Lundi 11 décembre 2017
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE, SUR LE TERRAIN

Responsable sécurité : qui êtes-vous ?

Imprimer Envoyer à un ami Contacter la rédaction
Par Jérôme Saiz le 09/10/2002 - indexel.net
 

Alain Bouillé est le Responsable de la Sécurité du Système d´Information du Groupe Caisse des Dépôts, après avoir exercé une fonction similaire à La Poste et pour la banque américaine JP Morgan. Profil, mission, évolution de carrière... le RSSI est une "race à part" dans le paysage informatique professionnel. Interview.

 

Indexel : Qu'est-ce qu'un RSSI ?

Alain Bouillé : Il est courant de confondre le RSSI et le Responsable de la sécurité informatique. Le RSSI est, comme son nom l´indique, responsable de la sécurité du système d´information dans son ensemble. Il a un rôle de manager : il définit les orientations, élabore et met en oeuvre une politique de sécurité. Le responsable de la sécurité informatique est un technicien chargé de la maîtrise d´oeuvre de cette politique, c´est l´interlocuteur privilégie du RSSI, mais il n´a pas le même rôle. Cette distinction, bien sûr, est essentiellement valable dans les grandes structures. Ailleurs, il est courant que les deux fonctions soient assurées par la même personne, parfois même par le Directeur Informatique lui-même.

Quel est le profil du RSSI ?

Il n´y a pas de profil type, mais le creuset des RSSI est souvent l´informatique. Ce sont d´anciens directeurs informatique, des chefs de projet, ou des ingénieurs. Certains viennent aussi du monde de l´audit, tandis qu´une minorité ont une expérience dans le Risk Management. Mais la proportion de ces derniers a tendance à augmenter aujourd´hui.
Il est toutefois dommage de constater que très peu viennent de la partie utilisateur de l´informatique (maîtrise d´ouvrage, chef de projet).

Ce sont donc obligatoirement des informaticiens ?

Pas forcément, mais il faut une connaissance parfaite du domaine de la sécurité, sans pour autant connaître en détail la technologie et la façon de l´administrer. Il y a donc un minimum de connaissances à acquérir et à maintenir (ce qui est le plus difficile), à la fois pour être crédible vis-à-vis de la maîtrise d´oeuvre informatique, et aussi pour savoir apprécier les risques liés à l´utilisation du système d´information. Quelqu´un qui dit ne pas connaître grand chose en informatique n´est pas à sa place comme RSSI. Cela dit, il faut également une très bonne connaissance du métier de l´entreprise, le RSSI doit avoir une vision transversale de son activité. Mais si je devais recruter demain un RSSI, je privilégierais un spécialiste de la sécurité et des risques du système d´information, et pas un spécialiste du métier de l´entreprise. Car cela, il peut le devenir assez rapidement.

Toutes les entreprises peuvent-elles s'offrir un RSSI ?

Les petites structures ont déjà souvent du mal à s´offrir un directeur informatique, alors il me semble difficile d´y voir un RSSI. Mais cela ne veut pas dire qu´elles doivent faire l´impasse sur la sécurité. Une PME peut conserver en interne la maîtrise de sa sécurité et déléguer la maîtrise d´oeuvre à des prestataires. Le marché est prêt aujourd´hui à accueillir ce type de demandes. En tant que patron d´une PME, je préférerais que la gestion de la sécurité soit assurée par des pros. Car même dans les grandes structures, il n´est pas évident d´administrer efficacement la sécurité 24/24.
Pour ce qui est de la réalisation d´une politique de sécurité, une PME n´a pas besoin d´embaucher un RSSI pour la rédiger. Elle peut passer par un cabinet spécialisé, voire un cabinet d´avocats, car dans les petites structures, la politique de sécurité va souvent se résumer à une charte informatique pour les utilisateurs : nous sommes plus dans une problématique légale. Elle peut aussi envoyer son Directeur Informatique à une série de séminaires sur le sujet (ce n´est pas le choix qui manque dans ce domaine), ou adapter une charte toute faite disponible sur Internet, et la faire valider par un cabinet d´avocats. Cela lui coûterait bien moins cher !

Quelle évolution peut connaître la carrière d'un RSSI ?

C´est un métier de passionnés ! On rencontre souvent les mêmes personnes dans ce métier. Ce n´est plus une voie de garage, comme ça pouvait l´être auparavant. Aujourd´hui, les RSSI ont tendance à vouloir le rester. L´évolution se fait plus en terme de taille d´entreprise que de changement de poste. Certains choisissent tout de même de s´orienter vers le Risk Management, mais la plupart progressent en devenant RSSI dans une entreprise plus importante.

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages