. Le RSSI joue alors le rôle d’un « promoteur » de projet, n’étant ni le futur utilisateur ou bénéficiaire direct, ni le futur exploitant.

Contexte

Il n’est pas simple de gérer des projets de sécurité, qui apportent soit de nouvelles fonctionnalités aux métiers (émission de certificats par PKI

11, SSO

12, logiciels d’aide aux contrôles internes…), soit un

meilleur niveau de sécurité sur des infrastructures existantes (durcissement des systèmes ouverts Windows ou Unix, cloisonnement des réseaux…). Bien que convaincus du bien fondé des progrès à accomplir en matière de sécurité sur leurs infrastructures, les acteurs de terrain au quotidien sont le plus souvent démunis de marges de manœuvre pour conduire, en parallèle avec leurs tâches courantes, des projets lourds en temps et en changements induits. Par ailleurs, il est parfois délicat de désigner le maître d’ouvrage du développement de nouvelles fonctionnalités transversales à l’entreprise. Il ne faut pas que le projet se cale sur les seuls besoins du premier métier utilisateur. En outre, les nécessaires changements de comportement ou d’organisation pour obtenir un bon niveau de sécurisation (limitation des droits, contrôles à inscrire dans la durée, etc.) sont parfois difficiles à obtenir de l’intérieur même des équipes. Enfin, les budgets de tels projets sont assez conséquents et ne peuvent généralement pas être absorbés dans des budgets récurrents, propres à une seule entité.


C’est pourquoi, une maîtrise d’ouvrage, clairement identifiée, dotée d’un budget sanctuarisé, et devant répondre de l’avancement de tels projets, constitue un atout pour l’entreprise, pour mener à bien, non seulement les réalisations techniques, mais également les changements d’organisation ou les évolutions de comportement afférents dans tous les métiers (y compris au sein d’équipes informatiques le cas échéant). Confier la maîtrise d’ouvrage au RSSI induit plusieurs avantages. D’une part, du côté de la maîtrise d’ouvrage. Le RSSI connaît tous les projets de sécurisation. Il assure la cohérence entre eux et peut en faire facilement la synthèse. Il peut conduire des actions de fond, dans la durée. Il peut se saisir de sujets de sécurisation en déshérence, le plus souvent par manque de ressources (pour finaliser un diagnostic, pour engager des actions correctrices …). Il peut financer des actions urgentes non budgétés par des métiers ou des services techniques. Il peut conforter des changements d’organisation ou de comportements par la mise à disposition d’outils d’aide à la gestion et au contrôle de la sécurité. Enfin, étant directement responsable du budget de mise en œuvre de sa politique, le RSSI n’oubliera pas de prévoir les moyens nécessaires à la prise en compte de la sécurité sur le terrain. L’entreprise peut en espérer un meilleur niveau de sécurité global.

11 PKI = Private Key Infrastructure 12 SSO = Single Sign On


18

de la Sécurité


D’autre part, du coté de la maîtrise d’œuvre (= la direction informatique). Celle-ci peut se consacrer pleinement à son rôle de réalisateur, puis d’exploitant d’infrastructures techniques de sécurité. Les deux entités, RSSI et direction informatique, contribuent ainsi à l’amélioration de la sécurité, au bénéfice de tous les métiers de l’entreprise. Enfin, le RSSI étant directement dans les organes de direction de ces projets, il peut jouer le rôle de modérateur et enrayer d’éventuelles surenchères fonctionnelles ou techniques : il est parfois, au plus grand étonnement de tous, le « …Monsieur MOINS … » de la sécurité.

