Sécurité

Pages: 6 (1381 mots) Publié le: 15 avril 2011
MANAGEMENT

&

SYSTÈMES D’INFORMATION

ORGANISATION

Le positionnement du RSSI en question
La fonction de RSSI, définie par le Livre Blanc de 1996 sur la sécurité des systèmes d’information de la Commission bancaire, a été mise en place dans la plupart des établissements. Mais son positionnement n’est pas toujours clair dans les organisations bancaires.
à la fois proche desopérationnels de la DSI et, en même temps, séparé d’eux – est une bonne solution, il rend son positionnement délicat en cas de dysfonctionnement grave en matière de sécurité nécessitant une alerte au plus haut niveau de l’organisation. Le directeur des systèmes d’information pourrait, en effet, être juge et partie et le RSSI manquer d’indépendance. Il est donc pertinent de séparer cette fonction de celle desDSI. Cette recommandation est souvent reprise par le régulateur, suite à des contrôles sur place. Certains établissements ayant fait ce choix de séparation, la place du RSSI dans l’organisation n’est pour autant pas si simple à trouver. Avant la modification du CRBF 97-02, certains établissements avaient pu rattacher cette fonction à l’audit interne, l’une des facettes de cette fonction consistantà évaluer régulièrement le niveau de sécurité atteint, suivre la mise en place des plans d’action décidés par le comité sécurité ainsi que, le cas échéant, faire diligenter des audits spécifiques, comme un audit d’intrusion du réseau, par exemple. Mais, depuis la séparation des fonctions de contrôle permanent et périodique accompagnant la création de la fonction conformité, le positionnement duRSSI nécessite d’être repensé. Fait-il partie du contrôle permanent ou est-il une filière opérationnelle de pilotage de la sécurité ? C’est la question que se posent certains établissements. Cette fonction à multiples facettes (encadrés 1 et 2), qui propose ou édicte des normes de sécurité, pilote les actions de sécurité, anime un comité présidé par un membre de la direction générale, joue un rôled’alerte en cas de dysfonctionnement, évalue régulièrement et contrôle la sécurité des systèmes d’information, revêt bien ces deux aspects de pilo-

Marie-Agnès Nicolet
Associée, directrice générale

Audisoft Consultants

À

qui rattacher le RSSI ? Parmi les multiples impacts des dernières évolutions du CRBF 97-02, en mars 2005 (applicables au 1er janvier 2006), la place du responsable de lasécurité des systèmes d’information, ou RSSI, dans les dispositifs de contrôle interne constitue l’une des problématiques significatives posées aux organisations bancaires. Cette fonction, définie il y a une dizaine d’années par le Livre Blanc sur la sécurité des systèmes, a été mise en place dans la plupart des établissements bancaires, mais à des niveaux très différents de l’organisation.

1.REPÈRES

RSSI et conformité
■ Les départements des banques en charge des systèmes d’information (comme d’ailleurs les structures spécialisées mises en place dans les groupes mutualistes) pour la mise en œuvre de nouveaux applicatifs, le choix d’outils externes ou le pilotage de projets d’implémentation de systèmes se posent à dessein la question de l’application des dispositifs visant à assurerla conformité. Or, pour ces structures, les principaux enjeux de conformité résident notamment dans l’application de l’article 14 du CRBF 97-02, des principes du Livre Blanc sur la sécurité des systèmes, ainsi que de la bonne application des lois CNIL, et des durées légales d’archivage des documents. Le rôle du RSSI dans la conformité des établissements bancaires, notamment sur ces points précis,est donc majeur. Le RSSI sera ainsi l’un des rouages permettant d’assurer la conformité des établissements.

JUGE ET PARTIE
Il n’est pas rare que cette fonction de pilotage de la sécurité des systèmes dépende encore du directeur des systèmes d’information (DSI). Même si certains établissements considèrent que ce rattachement –

62

Revue Banque n° 689 mars 2007

2. REPÈRES...
Lire le document complet

Veuillez vous inscrire pour avoir accès au document.

Vous pouvez également trouver ces documents utiles

  • Securite
  • Securité
  • securité
  • La securite
  • Sécurité
  • Sécurité
  • Sécurité
  • Sécurité

Devenez membre d'Etudier

Inscrivez-vous
c'est gratuit !