Sécurité
&
SYSTÈMES D’INFORMATION
ORGANISATION
Le positionnement du RSSI en question
La fonction de RSSI, définie par le Livre Blanc de 1996 sur la sécurité des systèmes d’information de la Commission bancaire, a été mise en place dans la plupart des établissements. Mais son positionnement n’est pas toujours clair dans les organisations bancaires. à la fois proche des opérationnels de la DSI et, en même temps, séparé d’eux – est une bonne solution, il rend son positionnement délicat en cas de dysfonctionnement grave en matière de sécurité nécessitant une alerte au plus haut niveau de l’organisation. Le directeur des systèmes d’information pourrait, en effet, être juge et partie et le RSSI manquer d’indépendance. Il est donc pertinent de séparer cette fonction de celle des DSI. Cette recommandation est souvent reprise par le régulateur, suite à des contrôles sur place. Certains établissements ayant fait ce choix de séparation, la place du RSSI dans l’organisation n’est pour autant pas si simple à trouver. Avant la modification du CRBF 97-02, certains établissements avaient pu rattacher cette fonction à l’audit interne, l’une des facettes de cette fonction consistant à évaluer régulièrement le niveau de sécurité atteint, suivre la mise en place des plans d’action décidés par le comité sécurité ainsi que, le cas échéant, faire diligenter des audits spécifiques, comme un audit d’intrusion du réseau, par exemple. Mais, depuis la séparation des fonctions de contrôle permanent et périodique accompagnant la création de la fonction conformité, le positionnement du RSSI nécessite d’être repensé. Fait-il partie du contrôle permanent ou est-il une filière opérationnelle de pilotage de la sécurité ? C’est la question que se posent certains établissements. Cette fonction à multiples facettes (encadrés 1 et 2), qui propose ou édicte des normes de sécurité, pilote les actions de sécurité, anime un comité présidé par un membre de la direction générale, joue un rôle