SlideShare une entreprise Scribd logo

Organisation

DXC Technology
DXC Technology

Quelle organisation pour prendre en compte la cybersécurité

Business
1  sur  13
Télécharger pour lire hors ligne
CLUSIF / CLUSIR Rha La Cybercriminalité Page 1 Philippe Quelle organisation pour prendre en compte le risque informatique Philippe GUARNIERI
CLUSIF / CLUSIR Rha La Cybercriminalité Page 2 Philippe Enquête CLUSIR 2008 • 37 % des entreprise ont une fonction SSI (16% temps plein, 21 temps partagé). • Parmi celles ci : – 45 % Direction Générale ( 39 % en 2006) – 32 % DSI ( 41 %, en 2006) – autres 20 % ( 18 % en 2006) •dont : – 1 % Direction des risques – 1 % sureté générale.
CLUSIF / CLUSIR Rha La Cybercriminalité Page 3 Philippe Les différentes organisations possibles (non-exhaustif) • SSI au sein de la DSI, le DSI cumule avec la fonction de RSSI • SSI au sein de la DSI avec RSSI • SSI au sein de la DG • SSI au sein du Service AUDIT • SSI au sein d'une direction métier • SSI au sein du service qualité • SSI au sein du Risk Management • Pas de RSSI
CLUSIF / CLUSIR Rha La Cybercriminalité Page 4 Philippe SSI au sein de la DSI, le DSI cumule avec la fonction de RSSI • Avantages ● Le DSI a une vision globale du SI (Sécurité incluse) même si elle reste, le plus souvent, technique • Inconvénients ● Difficulté de relier la SSI à des processus métiers et donc difficulté pour obtenir les budgets (SI vu comme centre de coût) ● Le DSI a pour mission de minimiser les coûts et en cas de crise, la SSI en fait les frais. ● Activité à temps partagé ● Compétences ? ● Communication : s'adresser à l'entreprise dans un langage de spécialiste
CLUSIF / CLUSIR Rha La Cybercriminalité Page 5 Philippe SSI au sein de la DSI avec RSSI • Avantages ● Prise en compte de toutes les interactions techniques, adaptée aux démarches de type bonne pratique technique • Inconvénients ● Pas toujours une prise en compte du risque métier, pas de corrélation automatique et donc rend les projets sécurité difficiles à justifier en terme de ROI ● Pas de démarche processus naturelle qui permettrait au fonctionnement de l'informatique plus de compatibilité avec le reste de l'entreprise ● La SSI comme le SI est considéré comme un centre de coût ● S'adresser à l'entreprise dans un langage de spécialiste
CLUSIF / CLUSIR Rha La Cybercriminalité Page 6 Philippe SSI au sein de la DG • Avantages ● Signifie la prise en compte au plus haut niveau de décision ● Discours nécessairement compatible avec celui de l’entreprise. ● Décisions suivies d’actions. • Inconvénients ● Sauf cas particulier, il vaut mieux associer cette fonction à une autre fonction plus universelle, l'idéal est une direction de l'information au sens large ● Traiter la sécurité en mode exception, effet balancier
CLUSIF / CLUSIR Rha La Cybercriminalité Page 7 Philippe SSI au sein du Service AUDIT • Avantages ● La SSI devient une fonction qu’il faut auditer comme les autres fonctions de l’entreprise. ● Position légitime en cas de besoin de certification. • Inconvénients ● Position faible pour mettre en œuvre le changement
CLUSIF / CLUSIR Rha La Cybercriminalité Page 8 Philippe SSI au sein d'une direction métier • Avantages ● En prise naturelle avec les risques de l’entreprise surtout si le métier choisi est le cœur de métier. • Inconvénients ● Pas de prise en compte de tous les métiers ● Démarche de type Risk Management non-assurée du point de vue méthodologique.
CLUSIF / CLUSIR Rha La Cybercriminalité Page 9 Philippe SSI au sein du service qualité • Avantages ● Convergences des méthodes avec la qualité PDCA, indicateurs, processus. ● Service habitué à pratiquer un mode de management transversal (comme la sécurité) : atteindre des objectifs avec des collaborateurs qui ne sont pas sous votre responsabilité directe • Inconvénients ● Ne voir la sécurité que comme une méthode, passer à côté des enjeux principaux
CLUSIF / CLUSIR Rha La Cybercriminalité Page 10 Philippe SSI au sein du Risk Management • Avantages ● Au cœur des processus "sensibles" de l'entreprise ● La démarche risque est naturelle ● Seule fonction capable de faire de la SSI un avantage concurrentiel ● L’avenir ? • Inconvénients ● Compétence ? dépend du profil et du mode de management ● Il n’existe pas toujours un pôle « Risk Management »
CLUSIF / CLUSIR Rha La Cybercriminalité Page 11 Philippe Pas de RSSI • Avantages ● Si aucun risque n'existe, économie budgétaire • Inconvénients ● Aucune prise en compte du risque et donc conséquences qui peuvent être graves pour la pérennité de l'entreprise
CLUSIF / CLUSIR Rha La Cybercriminalité Page 12 Philippe Conclusion • Ce qui est sur : ● Sans lien métier pas de politique de sécurité adaptée aux vrais risques informationnels de l'entreprise, pas de vraie légitimité et par conséquent pas pérenne. ● L'ambition de la DSI est limitée par la nature de sa fonction et de par sa position. ● CLUSIR 2008 : 30 % des entreprises ont une analyse de risque. • Ce qui est possible ● Faire participer les métiers à la construction de la politique de sécurité. ● Dans certains cas, les nouvelles normes de type 2700x peuvent servir de pont avec les autres métiers
CLUSIF / CLUSIR Rha La Cybercriminalité Page 13 Philippe L’adoption de telle ou telle organisation est significative de la perception du risque informatique par l’entreprise.

