Le RSSI doit dialoguer avec les directions métiers pour travailler de manière efficace, et ne plus être isolé dans sa tour d’ivoire. Il doit, pour cela, bien identifier des « risk owners ».
Selon les résultats de notre enquête, 80% des RSSI dans les entreprises interrogées affirment qu’ils doivent avoir un rôle de « coach » des directions métiers. L’étude du CESIN que nous avons aussi mentionnée dans l’enquête souligne à de nombreuses reprises la nécessaire coopération entre RSSI et directions métiers. Le panel des participants de l’étude s’est mis d’accord sur deux messages qu’il faut faire passer aux directions métiers : « la sécurité est dans le champ de responsabilités des directions métiers, et le RSSI peut aider dans la mise en oeuvre de la politique de sécurité ». Une autre partie affirme, non sans raison, que « tous les projets majeurs doivent faire une analyse des risques obligatoire et approuvée par le responsable opérationnel ».
L’approche «risk owners» s’avère très innovante
D’autres RSSI évoquent le « Comité d’architecture » qui contrôle le respect de la sécurité. Quand la sécurité du système d’information est incluse dans leurs objectifs, alors les managers et les équipes opérationnelles deviennent de bons relais en la matière. Autrement dit, le RSSI devient le gestionnaire d’une politique de sécurité efficace, que se sont appropriée les « risk owners » dans chaque département métier de l’entreprise. Cette approche en termes de « risk owners » s’avère être très innovante. En effet, il apparaît dans la norme ISO 27001 version 2005 la notion de « asset owners » (propriétaires d’actif), mais pas la notion de « risk owners ». Cette notion de « risk owners » apparaît au plutôt dans la norme ISO 27001 en 2013. Mais le terme de « risk owners » (littéralement propriétaires du risque) est intraduisible dans la langue française.
François Beaume, Président de la Commission Système d’information au sein de l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise), le définit comme suit : « c’est une personne des directions métiers de l’entreprise à qui on va formellement donner une responsabilité sur le traitement d’un risque et son suivi dans le temps ». L’AMRAE milite bien évidemment pour la nomination de « risk owners » au sein des entreprises. « Nous recommandons d’identifier des risk owners. Pour nous, un « risk owner » est le propriétaire du risque. Il peut être identifié à partir de la cartographie des risques, et c’est quelqu’un qui est identifié au sein de chaque direction métier ».
Outscale, liée à Dassault Systèmes, est une des rares organisations en France à avoir identifié des « risk owners » pour obtenir une certification ISO 27001:2013 par le BSI. Son responsable du système de management, de la qualité et de la sécurité précise que « dans une entreprise, il existe plusieurs types de risques : le risque brut, avant application du plan de traitement des risques, et le risque résiduel. Ce dernier se compose de risques importants, qui sont gênants pour la bonne marche de l’entreprise mais non mortels, et de risques insignifiants. Le risque critique, qui peut être mortel, doit avoir été éliminé. »
François Beaume, Président de la Commission Système d’information au sein de l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise).
“ Le « risk owner » est le propriétaire du risque. Il peut être identifié à partir de la cartographie des riques, et c’est quelqu’un qui est identifié au sein de chaque direction métier ”
Le « risk owner » est la personne qui est capable de dire que le risque critique a disparu après application du plan de traitement des risques, que le risque important est identifié et restera supportable. Et enfin que le risque résiduel, important ou acceptable, est identifié et restera sous contrôle. Le « technicien de base » ne parvient pas, en général, pour sa part à s’extraire d’une position dans laquelle il aurait, naïvement, éliminé tout risque… C’est toute la difficulté de la mise en place d’un système de management de la sécurité. Il ne faut pas rester à ce stade embryonnaire du technicien. Une telle prise de position nécessite souvent le contrôle d’auditeurs extérieurs, parce que « c’est moins conflictuel ». Il faut un temps certain pour que des responsables parviennent à se prononcer de la sorte…. Plus d’une année de travail n’a rien d’anormal. « Je gère des risques, je ne gère pas la sécurité », explique Eric de Bernouis, RSSI du Groupe Yves Rocher.
Le RSSI, qui assure consciencieusement sa fonction, doit-il donc s’effacer derrière ses « risk owners » pour devenir leur coach et exiger que ceuxci prennent en charge les exigences de sécurité métier de l’entreprise ? Utopie ou réalisme…
Une marge de progression certaine
La plupart des RSSI que nous avons interrogés pour cette enquête, sont conscients de la nécessité d’identifier des « relais » dans les directions métiers qui portent la bonne parole sécurité au sein de l’entreprise. De là à des définir comme des « risk owners », il existe une marge de progression certaine...
« En fait, les entreprises ayant atteint un certain niveau de maturité ont défini cette notion un peu à l’instar de la notion de responsable de traitement vis-à-vis de la Cnil. En général, le « risk owner » est le responsable métier qui porte le projet et son budget associé » précise Alain Bouillé, directeur sécurité des SI d’un grand groupe financier et Président du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique). Pour lui la plupart des sociétés rencontrées ne sont pas encore véritablement mûres pour cette approche, même si elles en comprennent souvent la nécessite. Elles ont le plus souvent désigné des « correspondants sécurité », au sein des directions métiers, qui ne sont pas encore véritablement des « risk owners ». « Nous n’avons pas encore identifié de « risk owners » au niveau des directions métiers, et cette étape n’est pas la plus facile. Mais je ne vois pas comment nous pourrions passer à côté », explique Jean-Noël Olivier, RSSI de la mairie de Bordeaux. De son côté, Eric de Bernouis, RSSI du Groupe Yves Rocher analyse : « il est évident que nous avons besoin d’identifier des risk owners ». Olivier Renault, responsable des systèmes d’information R&D et décisionnel marketing du Groupe Yves Rocher, a été ainsi « désigné » pour être « risk owner » par Eric de Bernouis. « J’ai un doctorat de chimie comme formation, mais j’ai basculé vers les systèmes d’information en travaillant pour un laboratoire pharmaceutique. Le rapport au métier est essentiel » explique-t-il.
