SlideShare une entreprise Scribd logo

Organisation ssi

DXC Technology
DXC Technology

Quelle organisation pour prendre en compte le risque informatique

Internet
1  sur  12
Télécharger pour lire hors ligne
CLUSIF / CLUSIR Rha La Cybercriminalité Page 1 Quelle organisation pour prendre en compte le risque informatique Philippe Guarnieri
CLUSIF / CLUSIR Rha La Cybercriminalité Page 2 Enquête CLUSIR 2008 • 37 % des entreprise ont une fonction SSI (16% temps plein, 21 temps partagé). • Parmi celles ci : – 45 % Direction Générale ( 39 % en 2006) – 32 % DSI ( 41 %, en 2006) – autres 20 % ( 18 % en 2006) • dont : – 1 % Direction des risques – 1 % sureté générale.
CLUSIF / CLUSIR Rha La Cybercriminalité Page 3 Les différentes organisations possibles (non-exhaustif) • SSI au sein de la DSI, le DSI cumule avec la fonction de RSSI • SSI au sein de la DSI avec RSSI • SSI au sein de la DG • SSI au sein du Service AUDIT • SSI au sein d'une direction métier • SSI au sein du service qualité • SSI au sein du Risk Management • Pas de RSSI
CLUSIF / CLUSIR Rha La Cybercriminalité Page 4 SSI au sein de la DSI, le DSI cumule avec la fonction de RSSI • Avantages – Le DSI a une vision globale du SI (Sécurité incluse) même si elle reste, le plus souvent, technique • Inconvénients – Difficulté de relier la SSI à des processus métiers et donc difficulté pour obtenir les budgets (SI vu comme centre de coût) – Le DSI a pour mission de minimiser les coûts et en cas de crise, la SSI en fait les frais. – Activité à temps partagé – Compétences ? – Communication : s'adresser à l'entreprise dans un langage de spécialiste
CLUSIF / CLUSIR Rha La Cybercriminalité Page 5 SSI au sein de la DSI avec RSSI • Avantages – Prise en compte de toutes les interactions techniques, adaptée aux démarches de type bonne pratique technique • Inconvénients – Pas toujours une prise en compte du risque métier, pas de corrélation automatique et donc rend les projets sécurité difficiles à justifier en terme de ROI – Pas de démarche processus naturelle qui permettrait au fonctionnement de l'informatique plus de compatibilité avec le reste de l'entreprise – La SSI comme le SI est considéré comme un centre de coût – S'adresser à l'entreprise dans un langage de spécialiste
CLUSIF / CLUSIR Rha La Cybercriminalité Page 6 SSI au sein de la DG • Avantages – Signifie la prise en compte au plus haut niveau de décision – Discours nécessairement compatible avec celui de l’entreprise. – Décisions suivies d’actions. • Inconvénients – Sauf cas particulier, il vaut mieux associer cette fonction à une autre fonction plus universelle, l'idéal est une direction de l'information au sens large – Traiter la sécurité en mode exception, effet balancier
CLUSIF / CLUSIR Rha La Cybercriminalité Page 7 SSI au sein du Service AUDIT • Avantages – La SSI devient une fonction qu’il faut auditer comme les autres fonctions de l’entreprise. – Position légitime en cas de besoin de certification. • Inconvénients – Position faible pour mettre en œuvre le changement
CLUSIF / CLUSIR Rha La Cybercriminalité Page 8 SSI au sein d'une direction métier • Avantages – En prise naturelle avec les risques de l’entreprise surtout si le métier choisi est le cœur de métier. • Inconvénients – Pas de prise en compte de tous les métiers – Démarche de type Risk Management non-assurée du point de vue méthodologique.
CLUSIF / CLUSIR Rha La Cybercriminalité Page 9 SSI au sein du service qualité • Avantages – Convergences des méthodes avec la qualité PDCA, indicateurs, processus. – Service habitué à pratiquer un mode de management transversal (comme la sécurité) : atteindre des objectifs avec des collaborateurs qui ne sont pas sous votre responsabilité directe • Inconvénients – Ne voir la sécurité que comme une méthode, passer à côté des enjeux principaux
CLUSIF / CLUSIR Rha La Cybercriminalité Page 10 SSI au sein du Risk Management • Avantages – Au cœur des processus "sensibles" de l'entreprise – La démarche risque est naturelle – Seule fonction capable de faire de la SSI un avantage concurrentiel – L’avenir ? • Inconvénients – Compétence ? dépend du profil et du mode de management – Il n’existe pas toujours un pôle « Risk Management »
CLUSIF / CLUSIR Rha La Cybercriminalité Page 11 Pas de RSSI • Avantages – Si aucun risque n'existe, économie budgétaire • Inconvénients – Aucune prise en compte du risque et donc conséquences qui peuvent être graves pour la pérennité de l'entreprise
CLUSIF / CLUSIR Rha La Cybercriminalité Page 12 L’adoption de telle ou telle organisation est significative de la perception du risque informatique par l’entreprise.