Les Risques

Quand le RSSI est maître d’ouvrage, il devient juge et partie. Que le RSSI ne soit pas uniquement le gardien d’exigences élevées de sécurité et qu’il ait à arbitrer lui-même les modalités d’application de ses principes, peut légitimement être vu comme un risque. En effet, s’il prend pleinement ses responsabilités de maître d’ouvrage, le RSSI sera appelé à faire des arbitrages entre sécurité/budget/délais. Pour ne pas affaiblir la sécurité, le RSSI doit proposer ces arbitrages, clairement, devant un comité de pilotage. Par ailleurs, la maîtrise d’ouvrage risque d’empiéter sur la maîtrise d’œuvre. Il s’agit d’un risque commun à tous les projets. Il est indispensable que, dans le cas de ces projets de sécurité, le choix des produits, l’exploitation, les évolutions des produits relèvent clairement de la responsabilité de la maîtrise d’œuvre. Sinon les hommes-sécurité se transformeraient en informaticiens, et la dualité (maîtrise d’ouvrage /maîtrise d’œuvre) disparatrait à nouveau, et tous les bénéfices attendus avec. En dernier ressort pour garantir l’entreprise contre les risques cités, la direction pourra mobiliser l’Audit qui lui apportera un jugement impartial sur le niveau de sécurité réellement atteint à l’issue du projet, ainsi que sur la conduite du projet. Quand le RSSI mène en personne des projets de sécurité, l’entreprise court le risque que la sécurité ne soit plus traitée que dans les projets où le RSSI est maître d’ouvrage, et où le RSSI apporte de l’argent. Ce risque est loin d’être négligeable. Il convient donc de rappeler que le but final de toute politique de sécurité, est que la sécurité soit intégrée dans les projets, dans les procédures d’exploitation, dans les contrôles, dans les unités, etc., et que la sécurité ne soit pas considérée comme un ajout ou une option. A un stade futur de maturité de l’entreprise, chaque métier, y compris la direction informatique, aura intégré la sécurité dans ses projets, dans ses budgets, et cela très en amont. Alors, le RSSI ne sera plus jamais sollicité pour jouer le rôle de parrain de substitution.


19

de la Sécurité


Thème Gestion des accréditations

Synthèse

Le RSSI doit être à l’initiative de la mise en œuvre et du contrôle de la démarche. Il est garant de son bon fonctionnement. Il doit apporter aux décideurs les supports méthodologiques permettant d’objectiver leurs choix, ainsi que leur permettant de fixer le besoin de sécurité des ressources sous leur responsabilité et enfin de mettre en œuvre le processus complet d’accréditation – contrôle permanent et périodique inclus. Dans des structures de moyenne importance, il peut être vu comme un « super administrateur » de l’accès aux données.

Contexte

L’accès aux Systèmes d’Information (et l’utilisation des ressources et données qu’ils contiennent) fait l’objet de contrôles et d’attributions individuelles. Ces règles générales sont définies dans la Politique de sécurité. Au plan opérationnel, la gestion des droits d’accès et des droits d’utilisation est généralement réalisée au sein de chacune des entités propriétaires (ou à défaut maîtrise d'ouvrage) des SI et au plus près des utilisateurs. L’accès à une ressource d’un système d’information est obtenue par l’adéquation permanente (et si possible automatisée) entre les besoins de sécurité définis pour cette ressource et les « droits d’en connaître » de l’utilisateur. Chaque propriétaire d’une ressource (données, traitement, application…) définit les profils et le niveau de sécurité requis. La gestion de ces attributions et des contrôles compose la Gestion des Accréditations. En général, les managers locaux ont en charge la gestion opérationnelle des accès, le suivi et le traitement des incidents, ainsi que le suivi de l’activité. Ils ont également un devoir d’alerte en cas de dysfonctionnement grave et/ou répétitif vis-à-vis du RSSI et du propriétaire du SI.


Le RSSI est garant du respect des règles définies dans la Politique de sécurité et assure la cohérence des profils et droits associés entre les différents SI de la banque. Le RSSI assure sa mission de contrôle auprès des propriétaires des ressources en validant que le niveau requis pour l’accès à ces ressources est conforme à la Politique de sécurité, ou en proposant des profils types aux propriétaires des SI afin d’assurer le premier niveau de cohérence. Afin de maintenir le niveau de sécurité de la banque, le RSSI peut proposer la mise en place d’une organisation interdisant le cumul des droits. Dans ce cas, et en accord avec le propriétaire du SI, le RSSI assure le contrôle de deuxième niveau et l’informe en cas de dysfonctionnement. Le Propriétaire du SI conserve son autorité et le RSSI garde une position de contrôle et d’alerte. Dans une structure centralisée de moyenne importance, le RSSI peut avoir également un rôle plus opérationnel dans la validation et le contrôle. Il peut être considéré comme l’administrateur de plus haut niveau.

Les Risques

Dans une structure moyenne, le RSSI est tenté de devenir le « super administrateur » voire le gestionnaire des accréditations et le cumul des fonctions est de facto. Il doit alors être lui-même contrôlé. Il en est de même dans toute structure si le RSSI est lui-même propriétaire d’un système d’information.


