Le Cesin redessine la place du RSSI alors que les cyber-menaces se multiplient

le 22/12/2014, par Didier Barathon, Sécurité, 564 mots

Le très dynamique Cesin (*)  a tenu son congrès annuel à Reims mi-décembre. Nouvelles menaces, nouvelles offres, relations avec les DSI et les métiers, projets 2015 : le RSSI doit sérier ses axes de travail.

Le Cesin redessine la place du RSSI alors que les cyber-menaces se multiplient

Sollicités sur de plus en plus de sujets, les RSSI sont devenus de moins en moins opérationnels, ils managent et opèrent un tri dans les sollicitations dont ils sont l'objet.  Des sollicitations anciennes, où il faut assurer le suivi et le renouvellement de leurs actions, d'autres plus nouvelles, comme les APT, les objets connectés, le big data, les comportements personnels, la vie privée, le ByOD, où il faut se mettre très vite en veille et agir, en lien avec de plus en plus d'interlocuteurs dans l'entreprise.

Sur chacun de ces thèmes, le RSSI refonde sa légitimité et se découvre un nouveau périmètre d'activités et de responsabilités (**). Il est sollicité, non seulement sur de nouveaux sujets technologiques, liés aux nouvelles menaces mais aussi par le biais du management, en particulier sur le thème de la cyber-assurance.  « Il faut que les entreprises se penchent sur ce sujet des systèmes d'assurance de manière sérieuse » note Alain Bouillé (en photo), Président du club. Le RSSI va donc entrer en relation avec le responsable assurance, un interlocuteur qu'il ne connaît pas, et c'est réciproque, pour un sujet non technique mais très important en termes de budget. Quant aux responsables métier, ils vont solliciter le RSSI en matière de cyber-assurance pour savoir s'ils ont bien les bonnes clauses ou si le RSSI les a prises en compte. Bref, le responsable de la sécurité se retrouve engagé dans une nouvelle boucle de décisions.

Quand le DSI re-centralise

Le shadow IT lui donne également une autre dimension. Plus de 60% des projets informatiques sont désormais financés par les métiers dans les entreprises selon IDC France. Un phénomène fortement dépendant de la modernité de l'entreprise selon le Cesin. Mais où le RSSI est sollicité par les métiers ou par la DSI qui souhaite re-centraliser des décisions qui lui échappent au départ, mais lui reviennent sous l'angle de la sécurité.

Les nouvelles thématiques se multiplient dans la prise en compte de la sécurité. Le big data, les objets connectés, la vie privée vont constituer autant de thèmes pour les mois qui viennent. D'autres surgissent quand on ne les attend pas. L'open source est traité  de manière particulière par une note sur le site du Cesin (signée Stéphane Joguet). Intéressante parce que l'open source est censé assurer une totale sécurité alors qu'il provoque  de plus en plus de failles : Heartbleed, TrueCrypt par exemple. « Le code doit être sérieusement audité » relève Patrick Chambet, vice-président du club. L'open source nécessite d'autant plus de vigilance qu'il est à la base de la virtualisation des réseaux, avec SDN et NFV, deux sujets encore en gestation mais proches de l'entrée dans la réalité.

Le RSSI garde évidemment au quotidien tout ce qui relève de son périmètre actuel : la sensibilisation, la mise en place de solutions pour les projets et les architectures de l'entreprise, la cartographie des risques, les plans de continuité. La transformation  numérique de l'entreprise lui impose de nouvelles exigences, que la sécurité soit correctement embarquée et suivie, le RSSI devient ainsi le garant de la bonne gestion du patrimoine informationnel de l'entreprise



(*) Club des experts de la sécurité de l'information et du numérique
(**) Le cabinet JEEM a publié une excellente étude : « Le RSSI a la croisée des exigences ».

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...