Editorial : RSSI bougons et DSI ombrelles - Actualités RT Sécurité

Editorial : RSSI bougons et DSI ombrelles

le 19/10/2015, par Didier Barathon, Sécurité, 546 mots

Le RSSI engrange de plus en plus de responsabilités, sans avoir forcément plus de budgets ou de pouvoirs. Il doit savoir se confronter à de plus en plus d'interlocuteurs, internes et externes, IT et non IT.

Au mois d'avril dernier, le Cigref  créait un groupe de travail sur la cybersécurité. Il était temps pour nos grands DSI. Poussés par l'essor du Cesin, club qui regroupe 250 RSSI et directeurs des risques des plus grands groupes français. Talonnés par l'ANSSI, une agence gouvernementale pour le moins remarquable, qui doucement mais sûrement incite DSI, RSSI et PDG à se préoccuper vivement de sécurité numérique. Secoués aussi par le redoublement des attaques qui pèsent sur les grandes entreprises, les française plus que d'autres, en raison des positions françaises au Proche-Orient.

Le Cigref explique  que son devoir désormais est de défendre les budgets des RSSI. Visiblement ce n'était guère une priorité jusqu'alors, les RSSI se voyaient cantonnés à des sujets techniques. L'environnement, mais aussi les choix des DSI, en matière de virtualisation par exemple, l'évolution du collaboratif et de la mobilité, amènent les questions de sécurité au 1er plan. On ne peut parler de la fameuse transformation  numérique sans parler de sécurité. Nos amis RSSI auront donc moins de raisons de bougonner contre des DSI qui semblaient les ignorer. Ils passeront de plus en plus sous leur ombrelle budgétaire. Les DSI étant plus à même de vendre le sujet sécurité.

Le RSSI devient un pivot

Les rapports entre RSSI et DSI ne gagneront pas en simplicité. Le RSSI devient, du moins souhaite devenir, un pivot, dépendant du DSI, mais aussi d'intervenants situés en dehors de l'IT, les auditeurs internes, le DAF (pour les sinistres), la DRH (pour les identités) les métiers. A lui d'encadrer, ou de suggérer d'encadre les flux mobiles, les autorisations d'accès, de rapprocher les identités. Il va devoir se coltiner de nouveaux intervenants comme les assureurs, voire les analystes financiers. Le DSI devrait être un appui. L'ANSSI, qui a un temps d'avance, souhaite que tous ces acteurs pèsent dans le débat sur la sécurité. La sécurité doit sortir de sa coquille, militaire dans les sphères publiques, techniques dans les entreprises. Et le RSSI doit lui aussi sortir de son pré-carré. Plus facile à dire qu'à faire.

Nous connaissons des RSSI de filiales de grands groupes qui ne savent guère s'ils doivent en référer au RSSI central ou laisser faire la direction métier en local, celle qui fait son shadow IT afin de satisfaire la dg de la filiale et ses projets. Intervenir mais jusqu'où ? Dépendre, désobéir, feinter : on ne savait pas le RSSI confronté à de telles alternatives. Il voit son champ de responsabilités s'accroître, mais sa propre responsabilité ne suit pas forcément. D'où la multiplication des débats : changer le nom de RSSI en CISO, le faire dépendre du DSI, d'un directeur des risques, ou d'un autre membre du Comex non IT ?  Lui enlever les contraintes de formation, de communication interne, de budgets pour le laisser s'exprimer sur les nouvelles contraintes qui pèsent sur son entreprise ? Le débat sur les rapports entre DSI et RSSI, qui nourrit de plus en plus de séminaires (Assises, Clusif dernièrement), paraît fumeux mais cache de vrais enjeux pour l'entreprise.

(l'expression « RSSI bougons » a été prononcé à une Tribune des Assises de la sécurité).

Frappé par une faille, Zoom bétonne la sécurité de sa webconférence

Affectant dans un premier temps les utilisateurs de la version macOS pour poste de travail, la vulnérabilité de l'application de webconférence Zoom s'est étendu aux solutions RingCentral et Zhumu. Pour...

le 16/07/2019, par Matthew Finnegan, Computerworld (adapté par Dominique Filippone), 1795 mots

Cisco émet trois avis de sécurité critiques pour DNA Center

Trois problèmes de sécurité sérieux signalés par Cisco concernent Data Center Network Manager (DCNM). L'équipemntier a livré des mises à jour logicielles gratuites corrigeant les vulnérabilités décrites dans...

le 01/07/2019, par Michael Conney, Network World (adapté par Jean Elyan), 725 mots

Mirai essaye d'étendre son emprise au SD-WAN

Après les périphériques connectés, le malware Mirai s'attaque aujourd'hui aux équipements SD-WAN pour accroitre la portée de ses attaques. Mirai, le malware qui a détourné des centaines de milliers d'appareils...

le 18/06/2019, par Jon Gold, IDG NS (adapté par Jean Elyan), 531 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...