Vers une industrialisation sur mesure
Il revient au responsable de la sécurité informatique d'industrialiser la sécurisation du système d'information sans instaurer de lourdes contraintes.
01net.
le 23/06/06 à 07h00
' Tant que l'on n'est pas conscient des menaces, l'on vit tranquille ! ', ironise Carmelo Pansera, le RSSI d'ALD Automotive, filiale de la Société Générale
spécialisée dans la location automobile. Gérer la sécurité, c'est d'abord prendre conscience des risques potentiels. Mais la sécurité du système d'information s'inscrit dans un projet plus global, le plan de continuité de
l'activité. La question à se poser : quels sont les risques découlant de la défaillance ou de l'indisponibilité du système d'information ?
Avant toute chose, la DSI doit permettre à la direction de l'entreprise de prendre la mesure de ces risques, de les hiérarchiser en fonction de leur importance. Surtout, elle doit s'organiser de manière à éviter
qu'un événement ne vienne remettre en cause la marche de la société. A la direction générale de décider de l'affectation de moyens en fonction des risques encourus.
La sécurisation du système d'information représente une lourde tâche. Elle concerne l'ensemble de l'entreprise. ' Il n'existe pas de recette miracle. Aucune politique de sécurité
n'est reproductible, même entre deux sociétés évoluant dans le même secteur d'activité ', signale Serge Saghroune, RSSI du groupe Accor. Seule une politique globale, lancée par la direction générale, peut être
efficace.
L'hétérogénéité et l'empilement de différents dispositifs de sécurité constituent un premier obstacle. La définition d'une base technologique, diffusée ensuite dans l'ensemble de la société, paraît
indispensable. Ainsi que sa remise en cause continuelle au fil de l'évolution des usages et des innovations matérielles et logicielles.
Le risque zéro demeure un objectif hors de prix
' La sécurité constitue un tout. Parler de sécurité du système d'information sans parler de sécurisation de l'activité économique n'a pas de sens. Il faut être cohérent dans les niveaux de
protection que l'on veut mettre en place ', prévient Marc Giraud. Le directeur architecture et systèmes du concepteur et fabricant de verres correcteurs Essilor se montre formel : l'objectif n'est
pas de bâtir une nouvelle ligne Maginot.
Il s'agit de garantir la sécurité nécessaire à la continuité des processus métier. Ce n'est pas forcément évident. Selon Carmelo Pansera, ' la partie la plus difficile est d'évaluer réellement
le risque. Ensuite, il faut arbitrer entre le coût de la mise en place des procédures pour se prémunir de ces risques et le coût avéré '.
Le coût des mesures peut exploser si l'on cherche à approcher le risque zéro. ' Le plan de continuité de l'activité représente un objectif stratégique, ce n'est pas au RSSI de décider ce qui
doit être maintenu. Ou alors, il faut être très riche pour pallier tous les risques !, s'enflamme Serge Saghroune. C'est la direction générale qui produit le cahier des charges, la DSI se préoccupant de la
mise en ?"uvre. ' Et Carmelo Pansera d'ajouter : ' Si on laisse la sécurité uniquement aux mains des techniciens, tout sera doublé (procédures de sauvegarde systématique, inflation des
moyens disponibles...) quelle que soit la criticité du risque. '
Yann Noblot, d'Atos Origin, a participé côté sécurité aux Jeux olympiques d'hiver de Turin, en 2006. Il présente la méthodologie employée pour préparer cet événement. ' Nous avons
d'abord analysé les risques auxquels nous pouvions être confrontés ?" virus, piratage, malveillance interne, etc. ?", puis établi cinquante-deux scénarios d'attaques. Nous avons ensuite qualifié le niveau de ces
risques sur une échelle allant de un à dix, puis réparti nos efforts sur les plus importants en fonction de notre budget, qui n'était pas extensible. C'était à nous de nous adapter à ces contraintes. '
Un élément d'audit pour le commissaire aux comptes
Si la sécurité du système d'information n'est qu'un élément du plan de continuité de l'activité, il n'en demeure pas moins qu'elle doit résulter d'une vision globale. Ce qui ne relève pas
encore du cas général. Mais les choses évoluent. ' Ce genre de réflexion est de plus en plus souvent impulsé par la direction générale ', note Laurent Bellefin, responsable de la division sécurité à
Solucom, un cabinet de conseil ?"uvrant dans le domaine des infrastructures des systèmes d'information.
