 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| Risk Manager et RSSI : une complémentarité bénéfique |
| Soumises à des exigences réglementaires, les entreprises doivent disposer d'une cartographie globale des risques. Un contexte qui encourage les Risk Manager et les RSSI à définir des référentiels communs.
(07/11/2006) |
|
Le RSSI (pour Responsable de la sécurité du système d'information) et le RM (Risk Manager ou gestionnaire du risque en français) n'entretiennent pas suffisamment de contacts. Et pour le Clusif, dans un rapport intitulé "Risk Manager - RSSI : Deux métiers s'unissent pour la gestion des risques liés au Système d'Information", de ce manque de communication peuvent découler des surcoûts.
Le Risk Manager (RM) a habituellement pour tâche de gérer la politique et le plan d'assurance de l'entreprise. Ses missions sont notamment de concevoir les méthodes et outils de gestion de risques, ainsi que de conseiller les métiers sur les mesures de prévention, protection, détection, réaction d'un risque. Il doit pour cela être proche à la fois de la direction générale et des directions opérationnelles.
De son côté le RSSI doit garantir la sécurité logique et physique du système d'information. Tout comme le gestionnaire des risques, sa fonction est par nature transverse. Directions métiers (MOA), DSI et partenaires extérieurs (fournisseurs) sont effet ses interlocuteurs privilégiés. Selon le Clusif, si le RSSI se voit de plus en plus dégagé de la mise en uvre opérationnelle, son implication dans la définition et la gestion des actions de sécurisation des SI est plus que jamais indispensable.
Dans les faits, RSSI et RM ont donc bien tous deux comme préoccupation la gestion des risques liés au système d'information. Ils se rejoignent ainsi sur le respect des quatre axiomes que sont la disponibilité, l'intégrité des données, leur confidentialité et la traçabilité des opérations pour des obligations de preuve. Quatre piliers dont l'altération peut faire courir un risque à l'entreprise, à ses clients et partenaires.
| Une meilleure intégration des risques du SI dans la gestion des risques de l'entreprise |
Pour surmonter la complexité de la gestion des risques propres au SI, RM et RSSI doivent contribuer de manière complémentaire à la définition des méthodes d'identification, d'évaluation des risques en élaborant un référentiel commun, ainsi qu'aux solutions de maîtrise de risques à mettre en place.
Ce rapprochement entre RM et RSSI permettrait ainsi au premier de profiter du savoir et de l'expertise du second en matière de système d'information pour mieux cartographier les risques.
Quant au RSSI, le RM interviendrait pour légitimer auprès de la direction générale ses investissements, en fournissant des tableaux de bord et des indicateurs traduisant le niveau de sécurité des SI face aux risques généraux pour l'entreprise.
Cette alliance entre RM et RSSI est certes profitable, mais elle apparaît aussi de plus en plus comme une nécessité pour se conformer à des exigences légales, nationales et internationales : loi de sécurité financière (LSF) et Sarbanes Oxley Act (SOA) notamment.
En outre, certains secteurs peuvent avoir à respecter d'autres obligations légales. Les compagnies d'assurance, déjà soumises à des réglementations spécifiques, devront ainsi en 2008-2009 appliquer d'autres procédures dans le cadre du projet Directive Solvabilité II.
|
| |
| |
|
|
|
|
|
|
Dossier 