Recommandé

Organisation ssi
Organisation ssiOrganisation ssi
Organisation ssiDXC Technology
 
Organisation SSI - Cybersécurité
Organisation SSI - CybersécuritéOrganisation SSI - Cybersécurité
Organisation SSI - CybersécuritéDXC Technology
 
Organisation de la Sécurité du SI
Organisation de la Sécurité du SIOrganisation de la Sécurité du SI
Organisation de la Sécurité du SIDXC Technology
 
Organisation de la Sécurité du SI
Organisation de la Sécurité du SIOrganisation de la Sécurité du SI
Organisation de la Sécurité du SIDXC Technology
 
Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014Software AG France Community
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesAntoine Vigneron
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...polenumerique33
 
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...OpinionWay
 

Recommandé

Organisation ssi
Organisation ssiOrganisation ssi
Organisation ssiDXC Technology
 
Organisation SSI - Cybersécurité
Organisation SSI - CybersécuritéOrganisation SSI - Cybersécurité
Organisation SSI - CybersécuritéDXC Technology
 
Organisation de la Sécurité du SI
Organisation de la Sécurité du SIOrganisation de la Sécurité du SI
Organisation de la Sécurité du SIDXC Technology
 
Organisation de la Sécurité du SI
Organisation de la Sécurité du SIOrganisation de la Sécurité du SI
Organisation de la Sécurité du SIDXC Technology
 
Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014Software AG France Community
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesAntoine Vigneron
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...polenumerique33
 
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...OpinionWay
 
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...contactOpinionWay
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référenceISACA Chapitre de Québec
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référenceYann Riviere CCSK, CISSP, CRISC, CISM
 
L’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesL’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesitSMF France
 
Guide audit du SI - 2nd édition 2019
Guide audit du SI - 2nd édition 2019Guide audit du SI - 2nd édition 2019
Guide audit du SI - 2nd édition 2019CHARLES Frédéric
 
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...oumaima82
 
Session Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses étatsSession Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses étatsSkilld
 
Ntic et grh_-_cours
Ntic et grh_-_coursNtic et grh_-_cours
Ntic et grh_-_courspimasnet
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
L'informatique vue par les chefs d'entreprise
L'informatique vue par les chefs d'entrepriseL'informatique vue par les chefs d'entreprise
L'informatique vue par les chefs d'entrepriseYves Cavarec
 
Lean et Digital : 2 concepts indissociables
Lean et Digital : 2 concepts indissociablesLean et Digital : 2 concepts indissociables
Lean et Digital : 2 concepts indissociablesXL Groupe
 
Webinar Finance - Digitalisation de la fonction finance en 7 points clés
Webinar Finance - Digitalisation de la fonction finance en 7 points clésWebinar Finance - Digitalisation de la fonction finance en 7 points clés
Webinar Finance - Digitalisation de la fonction finance en 7 points clésAxys
 
Recherche lead technique désespérément
Recherche lead technique désespérémentRecherche lead technique désespérément
Recherche lead technique désespérémentAgile Montréal
 
Formation flash Lean Six Sigma
Formation flash Lean Six SigmaFormation flash Lean Six Sigma
Formation flash Lean Six SigmaXL Groupe
 
Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...
Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...
Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...BVA Limelight
 
Synthese barometre metiers_communication_2015
Synthese barometre metiers_communication_2015Synthese barometre metiers_communication_2015
Synthese barometre metiers_communication_2015Amaury Laurentin
 
Competitic pgi - numerique en entreprise v1
Competitic pgi - numerique en entreprise v1Competitic pgi - numerique en entreprise v1
Competitic pgi - numerique en entreprise v1COMPETITIC
 
D HERVOUET ITIL SQOP09 AFEIT
D HERVOUET ITIL SQOP09 AFEITD HERVOUET ITIL SQOP09 AFEIT
D HERVOUET ITIL SQOP09 AFEITAFEIT
 
Matinale Alignement stratégique : Présentation Frédéric Créplet #MatAli
Matinale Alignement stratégique : Présentation Frédéric Créplet #MatAli Matinale Alignement stratégique : Présentation Frédéric Créplet #MatAli
Matinale Alignement stratégique : Présentation Frédéric Créplet #MatAli VOIRIN Consultants
 
L'agilité pour gérer la complexité en TI
L'agilité pour gérer la complexité en TIL'agilité pour gérer la complexité en TI
L'agilité pour gérer la complexité en TIEtienne Laverdière
 

Contenu connexe

Similaire à Organisation

OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...contactOpinionWay
 
L’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesL’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesitSMF France
 
Guide audit du SI - 2nd édition 2019
Guide audit du SI - 2nd édition 2019Guide audit du SI - 2nd édition 2019
Guide audit du SI - 2nd édition 2019CHARLES Frédéric
 
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...oumaima82
 
Session Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses étatsSession Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses étatsSkilld
 
Ntic et grh_-_cours
Ntic et grh_-_coursNtic et grh_-_cours
Ntic et grh_-_courspimasnet
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
L'informatique vue par les chefs d'entreprise
L'informatique vue par les chefs d'entrepriseL'informatique vue par les chefs d'entreprise
L'informatique vue par les chefs d'entrepriseYves Cavarec
 
Lean et Digital : 2 concepts indissociables
Lean et Digital : 2 concepts indissociablesLean et Digital : 2 concepts indissociables
Lean et Digital : 2 concepts indissociablesXL Groupe
 
Webinar Finance - Digitalisation de la fonction finance en 7 points clés
Webinar Finance - Digitalisation de la fonction finance en 7 points clésWebinar Finance - Digitalisation de la fonction finance en 7 points clés
Webinar Finance - Digitalisation de la fonction finance en 7 points clésAxys
 
Recherche lead technique désespérément
Recherche lead technique désespérémentRecherche lead technique désespérément
Recherche lead technique désespérémentAgile Montréal
 
Formation flash Lean Six Sigma
Formation flash Lean Six SigmaFormation flash Lean Six Sigma
Formation flash Lean Six SigmaXL Groupe
 
Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...
Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...
Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...BVA Limelight
 
Synthese barometre metiers_communication_2015
Synthese barometre metiers_communication_2015Synthese barometre metiers_communication_2015
Synthese barometre metiers_communication_2015Amaury Laurentin
 
Competitic pgi - numerique en entreprise v1
Competitic pgi - numerique en entreprise v1Competitic pgi - numerique en entreprise v1
Competitic pgi - numerique en entreprise v1COMPETITIC
 
D HERVOUET ITIL SQOP09 AFEIT
D HERVOUET ITIL SQOP09 AFEITD HERVOUET ITIL SQOP09 AFEIT
D HERVOUET ITIL SQOP09 AFEITAFEIT
 
Matinale Alignement stratégique : Présentation Frédéric Créplet #MatAli
Matinale Alignement stratégique : Présentation Frédéric Créplet #MatAli Matinale Alignement stratégique : Présentation Frédéric Créplet #MatAli
Matinale Alignement stratégique : Présentation Frédéric Créplet #MatAli VOIRIN Consultants
 
