Fonction RSSI

Fonction RSSI

Cybersécurité

ZOOM sur RSSIFonction RSSI

En matière de cybersécurité, la moindre petite brique compte.
Ce constat est fait par tous les Responsables de la Sécurité des Systèmes d’Information » (RSSI), dont la mission est de garantir un niveau de sécurité optimal et la tâche est ardue.

Mission du RSSI:

–  construire et mettre en œuvre une politique de sécurité,
– contrôler et mesurer en continu le niveau de sécurité,
– assurez un rôle de conseil, d’assistance, d’information, de formation et d’alerte,
– définir, rédiger et actualiser la Politique de Sécurité des Systèmes d’Information,
– garantir l’intégrité du SI et le déploiement de cette politique,
– mettre en place et animer le Comité SSI transverse à l’entreprise,
– gérer les risques,
– analyser les risques, proposer et conduire des plans d’actions,
– sensibiliser et former l’ensemble des collaborateurs de l’entreprise aux enjeux SSI,
– concevoir et suivre les tableaux de bord SSI,
-réaliser une veille technologique, réglementaire et prospective.

Audits

Il doit aussi conduire des audits SSI internes et externes :
-fixer les objectifs à atteindre en termes SSI (périmètre, planning, moyens)
avant les audits internes et externes
– coordonner les actions transverses SSI
(mesures de sécurité, rédaction et application de procédures…)
– superviser le passage en audit annuel auprès de l’organisme auditeur
et analyser les résultats obtenus pour déterminer les futures actions correctives.
La liste de ces missions est non exhaustive et peut évoluer en fonction de l’activité
et des besoins du service. https://www.perenne-it.fr/expertise/audit-flash-de-securite/

PCA

Le RSSI est un contributeur majeur au plan de continuité (PCA / BCP – Business Continuity Plan)
C’est lui qui s’assure, ès qualité, de l’existence d’un PSI (Plan de Secours Informatique)
qui fait naturellement partie du PCA et en est un élément essentiel.
Les deux rôles RSSI et RPCA ne sont pas incompatibles et peuvent donc être exercés
par la même personne/entité.
Dans ce cas, des garde-fous et des définitions précises des rôles et responsabilités de chaque acteur doivent être formalisés pour bien couvrir toutes les dimensions et pas seulement la partie SI. https://www.perenne-it.fr/category/pupa-pca/    https://www.perenne-it.fr/continuite-dactivite/

Le RSSI, tout comme le DPO du reste, a un devoir de conseil et d’alerte, il doit produire pour les MOA les appréciations des risques nécessaires à la prise de décision, mais l’arbitrage final relève de la MOA et d’elle seule, qui décide, ou non, de tenir compte des préconisations du RSSI puisqu’elle assume seule les conséquences de sa décision.
La MOA accepte formellement les risques, pour autant que le RSSI ait produit une analyse
aussi juste que claire et joué en toute transparence son rôle de conseil et d’alerte.

Conclusion

En synthèse, le RSSI est un homme ou une femme d’expérience qui assure une fonction transversale. Il ou elle doit avoir des qualités de communiquant et se poser comme un facilitateur.
Son efficacité se mesure au travers de la maîtrise des risques SI par l’entreprise.
Son action et celle de ses correspondants au sein de l’entreprise doivent permettre
aux différents acteurs de connaître les risques encourus, de les réduire et d’assumer les risques résiduels.
Sa position au sein de la société dépend de l’histoire, de la culture de l’entreprise, mais aussi de sa taille. Il ne peut être réellement efficace pour l’entreprise que s’il est proche de la direction générale.

La fonction de RSI n’est pourtant pas ouverte à toutes les structures.
Pour des PME ou des TPE, l’externalisation de cette fonction peut se révéler une opportunité intéressante notamment en matière d’optimisation des coûts.
https://www.perenne-it.fr/gouvernance-et-pilotage-de-la-securite/

 

Outil de résilience à l’heure du COVID-19 ?

Outil de résilience à l’heure du COVID-19 ?

PUPA PCA

Le PUPA : Outil de résilience à l’heure du COVID-19 ?

« Plan d’Urgence et de Poursuite des Activités » PUPA et non plus du PCA « Plan de Continuité des Activités »
Cependant la définition du PUPA qui est fournie dans le décret est quasiment la même que celle de l’ancien PCA

Du reste, Les autorités parlent de PUPA : est-ce judicieux ?
Est-ce l’outil  de résilience à l’heure du COVID-19 ?

D’ailleurs, Les banques et compagnies d’assurance doivent avoir un PUPA depuis fin 2014
A cet égard, Dans le décret de 2014, l’ACPR mentionne le PUPA en lieu et place du PCA.
Pourquoi introduire ce concept alors que les praticiens de la continuité sont habitués au PCA

D’autre part, Le « PCA » est victime d’interprétations très nombreuses.