' La sécurité des systèmes d'information est maintenant identifiée comme primordiale pour assurer la sécurité générale de l'entreprise. Les obligations réglementaires se font de plus en plus
pressantes, et il n'est pas rare que les commissaires aux comptes, qui prennent en considération les risques opérationnels informatiques, mettent la pression sur les DSI en auditant leur politique de sécurité. '
De plus en plus souvent, une démarche d'audit figure au sein des projets de définition des plans de continuité de l'activité. L'élaboration de ces derniers sert à repérer et à évaluer précisément les risques
concernant l'ensemble du système d'information, des métiers et des sites de l'entreprise. ' Ces plans se sont multipliés après le 11 septembre 2001, mais la dynamique est vite
retombée ', rapporte Laurent Bellefin. Réflexion faite, les grandes entreprises ont dû relativiser. ' Après les attentats, l'activité de Wall Street a été interrompue pendant une semaine, alors
que certaines sociétés avaient des exigences de reprise de l'activité de quatre heures ', précise Pierre-Emmanuel André, responsable du département continuité d'XP Conseil (groupe Devoteam Consulting). Toutefois,
on assiste à une résurgence depuis le début de l'année 2005. A l'ANPE, la réflexion sur la mise en place d'une politique globale de sécurité a commencé courant 2004.
Le responsable de la mission, Eric Grospeiller, se souvient : ' L'initiative est venue de la direction générale, sous l'impulsion du DSI, avec deux niveaux de responsabilité : un
responsable sécurité à la direction informatique, relayé dans chaque entité (réseau, production, études...) par des responsables locaux. Cette organisation a permis de mener en 2005 une action de sensibilisation auprès de toute la
direction informatique. '
L'uniformisation des technologies et des outils demeure l'objectif prioritaire des entreprises, trop souvent affligées de systèmes d'information en forme d'usines à gaz. Témoignage d'Alain Bouillé,
directeur sécurité des systèmes d'information du groupe Caisse des dépôts et consignations : ' L'état actuel de la sécurité des systèmes d'information résulte d'une conception dépassée qui
consistait à empiler les technologies. ' Et Serge Saghroune de renchérir : ' Une fois mis en place les technologies et les processus, on croit être sécurisé, c'est une
erreur. '
Pour Marc Giraud, la question importante était : comment garantir, dans une entreprise dispersée géographiquement, que toutes les pratiques soient cohérentes et homogènes ? La DSI d'Essilor s'est appuyée sur la
définition d'un PC présentant les mêmes contenus et les mêmes processus de mise à jour, dupliqués dans l'ensemble des sites du groupe. Pour les serveurs, la logique fut quasiment la même. Enfin, un dispositif centralisé de paramétrage,
ou, à tout le moins, coordonné, des connexions à internet a été mis en place.
L'homogénéisation du parc informatique contribue à une meilleure adaptation des règles de sécurité. ' Mais si on se trompe, on se trompe partout ! ', s'exclame Marc
Giraud. Pour Carmelo Pansera, la problématique paraît un peu différente. Avec trente-deux filiales en Europe, les besoins ne sont pas identiques. ' Nous avons mis en place un référentiel documentaire sur la sécurité. A partir
de celui-ci, nous déclinons les solutions techniques. '
Scruter chaque projet sous l'angle de la sécurité, sans paranoïa
Uniformisation, référentiel technique... La sécurité du système d'information doit s'industrialiser, pas forcément se standardiser. ' Nous devons réfléchir en permanence à la sécurité. Un effort
de vigilance constant reste nécessaire pour se mettre à niveau ', indique Serge Saghroune.
L'idéal serait d'étudier chaque nouveau projet sous l'angle de la sécurité : ' Penser plan de continuité de l'activité pour chaque changement de fonction applicative
stratégique, préconise Carmelo Pansera, envisager toutes les technologies disponibles, mais en limitant le risque. Pour le Wi-Fi, trouvons des solutions pour l'adopter plutôt que de se contenter d'affirmer que
c'est dangereux. Il se trouvera toujours quelqu'un pour installer un réseau dans son coin. '
Serge Saghroune estime que les dispositifs de sécurité contraignants inciteraient les utilisateurs à les contourner. Pis : ' A trop en faire, on finit par bloquer le business. ' Quand
trop de précautions nuisent gravement à la sécurité...
Vigie et arbitre
Centraliser, industrialiser, mais pas forcément standardiser, voilà la délicate équation soumise au jugement du responsable de la sécurité du système d'information. Chargé d'évaluer les risques et d'arbitrer
entre les métiers de sa firme, le RSSI dépend désormais souvent de la direction générale, à laquelle revient la promotion du projet de sécurité et la fixation des priorités.
ALD Automotive
Activité : financement et gestion de parcs automobiles (groupe Société Générale)
Directeur général : Jean-François Chanal
CA : non communiqué
Effectif : 3 000 personnes (DSI holding : 60 à 70 personnes)
Parc automobile : 600 000 voitures gérées
Site Internet :
www.aldautomotive.fr
Accor
Activité : hôtellerie et services de restauration
Directeur général : Gilles Pélisson
CA 2005 : 7,6 milliards d'euros
Effectif : 168 000 personnes
Site Internet :
www.accor.com
Groupe CDC
Activité : institution financière publique
Directeur général : Francis Mayer
Fonds propres 2004 : 14,8 milliards d'euros
Effectif : 35 900 personnes (un GIE gère l'informatique du groupe)
Site Internet :
www.caissedesdepots.fr
Serge Saghroune (Accor) : ' Mon DSI arbitre en cas de différend '
Même si le RSSI est amené à collaborer régulièrement avec le directeur de la sécurité des biens et des personnes du groupe, son patron reste le DSI.
Jusque-là, le RSSI dépendait, dans la plupart des cas, de la DSI. Sa fonction tend à évoluer dans l'organigramme. La sécurité des systèmes d'information est de plus en plus jugée critique pour l'activité. Cette
prise de conscience au plus haut de la hiérarchie a chamboulé les relations entre DSI et RSSI. Selon Pierre-Emmanuel André, responsable du département continuité dXP Conseil, ' moins d'un RSSI sur deux appartiennent à
une DSI. Ils sont souvent rattachés à la direction générale ou à la direction des risques '.
A la Caisse des dépôts et consignations, Alain Bouillé est dans ce cas. Il a rejoint la direction des risques dès sa création. Pour lui, l'indépendance vis-à-vis de la DSI représente un avantage. ' Ne
pas faire partie de la DSI évite les conflits d'intérêt, explique-t-il. Je suis plus libre de marquer mon refus vis-à-vis d'un projet porté par la DSI qui ne répond pas à toutes les obligations de
sécurité. '
Un autre avantage pour le RSSI est la disposition d'un budget propre. La bataille budgétaire se situe souvent au c?"ur des querelles entre le DSI et le RSSI. ' Nous sommes dans une phase où les RSSI
se battent pour gérer un budget de sécurité, ce qui dérange les DSI ', affirme Laurent Bellefin.
