Et pourquoi ne pas externaliser la fonction de RSSI ?

Et pourquoi ne pas externaliser la fonction de RSSI ?

Cybersécurité

etuderssi1Et pourquoi ne pas externaliser la fonction de RSSI ?


L’externalisation de la fonction RSSI en PME PMI

Si toutes les entreprises ne peuvent se permettre le recours à un tel spécialiste en interne,
il reste la solution de l’externalisation, qui apporte des réponses tant sur le plan
de la spécificité des compétences que sur la réduction des coûts.
Pour des PME ou des TPE, l’externalisation de cette fonction peut se révéler une opportunité intéressant.

Cette externalisation est intéressante alors sur plusieurs aspects :
Lissage de la charge de travail, le travail d’un RSSI n’étant pas un temps plein,
sauf pendant certaines périodes (sessions de sensibilisation au personnel par exemple)
Possibilité de disposer des compétences d’un professionnel expert dans son domaine.
De plus, le recours à cet intervenant apportera à l’entreprise une crédibilité supplémentaire
en matière de sécurité informatique vis-à-vis des clients ou des partenaires.

Les objections à l’externalisation du RSSI

Il peut exister des réticences à confier une telle mission à une personne externe à la société, notamment :
Cet intervenant aura connaissance des faiblesses de l’entreprise et donc il existe un risque de fuite d’informations sensibles.
A contrario la crédibilité et la compétence de cet intervenant sur le marché de la sécurité est en jeu,
et quand il évoque une faille, cela peut être pour un de ses autres clients (ce qui n’est pas le cas d’un RSSI maison).
Le fait que ce RSSI ne soit pas présent tous les jours sur site : en phase de démarrage de projet le besoin est faible (support méthodologique, …), en phase de maturité cela peut s’avérer être un vrai problème (réaction à une situation de crise) et cela milite pour que cette mission devienne à terme une mission interne.
Cela ne favorise pas la montée en compétence d’un RSSI interne : les compétences nécessaires sont fort différentes entre période de démarrage de projet et le rythme de croisière, il faut trouver le bon moment où le Client décide soit de faire monter en compétence quelqu’un interne soit d’une embauche.

Quelles qualités attendre d’un RSSI ?

Au début d’une démarche sécurité, un RSSI devra avoir plusieurs compétences et qualités souvent antinomiques :
De ce prestataire, on attendra qu’il comprenne les enjeux et les processus de l’organisation,
et qu’il sache être un meneur de projets pour pouvoir travailler avec efficacité à la fois
avec les informaticiens de l’entreprise et les collaborateurs lambda.
Il doit avoir une culture technologique (et la maintenir à jour) sur l’ensembles des technologies de l’information (architecture, réseaux, progiciels, développement,  ..), mais également disposer d’une culture sur les aspects juridiques, normalisation, méthodologiques.

Il est à même de gérer les risques et les incidents, mais aussi et surtout d’accompagner les collaborateurs et de les sensibiliser, dans le quotidien de l’entreprise comme dans la mise en place de nouveaux projets.
Il sait convaincre la Direction des enjeux et de l’importance de mener une telle démarche
Ensuite, quand le projet sécurité sera bien cadré, sa mission intégrera une dimension
de mise en œuvre des mesures de sécurité, de formation et de contrôle.

L’externalisation de la sécurité

Le RSSI n’est pas la seule fonction de sécurité pouvant être externalisée.
Beaucoup d’entreprises externalisent également
la fonction de CIL (Correspondant Informatique et Libertés) ou DPO (Data Protection Officer).

De la même manière, de plus en plus de fonctions sécurité sont externalisées :
externalisation d’un PRA ou simplement des sauvegardes, actuellement facilités
par le développement du Cloud.

Fonction RSSI

Fonction RSSI

Cybersécurité

ZOOM sur RSSIFonction RSSI

En matière de cybersécurité, la moindre petite brique compte.
Ce constat est fait par tous les Responsables de la Sécurité des Systèmes d’Information » (RSSI), dont la mission est de garantir un niveau de sécurité optimal et la tâche est ardue.

Mission du RSSI:

–  construire et mettre en œuvre une politique de sécurité,
– contrôler et mesurer en continu le niveau de sécurité,
– assurez un rôle de conseil, d’assistance, d’information, de formation et d’alerte,
– définir, rédiger et actualiser la Politique de Sécurité des Systèmes d’Information,
– garantir l’intégrité du SI et le déploiement de cette politique,
– mettre en place et animer le Comité SSI transverse à l’entreprise,
– gérer les risques,
– analyser les risques, proposer et conduire des plans d’actions,
– sensibiliser et former l’ensemble des collaborateurs de l’entreprise aux enjeux SSI,
– concevoir et suivre les tableaux de bord SSI,
-réaliser une veille technologique, réglementaire et prospective.

Audits

Il doit aussi conduire des audits SSI internes et externes :
-fixer les objectifs à atteindre en termes SSI (périmètre, planning, moyens)
avant les audits internes et externes
– coordonner les actions transverses SSI
(mesures de sécurité, rédaction et application de procédures…)
– superviser le passage en audit annuel auprès de l’organisme auditeur
et analyser les résultats obtenus pour déterminer les futures actions correctives.
La liste de ces missions est non exhaustive et peut évoluer en fonction de l’activité
et des besoins du service. https://www.perenne-it.fr/expertise/audit-flash-de-securite/

PCA

Le RSSI est un contributeur majeur au plan de continuité (PCA / BCP – Business Continuity Plan)
C’est lui qui s’assure, ès qualité, de l’existence d’un PSI (Plan de Secours Informatique)
qui fait naturellement partie du PCA et en est un élément essentiel.
Les deux rôles RSSI et RPCA ne sont pas incompatibles et peuvent donc être exercés
par la même personne/entité.
Dans ce cas, des garde-fous et des définitions précises des rôles et responsabilités de chaque acteur doivent être formalisés pour bien couvrir toutes les dimensions et pas seulement la partie SI. https://www.perenne-it.fr/category/pupa-pca/    https://www.perenne-it.fr/continuite-dactivite/

Le RSSI, tout comme le DPO du reste, a un devoir de conseil et d’alerte, il doit produire pour les MOA les appréciations des risques nécessaires à la prise de décision, mais l’arbitrage final relève de la MOA et d’elle seule, qui décide, ou non, de tenir compte des préconisations du RSSI puisqu’elle assume seule les conséquences de sa décision.
La MOA accepte formellement les risques, pour autant que le RSSI ait produit une analyse
aussi juste que claire et joué en toute transparence son rôle de conseil et d’alerte.

Conclusion

En synthèse, le RSSI est un homme ou une femme d’expérience qui assure une fonction transversale. Il ou elle doit avoir des qualités de communiquant et se poser comme un facilitateur.
Son efficacité se mesure au travers de la maîtrise des risques SI par l’entreprise.
Son action et celle de ses correspondants au sein de l’entreprise doivent permettre
aux différents acteurs de connaître les risques encourus, de les réduire et d’assumer les risques résiduels.
Sa position au sein de la société dépend de l’histoire, de la culture de l’entreprise, mais aussi de sa taille. Il ne peut être réellement efficace pour l’entreprise que s’il est proche de la direction générale.

La fonction de RSI n’est pourtant pas ouverte à toutes les structures.
Pour des PME ou des TPE, l’externalisation de cette fonction peut se révéler une opportunité intéressante notamment en matière d’optimisation des coûts.
https://www.perenne-it.fr/gouvernance-et-pilotage-de-la-securite/