Qu’est-ce donc que le PUPA ? Outil de résilience à l’heure du COVID-19 ?

PUPA : Outil de résilience à l’heure du COVID-19 ?
PUPA vs PCA
Le PUPA, contrairement au PCA n’a pas un passé chargé !

PUPA : « Plan d’Urgence et de Poursuite des Activités » c’est clair et montre bien qu’il y a deux objectifs,
réagir en urgence et poursuivre des activités.
La définition du PUPA qui est fournie dans le décret est quasiment la même que celle de l’ancien PCA :
« Ensemble de mesures, des dispositifs, des ressources et des moyens nécessaires visant à assurer,
selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant,
de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la reprise planifiée des activités et à limiter ses pertes.
Les derniers mots « et à limiter ses pertes » ont été ajoutés à l’ancienne définition.

Regardons la définition du PUPA de plus près

Il s’agit d’un « ensemble de mesures ».
Ces mesures « visent à assurer » : elles ne « garantissent » pas », de façon temporaire selon un mode dégradé,
suivi du retour à une reprise planifiée, des prestations de services importantes et à limiter ses pertes.

PUPA

Anticiper la perte de production informatique à la suite d’un sinistre et définir une organisation pour limiter le risque Incendies, intempéries, catastrophes naturelles, crises sanitaires, conflits sociaux, arrêts informatiques,
attentats … autant de sinistres qui rappellent que nos organisations sont de plus en plus exposées aux risques.
En d’autres termes, dans une économie mondialisée où l’interdépendance des activités est croissante, les entreprises
et autres collectivités ont à affronter des risques qui menacent leur pérennité si elles n’anticipent pas
et ne se préparent pas à gérer des situations exceptionnelles qui peuvent brutalement interrompre,
partiellement / totalement, leur activité (cf. Covid-19)
En premier lieu, les dirigeants d’entreprise sont concernés par un sinistre potentiel et leur responsabilité
est directement engagée. De leur capacité à identifier et à évaluer les risques, à accroître la robustesse
en durcissant les dispositifs de prévention et de protection, à apporter les réponses appropriées en situation de crise et à engager les actions nécessaires pour un retour rapide à la normale, dépend la pérennité de l’entreprise.

A quels risques l’entreprise ou la collectivité est-elle le plus vulnérable ?
– Quelles sont les activités et les ressources critiques qu’il convient de protéger par un plan de secours ?
– Sous quel délai l’organisation doit-elle être à nouveau opérationnelle pour servir ses clients ?
– Pour faire face à un éventuel sinistre, comment doit-on se préparer pour réagir et préserver les actifs ?
– Quels dispositifs mettre en place pour coordonner les actions urgentes de secours, de sécurisation
et de communication ?
– Quelles solutions de repli adopter pour redémarrer le plus rapidement possible en termes de locaux,
de personnels, de ressources techniques, de matériels et d’équipements ?
– Quels effectifs et quels moyens mobiliser pour assurer  la continuité ou la reprise des activités
jusqu’au retour à la normale ?
Le PUPA apporte des réponses concrètes à ces interrogations.
PUPA : Outil à l’heure du COVID-19 ?

 

 Démarche méthodologique

PCA Démarche
PUPA vs PCA PUPA Outil de résilience à l’heure du COVID-19 ?

 

 

 

 

 

 

Contenu du Plan

Le Plan type permet de définir et de décrire :
La cartographie des risques encourus et des vulnérabilités
Les différents impacts pour l’entreprise
La stratégie de continuité retenue avec les délais de reprise visés
L’organisation et les systèmes d’information de secours
– dispositif de gestion de crise
– processus métiers et support couverts
– acteurs de l’entreprise impactés
Les procédures de reprise et de basculement
– sites de repli ou solutions de travail à distance
– aménagement des chaines logistiques d’approvisionnement
– modalités d’hébergement et de repeuplement
– procédures de redémarrage et de retour à la normale
– modalités de fonctionnement dégradé
– plan de communication
– indicateurs de performance et engagements de service
Les procédures de maintien en condition opérationnelle du Plan
– plan de test
– procédures de contrôle qualité
– organisation et structuration des activités de maîtrise des risques
Notre Offre


NOTRE OFFRE

Continuité d’activité (PCA)

Assurer une continuité dans votre activité quel que soit l’incident auquel vous faites face.
De ce fait, votre entreprise n’est alors plus tributaire de son informatique et vos collaborateurs peuvent se consacrer pleinement à leur cœur de métier.

La mise en œuvre permet d’anticiper et de redémarrer dans les meilleurs délais

Pérenne’IT a construit une approche à la fois organisationnelle et technique de la disponibilité.

Avant la mise en place de la brique technologique, Pérenne’IT va étudier avec vous quels sont les critères de disponibilité pour chacun de vos services.
Réflexion faite et à partir de ces éléments nous définirons ensemble les mesures à adopter et réaliserons leur intégration.
PCA Offre