Recommandé

Organisation SSI - Cybersécurité
Organisation SSI - CybersécuritéOrganisation SSI - Cybersécurité
Organisation SSI - CybersécuritéDXC Technology
 
Organisation de la Sécurité du SI
Organisation de la Sécurité du SIOrganisation de la Sécurité du SI
Organisation de la Sécurité du SIDXC Technology
 
Organisation
OrganisationOrganisation
OrganisationDXC Technology
 
Organisation de la Sécurité du SI
Organisation de la Sécurité du SIOrganisation de la Sécurité du SI
Organisation de la Sécurité du SIDXC Technology
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesAntoine Vigneron
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...polenumerique33
 
Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014Software AG France Community
 
Ntic et grh_-_cours
Ntic et grh_-_coursNtic et grh_-_cours
Ntic et grh_-_courspimasnet
 

Recommandé

Organisation SSI - Cybersécurité
Organisation SSI - CybersécuritéOrganisation SSI - Cybersécurité
Organisation SSI - CybersécuritéDXC Technology
 
Organisation de la Sécurité du SI
Organisation de la Sécurité du SIOrganisation de la Sécurité du SI
Organisation de la Sécurité du SIDXC Technology
 
Organisation
OrganisationOrganisation
OrganisationDXC Technology
 
Organisation de la Sécurité du SI
Organisation de la Sécurité du SIOrganisation de la Sécurité du SI
Organisation de la Sécurité du SIDXC Technology
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesAntoine Vigneron
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...polenumerique33
 
Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014Software AG France Community
 
Ntic et grh_-_cours
Ntic et grh_-_coursNtic et grh_-_cours
Ntic et grh_-_courspimasnet
 
Session Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses étatsSession Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses étatsSkilld
 
L'agilité pour gérer la complexité en TI
L'agilité pour gérer la complexité en TIL'agilité pour gérer la complexité en TI
L'agilité pour gérer la complexité en TIEtienne Laverdière
 
Matinée PMI : L’Agilité pour gérer la complexité en TI
Matinée PMI : L’Agilité pour gérer la complexité en TIMatinée PMI : L’Agilité pour gérer la complexité en TI
Matinée PMI : L’Agilité pour gérer la complexité en TIPMI-Montréal
 
Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527Résistante Risk Solutions
 
L’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesL’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesitSMF France
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...OpinionWay
 
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...contactOpinionWay
 
Prospecter et vendre aux DSI
Prospecter et vendre aux DSIProspecter et vendre aux DSI
Prospecter et vendre aux DSIIKO System
 
Cartographie des risques matinales entreprises mazars
Cartographie des risques matinales entreprises mazarsCartographie des risques matinales entreprises mazars
Cartographie des risques matinales entreprises mazarsEric Schwaller
 
Guide audit du SI - 2nd édition 2019
Guide audit du SI - 2nd édition 2019Guide audit du SI - 2nd édition 2019
Guide audit du SI - 2nd édition 2019CHARLES Frédéric
 
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...oumaima82
 
Protéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture InteractiveProtéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture InteractiveMarie_Estager
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
L'informatique vue par les chefs d'entreprise
L'informatique vue par les chefs d'entrepriseL'informatique vue par les chefs d'entreprise
L'informatique vue par les chefs d'entrepriseYves Cavarec
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Wavestone
 
Les enjeux de la transformation numérique
Les enjeux de la transformation numériqueLes enjeux de la transformation numérique
Les enjeux de la transformation numériqueAntoine Vigneron
 
LE DSI LIBERE #2
LE DSI LIBERE #2LE DSI LIBERE #2
LE DSI LIBERE #2AIR-LYNX
 
Projets Agile - Contexte favorable ou défavorable?
Projets Agile - Contexte favorable ou défavorable?Projets Agile - Contexte favorable ou défavorable?
Projets Agile - Contexte favorable ou défavorable?oana Juncu
 
Valtech - Quel ROI pour ma transformation Agile ? PARTIE 2
Valtech - Quel ROI pour ma transformation Agile ? PARTIE 2Valtech - Quel ROI pour ma transformation Agile ? PARTIE 2
Valtech - Quel ROI pour ma transformation Agile ? PARTIE 2Valtech
 

Contenu connexe

Similaire à Organisation ssi

Session Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses étatsSession Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses étatsSkilld
 
L'agilité pour gérer la complexité en TI
L'agilité pour gérer la complexité en TIL'agilité pour gérer la complexité en TI
L'agilité pour gérer la complexité en TIEtienne Laverdière
 
Matinée PMI : L’Agilité pour gérer la complexité en TI
Matinée PMI : L’Agilité pour gérer la complexité en TIMatinée PMI : L’Agilité pour gérer la complexité en TI
Matinée PMI : L’Agilité pour gérer la complexité en TIPMI-Montréal
 
Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527Résistante Risk Solutions
 
L’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesL’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesitSMF France
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...OpinionWay
 
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...contactOpinionWay
 
Prospecter et vendre aux DSI
Prospecter et vendre aux DSIProspecter et vendre aux DSI
Prospecter et vendre aux DSIIKO System
 
Cartographie des risques matinales entreprises mazars
Cartographie des risques matinales entreprises mazarsCartographie des risques matinales entreprises mazars
Cartographie des risques matinales entreprises mazarsEric Schwaller
 
Guide audit du SI - 2nd édition 2019
Guide audit du SI - 2nd édition 2019Guide audit du SI - 2nd édition 2019
Guide audit du SI - 2nd édition 2019CHARLES Frédéric
 
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...oumaima82
 
Protéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture InteractiveProtéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture InteractiveMarie_Estager
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
L'informatique vue par les chefs d'entreprise
L'informatique vue par les chefs d'entrepriseL'informatique vue par les chefs d'entreprise
L'informatique vue par les chefs d'entrepriseYves Cavarec
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Wavestone
 
Les enjeux de la transformation numérique
Les enjeux de la transformation numériqueLes enjeux de la transformation numérique
Les enjeux de la transformation numériqueAntoine Vigneron
 
LE DSI LIBERE #2
LE DSI LIBERE #2LE DSI LIBERE #2
LE DSI LIBERE #2AIR-LYNX
 
Projets Agile - Contexte favorable ou défavorable?
Projets Agile - Contexte favorable ou défavorable?Projets Agile - Contexte favorable ou défavorable?
Projets Agile - Contexte favorable ou défavorable?oana Juncu
 
Valtech - Quel ROI pour ma transformation Agile ? PARTIE 2
Valtech - Quel ROI pour ma transformation Agile ? PARTIE 2Valtech - Quel ROI pour ma transformation Agile ? PARTIE 2
Valtech - Quel ROI pour ma transformation Agile ? PARTIE 2Valtech
 

Similaire à Organisation ssi (20)

Session Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses étatsSession Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses états
 
L'agilité pour gérer la complexité en TI
L'agilité pour gérer la complexité en TIL'agilité pour gérer la complexité en TI
L'agilité pour gérer la complexité en TI
 
Matinée PMI : L’Agilité pour gérer la complexité en TI
Matinée PMI : L’Agilité pour gérer la complexité en TIMatinée PMI : L’Agilité pour gérer la complexité en TI
Matinée PMI : L’Agilité pour gérer la complexité en TI
 
Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527
 
L’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesL’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des services
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
 
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
 
Prospecter et vendre aux DSI
Prospecter et vendre aux DSIProspecter et vendre aux DSI
Prospecter et vendre aux DSI
 
Cartographie des risques matinales entreprises mazars
Cartographie des risques matinales entreprises mazarsCartographie des risques matinales entreprises mazars
Cartographie des risques matinales entreprises mazars
 
Guide audit du SI - 2nd édition 2019
Guide audit du SI - 2nd édition 2019Guide audit du SI - 2nd édition 2019
Guide audit du SI - 2nd édition 2019
 
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
 
Protéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture InteractiveProtéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture Interactive
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
L'informatique vue par les chefs d'entreprise
L'informatique vue par les chefs d'entrepriseL'informatique vue par les chefs d'entreprise
L'informatique vue par les chefs d'entreprise
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
 
Les enjeux de la transformation numérique
Les enjeux de la transformation numériqueLes enjeux de la transformation numérique
Les enjeux de la transformation numérique
 
LE DSI LIBERE #2
LE DSI LIBERE #2LE DSI LIBERE #2
LE DSI LIBERE #2
 
Projets Agile - Contexte favorable ou défavorable?
Projets Agile - Contexte favorable ou défavorable?Projets Agile - Contexte favorable ou défavorable?
Projets Agile - Contexte favorable ou défavorable?
 
Valtech - Quel ROI pour ma transformation Agile ? PARTIE 2
Valtech - Quel ROI pour ma transformation Agile ? PARTIE 2Valtech - Quel ROI pour ma transformation Agile ? PARTIE 2
Valtech - Quel ROI pour ma transformation Agile ? PARTIE 2
 

Organisation ssi

  • 1. CLUSIF / CLUSIR Rha La Cybercriminalité Page 1 Quelle organisation pour prendre en compte le risque informatique Philippe Guarnieri
  • 2. CLUSIF / CLUSIR Rha La Cybercriminalité Page 2 Enquête CLUSIR 2008 • 37 % des entreprise ont une fonction SSI (16% temps plein, 21 temps partagé). • Parmi celles ci : – 45 % Direction Générale ( 39 % en 2006) – 32 % DSI ( 41 %, en 2006) – autres 20 % ( 18 % en 2006) • dont : – 1 % Direction des risques – 1 % sureté générale.
  • 3. CLUSIF / CLUSIR Rha La Cybercriminalité Page 3 Les différentes organisations possibles (non-exhaustif) • SSI au sein de la DSI, le DSI cumule avec la fonction de RSSI • SSI au sein de la DSI avec RSSI • SSI au sein de la DG • SSI au sein du Service AUDIT • SSI au sein d'une direction métier • SSI au sein du service qualité • SSI au sein du Risk Management • Pas de RSSI
  • 4. CLUSIF / CLUSIR Rha La Cybercriminalité Page 4 SSI au sein de la DSI, le DSI cumule avec la fonction de RSSI • Avantages – Le DSI a une vision globale du SI (Sécurité incluse) même si elle reste, le plus souvent, technique • Inconvénients – Difficulté de relier la SSI à des processus métiers et donc difficulté pour obtenir les budgets (SI vu comme centre de coût) – Le DSI a pour mission de minimiser les coûts et en cas de crise, la SSI en fait les frais. – Activité à temps partagé – Compétences ? – Communication : s'adresser à l'entreprise dans un langage de spécialiste
  • 5. CLUSIF / CLUSIR Rha La Cybercriminalité Page 5 SSI au sein de la DSI avec RSSI • Avantages – Prise en compte de toutes les interactions techniques, adaptée aux démarches de type bonne pratique technique • Inconvénients – Pas toujours une prise en compte du risque métier, pas de corrélation automatique et donc rend les projets sécurité difficiles à justifier en terme de ROI – Pas de démarche processus naturelle qui permettrait au fonctionnement de l'informatique plus de compatibilité avec le reste de l'entreprise – La SSI comme le SI est considéré comme un centre de coût – S'adresser à l'entreprise dans un langage de spécialiste
  • 6. CLUSIF / CLUSIR Rha La Cybercriminalité Page 6 SSI au sein de la DG • Avantages – Signifie la prise en compte au plus haut niveau de décision – Discours nécessairement compatible avec celui de l’entreprise. – Décisions suivies d’actions. • Inconvénients – Sauf cas particulier, il vaut mieux associer cette fonction à une autre fonction plus universelle, l'idéal est une direction de l'information au sens large – Traiter la sécurité en mode exception, effet balancier
  • 7. CLUSIF / CLUSIR Rha La Cybercriminalité Page 7 SSI au sein du Service AUDIT • Avantages – La SSI devient une fonction qu’il faut auditer comme les autres fonctions de l’entreprise. – Position légitime en cas de besoin de certification. • Inconvénients – Position faible pour mettre en œuvre le changement
  • 8. CLUSIF / CLUSIR Rha La Cybercriminalité Page 8 SSI au sein d'une direction métier • Avantages – En prise naturelle avec les risques de l’entreprise surtout si le métier choisi est le cœur de métier. • Inconvénients – Pas de prise en compte de tous les métiers – Démarche de type Risk Management non-assurée du point de vue méthodologique.
  • 9. CLUSIF / CLUSIR Rha La Cybercriminalité Page 9 SSI au sein du service qualité • Avantages – Convergences des méthodes avec la qualité PDCA, indicateurs, processus. – Service habitué à pratiquer un mode de management transversal (comme la sécurité) : atteindre des objectifs avec des collaborateurs qui ne sont pas sous votre responsabilité directe • Inconvénients – Ne voir la sécurité que comme une méthode, passer à côté des enjeux principaux
  • 10. CLUSIF / CLUSIR Rha La Cybercriminalité Page 10 SSI au sein du Risk Management • Avantages – Au cœur des processus "sensibles" de l'entreprise – La démarche risque est naturelle – Seule fonction capable de faire de la SSI un avantage concurrentiel – L’avenir ? • Inconvénients – Compétence ? dépend du profil et du mode de management – Il n’existe pas toujours un pôle « Risk Management »
  • 11. CLUSIF / CLUSIR Rha La Cybercriminalité Page 11 Pas de RSSI • Avantages – Si aucun risque n'existe, économie budgétaire • Inconvénients – Aucune prise en compte du risque et donc conséquences qui peuvent être graves pour la pérennité de l'entreprise
  • 12. CLUSIF / CLUSIR Rha La Cybercriminalité Page 12 L’adoption de telle ou telle organisation est significative de la perception du risque informatique par l’entreprise.