A qui doit être rattaché le RSSI (Responsable de la sécurité des systèmes d’information) dans une entreprise ? La question est inusable depuis dix ans et il n’existe pas de réponse unique. On a pu le constater une fois de plus lors d’une table ronde organisée en clôture des Assises de la sécurité, qui ont eu lieu à Monaco du 30 septembre au 3 octobre.
Ne pas dépendre du DSI
Les réponses sont multiples. Au Crédit Agricole, les RSSI sont rapprochés des directions informatiques sans en dépendre. Au PMU, le RSSI est rattaché à la DSI mais travaille fonctionnellement et étroitement avec la gestion des risques. Dans l’administration, le RSSI – ou son équivalent – est perdu quelque part dans l’organigramme.
Mais pour une association de RSSI – le Cesin – cette question est sans intérêt. Charge au RSSI de savoir créer son réseau d’influence. La question intéresse pourtant les responsables sécurité puisque c’est l’un d’entre eux qui a posé la question.
Dans le détail, au Crédit Agricole, il a été décidé – il y a un an et demi à deux ans – de rapprocher les RSSI des départements informatiques plutôt que de les conserver au sein de la gestion des risques. Cette direction des risques a une compétence informatique faible. Elle travaille en effet sur les risques de contre partie, c’est à dire sur le fait de savoir si une entreprise ou un particulier à qui on a prêté de l’argent va le rembourser.
C’est pour cela que le Crédit Agricole a décidé de rattacher les RSSI à des directions qui chapeautent les DSI mais pas au DSI lui-même. « Le RSSI est rattaché au niveau immédiatement supérieur au DSI, c’est à dire à un DGA ou à un directeur des fonctions support qui a la compétence informatique dans son périmètre, » décrit Jean-Paul Mazoyer, membre du comité exécutif du Crédit Agricole, en charge de l’informatique.
Proche de l’informatique
« Le RSSI est ainsi très proche de la DSI, mais il n’est pas rattaché au DSI lui-même, » souligne-t-il. Il a pris la parole le 2 octobre, lors de l’ultime table ronde des Assises de la Sécurité. « On évite d’avoir un lien hiérarchique qui pourrait cacher les choses, » dit-il.
S’il est rattaché à la DSI, le RSSI risque en effet d’être à la fois juge et parti. Il doit appliquer les consignes du DSI alors même qu’il est censé les auditer, voire les critiquer. Cette dépendance hiérarchique risque d’aboutir à dissimuler un peu les véritables risques pour l’entreprise. Un biais que ne souhaite pas s’autoriser la banque.
Autre approche, celle du PMU. Le RSSI reste bel et bien rattaché au DSI. « Mais il travaille de façon très étroite avec la direction des risques, » veut souligner Christophe Leray, DOSI du PMU. Cela permet de garantir à la fois le lien fonctionnel et la compétence technologique nécessaire dans la fonction.
Le RSSI satellisé dans l’administration
Quant à la situation du RSSI dans l’administration, elle paraît très mal engagée à l’écoute de Christian Daviot, chargé de mission stratégie à l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Dans l’administration, il y a des fonctionnaires de la sécurité des systèmes d’information (FSSI), – équivalents à des RSSI d’entreprise – qui sont rattachés aux hauts fonctionnaires de la défense et de la sécurité (HFDS). Mais ces FSSI semblent très peu écoutés.
« Nous étions dans un cabinet ministériel il y a quelques semaines, qui nous disait ‘le HFDS, on le décongèle tous les six mois, on lui pose une question, et on le recongèle’, » cite Christian Daviot. Bref, le FSSI qui est souvent le n-2 par rapport au HFDS, « n’a aucune chance de voir un de ses projets aboutir, il est seul, il n’a aucun pouvoir, » regrette le responsable de l’ANSSI.
Ces échanges ont fait bondir Didier Gras, RSSI du groupe BNP Paribas, présent dans l’assistance. Pour lui, cette question du rattachement est un faux débat qui revient inutilement chaque année. Il mise plutôt sur la personnalité, le professionnalisme et la capacité du RSSI à créer ses propres réseaux de soutien dans l’entreprise.
Faux débat
« Arrêtons cette question de rattachement du RSSI. C’est un faux débat. Le R de RSSI, c’est une question de responsabilité, d’autonomie, de moyens, de compétence et de sponsor. Cela n’a rien à voir avec une notion de rattachement, c’est une question de culture d’entreprise, et de comment être le plus efficace possible, » martèle-t-il. Une position qu’il déclare être partagée par l’ensemble des 250 RSSI ayant rejoint l’association Cesin, au nom de laquelle il s’exprime et dont il fait également partie.
La question du rattachement ne semble toutefois pas si triviale puisqu’elle avait été soulevée par un membre de l’auditoire, – responsable sécurité – qui indiquait qu’il avait vu une news indiquant que d’un point de vue légal, le RSSI ne devait plus être rattaché au DSI en Allemagne, et il souhaitait avoir l’avis des DSI de la table ronde sur ce sujet.
