INTERVIEW 
 
Hervé Morizot
Directeur
XP Conseil - Devoteam
Hervé Morizot
"Le responsable sécurité se rapproche de plus en plus des directions générales"
Evolution du métier, impact des lois et réglementations, nouvelles menaces et gestion du plan de sécurité : Hervé Morizot, responsable de l'enquête européenne sur la sécurité des systèmes d'information, évoque les principaux enjeux des RSSI en 2006.
09/05/2006
 
JDN Solutions. Quelles ont été les évolutions perceptibles cette année concernant le rôle des RSSI ?
  En savoir plus
 Le Ministère du Travail automatise la gestion de sa sécurité informatique
Hervé Morizot. Les points les plus marquants de l'étude cette année se résume en deux points : la sécurité gagne encore en maturité, ce que l'on voit par le fait que le poste de responsable sécurité se rapproche de plus en plus près des directions générales, tandis que le budget en sécurité ne cesse de croître depuis trois ans à la fois en valeur absolue et valeur relative par rapport au reste du budget informatique.

La définition du responsable sécurité demeure toutefois relativement floue. Il traite des sujets transverses comme la gestion des risques, l'audit et monte en gamme sur des thématiques plus prospectives que réactives.

L'étude met en avant que près de 40% des entreprises cherchent à mesurer le ROI des actions de sécurité. Est-ce la conséquence de l'augmentation des dépenses qui y sont liées ?
Oui, je pense que cela est lié. Plus le budget est important, plus une DSI cherche à savoir à quoi il sert. Mais le calcul du ROI en matière de sécurité est un sujet un peu tarte à la crème, car je n'ai jamais vu d'études précises évaluant le coût d'un virus ou le retour sur investissement de la mise en place d'une solution de détection d'intrusion.

Déjà que le budget en sécurité regroupe des domaines très variables d'une entreprise à l'autre. Pour certains, cela inclut la sauvegarde, les informations nominatives, le respect des normes réglementaires tandis que pour d'autres, cela se limite à la protection contre les virus. Mais d'une manière générale, les directions informatiques ont bien compris qu'elles ont intérêt à pousser la mise en place d'indicateurs précis sur l'efficacité des outils de sécurité.

L'étude fait ressortir une nécessité d'évolution de la fonction de responsable sécurité. Comment doivent-ils se positionner pour être mieux valorisé dans l'entreprise ?
Nous apercevons deux familles de RSSI aujourd'hui : ceux dont le parcours et le plaisir consiste à protéger le système d'information et d'autres dont la fonction a évolué. Pour les premiers, une place de choix est toujours offerte afin de garantir la protection des données de l'entreprise. Le second a quitté l'approche technique pour une approche plus globale de la gestion des risques informatiques dans l'entreprise.

Le RSSI a quitté l'approche technique pour une approche plus globale de gestion des risques"
S'il reste collé à la sécurité des systèmes d'informations, un RSSI n'a pas tellement sa place en comité de direction. En revanche, s'il devient le patron en ce qui concerne la sécurité économique de la société, il obtient cette légitimité. Il doit pour cela industrialiser la gestion des composants de sécurité et tout ce qui relève de la gestion des incidents, de la communication de crise. Ces sujets là où le RSSI était plutôt réactif, s'inscrivent maintenant dans une démarche pro-active ce qui permet de concentrer sa valeur ajoutée sur des sujets plus stratégiques.

Il leur faut par exemple s'intéresser aux évolutions attendues dans les trois prochaines années qui affecteront le système d'information et connecter les nouveaux risques aux métiers les plus sensibles.

D'après l'étude, 86% des RSSI sont impliqués dans une démarche de mise en conformité réglementaire. Qu'est-ce que cela implique dans leur métier ?
L'environnement légal et réglementaire se complexifie beaucoup trop. Peu de clients responsables de la sécurité possèdent une vision nette de toutes les réglementations qui pèsent sur l'activité de leur entreprise. Cette situation s'explique par la complexité des lois mais aussi par la difficulté à suivre différents projets en même temps. De plus, certaines réformes comme celles qui touchent au rôle de la CNIL ont été confiées aux directions métiers ou aux directions générales.