Pour Alain Bouillé, l'organisation adoptée par son organisme facilite les relations entre les deux responsables. ' Le DSI a intérêt à ce que son informatique soit sécurisée. Nous avons ainsi une
relation de client à fournisseur. Je suis une maîtrise d'ouvrage, mes projets sont transversaux. J'ai des besoins, je les exprime en termes de cahier des charges, et je les transmets à la DSI. '
La place du RSSI dépend à la fois du degré de criticité de la problématique de sécurité de chaque entreprise, de la taille de cette dernière, et de la capacité à travailler en harmonie du DSI et du RSSI. Ainsi, à Accor, Serge
Saghroune, sous l'autorité directe du DSI, a su marquer son territoire. ' Mon rôle est de définir la politique de sécurité informatique globale du groupe ainsi que ses prolongements opérationnels, comme la mise en place
de nouvelles applications, et de gérer les questions de sécurité relatives à nos prestataires. '
Même si sa fonction le pousse à collaborer régulièrement avec le directeur de la sécurité des biens et des personnes du groupe, son patron reste le DSI. ' C'est lui qui arbitre en cas de
différend. ' Une organisation que l'on retrouve à ALD Automotive : ' Mon responsable est le DSI de la holding. Nous avons un comité de pilotage avec la direction tous les trois ou quatre
mois ', détaille Carmelo Pansera. Autre cas de figure : A Essilor, on se passe de RSSI. ' La sécurité informatique du système d'information est assurée par le DSI, précise Marc
Giraud, directeur architecture et systèmes. Cela évite de déresponsabiliser les personnels opérationnels. '
La recherche de la juste place à octroyer au RSSI dans les organigrammes se poursuit. Mais, pour qu'il puisse assurer efficacement sa mission, sa position doit refléter l'importance de sa fonction. Seule la direction
générale possède la capacité de crédibiliser cette activité transversale. Au RSSI d'?"uvrer en bonne intelligence avec le DSI, le seul maître à bord en matière de système d'information.
Alain Bouillé, DSI (Caisse des dépôts et consignations) : ' Aux métiers d'écrire les plans de continuité '
Pour le DSI, savoir gérer l'interdépendance des métiers du groupe en matière de continuité de l'activité est primordial.
Le pire est prévisible. Alertée du risque de crue centennale de la Seine, la Caisse des dépôts et consignations, installée à quelques mètres du fleuve, décide, courant 2002, de mettre en place un plan de continuité de
l'activité. Ce dernier groupe le plan de continuité d'entreprise et celui des ressources, qu'elles soient humaines, logistiques, de communication...
' C'est un chantier relativement classique, affirme Alain Bouillé, directeur sécurité des systèmes d'information. Il s'agit de déterminer quelles sont les activités
critiques, puis d'identifier les différentes menaces : pannes électriques, incendies... La grande difficulté est de bien distinguer ce qui est critique de ce qui ne l'est pas, et d'être cohérent en termes de
métiers. ' Savoir gérer l'interdépendance des métiers du groupe en matière de continuité de l'activité se révèle primordial. ' Il faut être extrêmement pragmatique. Sinon, on peut vite se
décourager devant l'ampleur de la tâche. '
Second conseil, éviter une trop forte centralisation : ' Le savoir est dans les directions métier. Il faut être en mesure de faire travailler les gens ensemble, ce qui n'est pas évident dans les
entreprises en silos, et trouver la bonne organisation. Mais il ne faut en aucun cas écrire le plan de continuité de l'activité à la place des responsables métier. '
' Les projets de
centralisation de l'informatique en cours nous ont bien aidés, se souvient Alain Bouillé. Si un immeuble brûle, nous devons seulement nous préoccuper du personnel, cela change tout. Nous n'avons plus
d'informatique locale, tout est centralisé et une grande partie du système d'information est redondante. '
Finalisé fin 2005, le chantier est en phase de maintien opérationnel. Tests, comité de pilotage... L'essentiel de la tâche consiste à ' réajuster en permanence les niveaux de priorité entre
les métiers et à assurer la cohérence entre les différents plans de continuité. '
nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à SVM mac : 4 €/mois
Abonnez-vous à 01 Informatique : 19 €/mois