L'agilité pour gérer la complexité en TI
L'agilité pour gérer la complexité en TIL'agilité pour gérer la complexité en TI
L'agilité pour gérer la complexité en TIEtienne Laverdière
 

Similaire à Organisation (20)

OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
 
L’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesL’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des services
 
Guide audit du SI - 2nd édition 2019
Guide audit du SI - 2nd édition 2019Guide audit du SI - 2nd édition 2019
Guide audit du SI - 2nd édition 2019
 
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
 
Session Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses étatsSession Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses états
 
Ntic et grh_-_cours
Ntic et grh_-_coursNtic et grh_-_cours
Ntic et grh_-_cours
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 
L'informatique vue par les chefs d'entreprise
L'informatique vue par les chefs d'entrepriseL'informatique vue par les chefs d'entreprise
L'informatique vue par les chefs d'entreprise
 
Lean et Digital : 2 concepts indissociables
Lean et Digital : 2 concepts indissociablesLean et Digital : 2 concepts indissociables
Lean et Digital : 2 concepts indissociables
 
Webinar Finance - Digitalisation de la fonction finance en 7 points clés
Webinar Finance - Digitalisation de la fonction finance en 7 points clésWebinar Finance - Digitalisation de la fonction finance en 7 points clés
Webinar Finance - Digitalisation de la fonction finance en 7 points clés
 
Recherche lead technique désespérément
Recherche lead technique désespérémentRecherche lead technique désespérément
Recherche lead technique désespérément
 
Formation flash Lean Six Sigma
Formation flash Lean Six SigmaFormation flash Lean Six Sigma
Formation flash Lean Six Sigma
 
Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...
Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...
Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...
 
Synthese barometre metiers_communication_2015
Synthese barometre metiers_communication_2015Synthese barometre metiers_communication_2015
Synthese barometre metiers_communication_2015
 
Competitic pgi - numerique en entreprise v1
Competitic pgi - numerique en entreprise v1Competitic pgi - numerique en entreprise v1
Competitic pgi - numerique en entreprise v1
 
D HERVOUET ITIL SQOP09 AFEIT
D HERVOUET ITIL SQOP09 AFEITD HERVOUET ITIL SQOP09 AFEIT
D HERVOUET ITIL SQOP09 AFEIT
 
Matinale Alignement stratégique : Présentation Frédéric Créplet #MatAli
Matinale Alignement stratégique : Présentation Frédéric Créplet #MatAli Matinale Alignement stratégique : Présentation Frédéric Créplet #MatAli
Matinale Alignement stratégique : Présentation Frédéric Créplet #MatAli
 
L'agilité pour gérer la complexité en TI
L'agilité pour gérer la complexité en TIL'agilité pour gérer la complexité en TI
L'agilité pour gérer la complexité en TI
 

