vendredi 22 mai 2009

La fonction RSSI, Résumé de lecture par C. Jolivet, conseiller sénior en sécurité de l’information, Fondateur de PR4GM4 Services Conseils

Référence bibliographique : Foray, B. (2007). LA FONCTION RSSI, Guide des pratiques et retours d’expérience, DUNOD - ISBN 978-2-10-050218-9

Le RSSI est le responsable de la sécurité des systèmes d’information. Plus connu sous l’acronyme anglais du CISO (Chief Information Security Officer). Dans son livre, Bernard Foray nous explique et nous guide.
Dans la première partie, très intéressante, l’auteur nous parle de la mission du RSSI et de ses défis. En effet face aux menaces qui se répandent comme une pandémie, il est trop facile de faire peur en criant au loup. Mais tant que le client ne prend pas conscience des risques associés aux vulnérabilités de ses TI, il ne consacre pas d'efforts pour les atténuer. Trop souvent la sécurité est vue comme « une contrainte » (p. 17), un frein et non une valeur ajoutée à ses affaires.
L’auteur explique aussi que « la sécurité de l'information et toutes ses mises au point et ces optimisations vont certainement bousculer l'organisation, les individus et le contenu même du travail » (p. 10).
L’une des missions du RSSI est donc « de changer l'image de la sécurité afin qu'elle soit vue comme un service et non une contrainte (p. 17).
Il nous parle également, de la stratégie du gagnant-gagnant. En effet, il nous rappelle qu’ « au delà de la première réaction des techniciens, un peux vexés que vous puissiez remettre en cause leur compétence, vous aurez accru leur technicité, vous les aurez valorisé, ils se sentiront beaucoup plus confiants pour gérer leur système et tout le monde sera gagnant » (p. 19).
De plus, « le travail de RSSI est un travail de fourmi, sur le long terme, il apprend à être patient pour changer la culture de l'entreprise, le comportement des informaticiens, des utilisateurs et à faire rentrer la sécurité dans les habitudes de chacun » (p. 19). Cela prend du temps.
Dans la seconde partie il parle des fondamentaux incontournables. Il aborde des sujets tels que les politiques de filtrage de coupe-feu, les audits techniques, la gestion des journaux, la veille sur les vulnérabilités, etc.
Puis en troisième partie il explique les quelques problèmes opérationnels… tel que le déploiement d’une PKI, la sécurité et la mobilité, le Wireless, etc.
Enfin dans la quatrième partie, il parle des moyens de contrôle tel que les tests d’intrusions, les systèmes de détection d’intrusion, etc.
Ce livre de 260 pages est un retour d’expérience enrichissant. 18 chapitres indispensables à la bonne compréhension des défis à relever pour tous les professionnels qui assistent leurs clients responsables de la sécurité de l’information!