20

de la Sécurité


Thème Juridique

Synthèse

Le RSSI13

est un citoyen et un cadre de l’entreprise. Il a ainsi les droits et les devoirs du citoyen et du cadre. Il peut tenir de la hiérarchie des délégations de pouvoir spécifiques au sein de l’entreprise. Le domaine qu’il a en charge comporte de nombreuses interactions avec le domaine juridique et il est indispensable qu’il organise une relation interactive avec les spécialistes juridiques au sein de son entreprise.

Contexte

Des lois et des règlements de plus en plus nombreux forment un ensemble auquel le RSSI doit se conformer dans son action. Elles concernent aussi bien les normes à respecter pour exercer l’activité de l’entreprise (par exemple, pour la banque : le CRBF 97-02 ou l’article L. 511.33 du Code monétaire et financier relatif au secret bancaire), que pour garantir les droits et obligations sur le plan civil et pénal, de l’entreprise, de ses clients et de ses collaborateurs (par exemple : la loi Informatique et Libertés du 6 janvier 1978 modifiée par la loi du 6 août 2004, la loi pour la Confiance dans l’Economie Numérique du 21 juin 2004, les articles 266-15 et 432-9 du Codé Pénal relatifs à l’interception et la destruction de correspondances privées). Sur le plan opérationnel, le RSSI peut être concerné par des procédures judiciaires impliquant le système d’information de l’entreprise dont il a en charge la sécurité.


Une relation organisée entre les spécialistes juridiques et le RSSI, où ils peuvent échanger avec les spécialistes du système d’information et de sa sécurité, permet, par exemple, grâce à une veille juridique active d’anticiper les évolutions législatives et réglementaires. La mise en œuvre de la SSI et de sa Politique Générale de la Sécurité du Système d’Information doit s’établir en conformité avec les lois et règlements. Cela signifie que le RSSI sera amené à valider son action avec la direction juridique et la direction de la conformité. Des points de rencontre réguliers sur des projets pluridisciplinaires permettront au RSSI de mettre en œuvre sa politique de manière sécurisée sur le plan juridique (exemple : la charte de l’utilisateur de la messagerie ou d’Internet nécessitera de consulter la direction juridique, la direction des ressources humaines et celle de la conformité).

Les Risques

La clarté des délégations que reçoit le RSSI est un atout pour éviter les problèmes futurs. Le RSSI ne doit pas se substituer à la mission confiée à la direction juridique dans la relation de l’entreprise avec les autorités judiciaires. Il ne peut intervenir qu’en appui de celle-ci.

13 RSSI = Responsable Sécurité du Système d’Information


21

de la Sécurité


Conclusion

En synthèse, le RSSI est un homme ou une femme d’expérience qui assure une fonction transversale. Il ou elle doit avoir des qualités de communiquant et se poser comme un facilitateur. Sa fonction s’exerce pour prévenir un danger. Son efficacité se mesure au travers de la maîtrise des risques SI par l’entreprise. Son action et celle de ses correspondants au sein de l’entreprise doivent permettre aux différents acteurs de connaître les risques encourus, de les réduire et d’assumer les risques résiduels. Sa position au sein de la société dépend de l’histoire, de la culture de l’entreprise, mais aussi de sa taille. Il ne peut être réellement efficace pour l’entreprise que s’il est proche de la direction générale. Le RSSI aura réussi sa mission si la maîtrise des risques SI est tellement intégrée à la vie de l’entreprise qu’il n’y a plus nécessité absolue d’une animation spécifique. Il y a dix ans nous pensions pouvoir le faire en quatre ans. C’est encore le cas aujourd’hui! Excès d’optimisme ?


22

de la Sécurité



23

de la Sécurité


LISTE DES MEMBRES DU GROUPE DE TRAVAIL

Ce document a été rédigé par le groupe de travail « Fonction RSSI » Jacques Sarrasin, LCL, animateur du groupe de travail, remercie :

- ceux qui ont activement participé à la rédaction des fiches :

Frédéric CHAVOUTIER LA BANQUE POSTALE

Gil DELILLE CALYON

Jean-Pierre DELMAS BANQUE DE FRANCE

Jean-François LAMBILLOTTE SOCIETE GENERALE

Eric LARCHER BANQUES POPULAIRES

Gilles MAWAS BNP PARIBAS

- et tous ceux qui ont également contribué, dont notamment :

François COUPEZ SOCIETE GENERALE

Joël FERRY MINISTERE DE LA JUSTICE

Patrick LANGRAND GROUPE LA POSTE

Wilfrid GHIDALIA FORUM DES COMPETENCES

Marie-Agnès PLURIEN BANQUE FINAMA

Documents

VWqPHVG¶,QIRUPDWLRQ de la Sécurité