Organisation

  • 1. CLUSIF / CLUSIR Rha La Cybercriminalité Page 1 Philippe Quelle organisation pour prendre en compte le risque informatique Philippe GUARNIERI
  • 2. CLUSIF / CLUSIR Rha La Cybercriminalité Page 2 Philippe Enquête CLUSIR 2008 • 37 % des entreprise ont une fonction SSI (16% temps plein, 21 temps partagé). • Parmi celles ci : – 45 % Direction Générale ( 39 % en 2006) – 32 % DSI ( 41 %, en 2006) – autres 20 % ( 18 % en 2006) •dont : – 1 % Direction des risques – 1 % sureté générale.
  • 3. CLUSIF / CLUSIR Rha La Cybercriminalité Page 3 Philippe Les différentes organisations possibles (non-exhaustif) • SSI au sein de la DSI, le DSI cumule avec la fonction de RSSI • SSI au sein de la DSI avec RSSI • SSI au sein de la DG • SSI au sein du Service AUDIT • SSI au sein d'une direction métier • SSI au sein du service qualité • SSI au sein du Risk Management • Pas de RSSI
  • 4. CLUSIF / CLUSIR Rha La Cybercriminalité Page 4 Philippe SSI au sein de la DSI, le DSI cumule avec la fonction de RSSI • Avantages ● Le DSI a une vision globale du SI (Sécurité incluse) même si elle reste, le plus souvent, technique • Inconvénients ● Difficulté de relier la SSI à des processus métiers et donc difficulté pour obtenir les budgets (SI vu comme centre de coût) ● Le DSI a pour mission de minimiser les coûts et en cas de crise, la SSI en fait les frais. ● Activité à temps partagé ● Compétences ? ● Communication : s'adresser à l'entreprise dans un langage de spécialiste
  • 5. CLUSIF / CLUSIR Rha La Cybercriminalité Page 5 Philippe SSI au sein de la DSI avec RSSI • Avantages ● Prise en compte de toutes les interactions techniques, adaptée aux démarches de type bonne pratique technique • Inconvénients ● Pas toujours une prise en compte du risque métier, pas de corrélation automatique et donc rend les projets sécurité difficiles à justifier en terme de ROI ● Pas de démarche processus naturelle qui permettrait au fonctionnement de l'informatique plus de compatibilité avec le reste de l'entreprise ● La SSI comme le SI est considéré comme un centre de coût ● S'adresser à l'entreprise dans un langage de spécialiste
  • 6. CLUSIF / CLUSIR Rha La Cybercriminalité Page 6 Philippe SSI au sein de la DG • Avantages ● Signifie la prise en compte au plus haut niveau de décision ● Discours nécessairement compatible avec celui de l’entreprise. ● Décisions suivies d’actions. • Inconvénients ● Sauf cas particulier, il vaut mieux associer cette fonction à une autre fonction plus universelle, l'idéal est une direction de l'information au sens large ● Traiter la sécurité en mode exception, effet balancier
  • 7. CLUSIF / CLUSIR Rha La Cybercriminalité Page 7 Philippe SSI au sein du Service AUDIT • Avantages ● La SSI devient une fonction qu’il faut auditer comme les autres fonctions de l’entreprise. ● Position légitime en cas de besoin de certification. • Inconvénients ● Position faible pour mettre en œuvre le changement
  • 8. CLUSIF / CLUSIR Rha La Cybercriminalité Page 8 Philippe SSI au sein d'une direction métier • Avantages ● En prise naturelle avec les risques de l’entreprise surtout si le métier choisi est le cœur de métier. • Inconvénients ● Pas de prise en compte de tous les métiers ● Démarche de type Risk Management non-assurée du point de vue méthodologique.
  • 9. CLUSIF / CLUSIR Rha La Cybercriminalité Page 9 Philippe SSI au sein du service qualité • Avantages ● Convergences des méthodes avec la qualité PDCA, indicateurs, processus. ● Service habitué à pratiquer un mode de management transversal (comme la sécurité) : atteindre des objectifs avec des collaborateurs qui ne sont pas sous votre responsabilité directe • Inconvénients ● Ne voir la sécurité que comme une méthode, passer à côté des enjeux principaux
  • 10. CLUSIF / CLUSIR Rha La Cybercriminalité Page 10 Philippe SSI au sein du Risk Management • Avantages ● Au cœur des processus "sensibles" de l'entreprise ● La démarche risque est naturelle ● Seule fonction capable de faire de la SSI un avantage concurrentiel ● L’avenir ? • Inconvénients ● Compétence ? dépend du profil et du mode de management ● Il n’existe pas toujours un pôle « Risk Management »
  • 11. CLUSIF / CLUSIR Rha La Cybercriminalité Page 11 Philippe Pas de RSSI • Avantages ● Si aucun risque n'existe, économie budgétaire • Inconvénients ● Aucune prise en compte du risque et donc conséquences qui peuvent être graves pour la pérennité de l'entreprise
  • 12. CLUSIF / CLUSIR Rha La Cybercriminalité Page 12 Philippe Conclusion • Ce qui est sur : ● Sans lien métier pas de politique de sécurité adaptée aux vrais risques informationnels de l'entreprise, pas de vraie légitimité et par conséquent pas pérenne. ● L'ambition de la DSI est limitée par la nature de sa fonction et de par sa position. ● CLUSIR 2008 : 30 % des entreprises ont une analyse de risque. • Ce qui est possible ● Faire participer les métiers à la construction de la politique de sécurité. ● Dans certains cas, les nouvelles normes de type 2700x peuvent servir de pont avec les autres métiers
  • 13. CLUSIF / CLUSIR Rha La Cybercriminalité Page 13 Philippe L’adoption de telle ou telle organisation est significative de la perception du risque informatique par l’entreprise.