Organisation et sécurité: en finir avec le cloisonnement !

Au printemps dernier, sur lesnouvelles.net, un RSSI s'en prenait dans une carte blanche aux « DSI réactives et bien pensantes » du monde bancaire, qui selon lui négligent les alertes des directions sécurité (notamment sur la partie réglementaire) et participent à une forme de gommage du mot « Responsable » dans l'acronyme RSSI. Ce sentiment - comme tous les sentiments - est bien entendu recevable. Pour autant, à la lecture du rapport 2008 du Clusif (Club de la Sécurité de l'Information Français) sur les "Menaces informatique et pratiques de sécurité en France", il ne semble pas être partagé par tous. Le rapport du Clusif rapporte en effet que seuls 8% des RSSI citent la réticence de la DSI comme un des principaux freins à leur mission. Alors ce RSSI se serait-il alarmé trop vite ? La sécurité a-t-elle trouvé dans le SI un foyer accueillant, prévenant et sensible à ses requêtes ? Assurément non ! Le malaise organisationnel existe bien, le rapport précisant effectivement qu'outre la problématique récurrente du budget, ces mêmes RSSI considèrent que ce sont les contraintes organisationnelles, la réticence de la hiérarchie, des services et des utilisateurs qui arrivent en tête des obstacles à surmonter.

S'il n'est donc pas centré sur la DSI, le ressenti n'en demeure pas moins avéré. Et au demeurant fort légitime car les conséquences sont loin d'être neutres ! Le rapport du Clusif relève en effet sur la période 2006-2008 un "inquiétant sentiment de stagnation" de la sécurité des SI. Le rapport souligne qu'après une période propice à la rédaction des politiques et des chartes de sécurité, peu de mises en application concrètes ont vu le jour, et ce, en dépit des retentissantes affaires de ces derniers mois (Affaire Kerviel à la Société Générale, perte de données personnelles au Ministère de l'Intérieur britannique, etc).

Alors, comment soulager ce ressentiment envers l'organisation ? En la décloisonnant ! Car c'est bien là la cause de nombreux maux. Ainsi, la situation décrite par ce RSSI dans sa carte blanche tient assurément plus de l'incompréhension mutuelle, que d'une mauvaise volonté assumée par l'une ou l'autre des parties. Cette incompréhension, alimentée par des différences d'objectifs, de cycles de vie et de livraison, se retrouve exacerbée par la distanciation des équipes et leur trop faible participation à des projets communs. De fait, nombreux ont été les RSSI ces dernières années, à diligenter auprès de la DSI et des Métiers, des correspondants sécurité chargés de recueillir les besoins des utilisateurs et d'insuffler aux projets les bonnes pratiques édictées dans les chartes. Si cette approche est profitable, elle n'est cependant souvent pas suffisante dans un domaine requérant des compétences aussi variées que l'analyse de risques, l'architecture applicative ou les infrastructures de production. Ainsi, elle ne répond pas, du moins pas intégralement, à la première demande des projets, à savoir la fourniture de solutions de sécurité packagées, rapidement intégrables dans leurs socles respectifs.