Etablir la cartographie des risques
Les identifier demeure un vrai casset-ête pour les RSSI. Leur profil, qui demande de combiner plusieurs compétences, les rend parfois très difficiles à reconnaître, d’autant que, comme nous l’avons déjà écrit, il s’agit d’une approche émergente sur les risques liés au système d’information. Alain Bouillé, Président du CESIN, nous précise : « en général, ce sont les métiers qui, comme pour les gestionnaires des autres risques, choisissent. Il vaut d’ailleurs mieux que cela soit eux qui le fassent, quitte à décliner telle ou telle candidature si elle n’est pas appropriée. Ensuite, charge à nous de les former, de les intégrer à notre réseau, de les responsabiliser, et de les alimenter (incidents entre autres) ».
Marie-Elise Lorin, responsable du Département Gestion des Risques et Conformité de SMACL Assurances (mutuelle d’assurances des collectivités locales), pilote de l'antenne régionale de l'AMRAE grand Ouest, basée à Niort, et qui a organisé en septembre dernier une table-ronde sur les rapports entre RSSI et Risk managers, définit ainsi les qualités des « risk owners » : « ils doivent être à l’écoute, intègres, capables de prendre de la hauteur sur les risques, de maîtriser les techniques de gestion de projets, notamment pour établir des cartographies de risques ».
Par ailleurs, pour collaborer avec leur RSSI, les risk owners doivent avoir une bonne connaissance de la sécurité des systèmes d’information. Enfin, les risk owners doivent être idéalement réceptifs aux notions de conformité, car une grande partie des risques opérationnels sont des risques de non-conformité. « Ajoutons que la nomination des risk owners est souvent demandée à un responsable de département. C'est lui qui identifie dans son équipe l'expert-métier qui renseignera en son nom la cartographie des risques. Le « risk owner » accepte souvent de fait une responsabilité supplémentaire qui figure rarement sur sa fiche de poste, et qui n'est pas rétribuée. C'est parce que la fonction est valorisante qu'ils l'acceptent et c'est à l'animateur du dispositif, le risk manager, de gérer son réseau intelligemment pour donner aux risk owners l'envie d’assumer cette nouvelle responsabilité ; Ce n'est pas toujours évident... ».
Le directeur du système de management de la qualité et de la sécurité d’un opérateur dans le cloud computing confirme : « le « risk owner » doit être polyvalent, doit savoir analyser, synthétiser et résumer une situation, cela n’est pas toujours facile ». Parfois, faute de pouvoir analyser clairement le risque, par exemple le risque achat lié à la défaillance d’un fournisseur faute de suffisamment identifier le risque sur le fournisseur, c’est le Président de l’entreprise qui se retrouve risk owner. Mais à être « risk owner » sur trop de risques, il fait lui-même courir un risque à l’entreprise. ■
Sylvaine Luckx
Jill Massas, « risk owner » chez Proservia
Proservia, une entreprise créée en 1994, est un acteur reconnu sur le marché des ESN (Entreprises de Services du Numérique, nouvelle dénomination des SSII) qui a rejoint ManpowerGroup Solutions en 2011. Proservia est spécialisée dans l’infrastructure management et le support aux utilisateurs les métiers de l’architecture, de la transformation et de l’infogérance. Jill Massas est « risk owner » au niveau des ressources humaines au niveau de Proservia. Elle nous détaille son expérience :
« Je suis chargée des ressources humaines au niveau de deux agences de Proservia, Rennes et Lannion. Le référent sécurité entreprise, Michaël Catroux [qui a répondu à notre enquête en précisant que le RSSI devait être un coach et un correspondant des directions métiers ndlr], m’a désignée pour être « risk owner » au niveau de la direction des ressources humaines. Ce projet est lié à plusieurs éléments : il correspond tout d’abord à un projet d’entreprise, prenant en compte les exigences de nos clients (télécoms, banques, industries…), de plus en plus accrues, et à un contexte de croissance ».
« Nous sommes actuellement 1 380 collaborateurs et envisageons de compter 2 500 collaborateurs d’ici à fin 2015. Dans le cadre de notre démarche de certification ISO 27001, il faut remettre à plat l’ensemble de nos mesures de sécurité existantes et en ajouter de nouvelles (sensibilisation des collaborateurs et suivi, analyses de risques, mise en place d’indicateurs, formalisation de procédures sur la sécurité de l’information, sécurité physique des locaux, nouvelles solutions techniques). J’occupe cette fonction depuis mai 2014. Michaël Catroux m’en a parlé, et j’ai passé beaucoup de temps avec lui, à travailler sur les normes ISO. Si le RSSI reste le chef d’orchestre, le « risk owner » identifie les risques sécurité liés à son activité ».
« Une fois par mois, nous organisons un Comité Sécurité qui réunit une quinzaine de personnes : des membres de la DSI, du CODIR, de la Direction Administrative, de la Direction Qualité, un représentant du service Juridique, de la DRH et autres responsables de sites. Nous dressons une revue de politique de sécurité générale, pratiquons une analyse des risques identifiés, mettons au point une journalisation des évènements de sécurité, et nous attachons à la formation des collaborateurs ».
Dossier publié dans le magazine Mag-Securs n°44, daté 4ème trimestre 2014. Sommaire complet et achat en ligne sur cette page.