Du coup, si le responsable sécurité cherche à montrer que l'entreprise est conforme aux normes réglementaires, ce n'est pas un sujet sur lequel il ira se battre en premier.

L'étude pointe aussi une baisse de la préoccupation des virus et la prise en compte en parallèle de nouvelles menaces. A quels facteurs attribuez-vous ce changement ?
Les antivirus, de mon point de vue, ont été assez industrialisés. Les gros virus datent d'il y a 2 ans, et les grandes entreprises ont bien normé les choses face à ce risque. La problématique technique s'est déportée sur la gestion des correctifs désormais. A l'inverse, la convergence voix et réseau IP émerge, de même que les problématiques de nomadisme. La virtualisation commence aussi à poser de vraies questions en matière de sécurité.

Pourtant, si ces nouvelles menaces sont bien prises en compte par les RSSI, d'autres plus connues restent largement sous-estimées. Je pense ici aux fraudes internes ou à l'indisponibilité du système d'information, deux problèmes pour lesquels les dommages s'avèrent conséquents.

Vous préconisez la généralisation de l'analyse globale des risques. Que faut-il attendre de cette méthode ?
L'analyse globale des risques est poussée par les lois et règlements comme Sarbanes Oxley"
Enormément de choses. L'entreprise doit avoir une cartographie de risques pour voir ce qui a besoin d'être protégé et définir un plan d'action qui réponde à un besoin. Il est impossible de faire de la sécurité sans connaître précisément les risques qui se présentent à nous. Cette analyse globale est de plus poussée par les lois et règlements comme Sarbanes Oxley.

Un responsable sécurité aura intérêt à mettre à jour cette analyse globale des risques en temps réel, quitte à remettre à plat ce document une fois par an pour l'intégrer dans les directions métiers. Ce plan doit s'adapter aux changements de l'entreprise comme la création d'une nouvelle activité, l'arrivée d'un nouveau partenaire ou d'une nouvelle application.

Plus de la moitié des responsables sécurité citent le manque de budget comme le premier frein à la protection du système d'information et pourtant leur budget augmente sans cesse. D'où vient ce paradoxe ?
  En savoir plus
 Le Ministère du Travail automatise la gestion de sa sécurité informatique
Je ne connais aucun dirigeant qui affirme posséder un trop gros budget de peur qu'on ne lui réduise. Cependant, la hausse des budgets en sécurité cache d'importantes disparités. Il y a des entreprises où le responsable sécurité doit assumer la quasi-totalité des frais. A l'inverse, d'autres font porter les projets sécurité par le département informatique en partie. A budget égal, le deuxième RSSI s'en sort plus facilement que le premier.

 

 
Propos recueillis par Yves DROTHIER, JDN Solutions

PARCOURS
 
 
Hervé Morizot est Ingénieur ESIEA (promotion 91).

Il intègre XP Conseil en mars 1992 comme consultant sécurité puis créé la société Exense (conseil en sécurité) en octobre 1996 ou il contribue au développement des activités de conseil en organisation de la sécurité, d'audit et de « certification » de la sécurité des systèmes d'information.

Il rejoint ensuite la société SoluCom en février 2001 pour prendre la responsabilité du département « sécurité du Système d'Information» et diriger des missions de conseil en management de la sécurité.

Il rejoint enfin le Groupe Devoteam en septembre 2004 pour prendre la Direction de XP Conseil.

Hervé Morizot intervient en tant qu'animateur de nombreux séminaires sur la sécurité, et préside le Comité de Programme Eurosec. Il est aussi chargé de cours Sécurité à l'Ecole Nationale Supérieure des Télécommunications de Paris.

   
 
  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY
 
 


Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters