SlideShare une entreprise Scribd logo

Organisation SSI - Cybersécurité

DXC Technology
DXC Technology

Quelle organisation pour prendre en compte le risque informatique ?

Direction et management
1  sur  13
Télécharger pour lire hors ligne
CLUSIF / CLUSIR Rha La Cybercriminalité Page 1 Philippe Quelle organisation pour prendre en compte le risque informatique Philippe GUARNIERI
CLUSIF / CLUSIR Rha La Cybercriminalité Page 2 Philippe Enquête CLUSIR 2008 • 37 % des entreprise ont une fonction SSI (16% temps plein, 21 temps partagé). • Parmi celles ci : – 45 % Direction Générale ( 39 % en 2006) – 32 % DSI ( 41 %, en 2006) – autres 20 % ( 18 % en 2006) •dont : – 1 % Direction des risques – 1 % sureté générale.
CLUSIF / CLUSIR Rha La Cybercriminalité Page 3 Philippe Les différentes organisations possibles (non-exhaustif) • SSI au sein de la DSI, le DSI cumule avec la fonction de RSSI • SSI au sein de la DSI avec RSSI • SSI au sein de la DG • SSI au sein du Service AUDIT • SSI au sein d'une direction métier • SSI au sein du service qualité • SSI au sein du Risk Management • Pas de RSSI
CLUSIF / CLUSIR Rha La Cybercriminalité Page 4 Philippe SSI au sein de la DSI, le DSI cumule avec la fonction de RSSI • Avantages ● Le DSI a une vision globale du SI (Sécurité incluse) même si elle reste, le plus souvent, technique • Inconvénients ● Difficulté de relier la SSI à des processus métiers et donc difficulté pour obtenir les budgets (SI vu comme centre de coût) ● Le DSI a pour mission de minimiser les coûts et en cas de crise, la SSI en fait les frais. ● Activité à temps partagé ● Compétences ? ● Communication : s'adresser à l'entreprise dans un langage de spécialiste
CLUSIF / CLUSIR Rha La Cybercriminalité Page 5 Philippe SSI au sein de la DSI avec RSSI • Avantages ● Prise en compte de toutes les interactions techniques, adaptée aux démarches de type bonne pratique technique • Inconvénients ● Pas toujours une prise en compte du risque métier, pas de corrélation automatique et donc rend les projets sécurité difficiles à justifier en terme de ROI ● Pas de démarche processus naturelle qui permettrait au fonctionnement de l'informatique plus de compatibilité avec le reste de l'entreprise ● La SSI comme le SI est considéré comme un centre de coût ● S'adresser à l'entreprise dans un langage de spécialiste
CLUSIF / CLUSIR Rha La Cybercriminalité Page 6 Philippe SSI au sein de la DG • Avantages ● Signifie la prise en compte au plus haut niveau de décision ● Discours nécessairement compatible avec celui de l’entreprise. ● Décisions suivies d’actions. • Inconvénients ● Sauf cas particulier, il vaut mieux associer cette fonction à une autre fonction plus universelle, l'idéal est une direction de l'information au sens large ● Traiter la sécurité en mode exception, effet balancier
CLUSIF / CLUSIR Rha La Cybercriminalité Page 7 Philippe SSI au sein du Service AUDIT • Avantages ● La SSI devient une fonction qu’il faut auditer comme les autres fonctions de l’entreprise. ● Position légitime en cas de besoin de certification. • Inconvénients ● Position faible pour mettre en œuvre le changement
CLUSIF / CLUSIR Rha La Cybercriminalité Page 8 Philippe SSI au sein d'une direction métier • Avantages ● En prise naturelle avec les risques de l’entreprise surtout si le métier choisi est le cœur de métier. • Inconvénients ● Pas de prise en compte de tous les métiers ● Démarche de type Risk Management non-assurée du point de vue méthodologique.
CLUSIF / CLUSIR Rha La Cybercriminalité Page 9 Philippe SSI au sein du service qualité • Avantages ● Convergences des méthodes avec la qualité PDCA, indicateurs, processus. ● Service habitué à pratiquer un mode de management transversal (comme la sécurité) : atteindre des objectifs avec des collaborateurs qui ne sont pas sous votre responsabilité directe • Inconvénients ● Ne voir la sécurité que comme une méthode, passer à côté des enjeux principaux
CLUSIF / CLUSIR Rha La Cybercriminalité Page 10 Philippe SSI au sein du Risk Management • Avantages ● Au cœur des processus "sensibles" de l'entreprise ● La démarche risque est naturelle ● Seule fonction capable de faire de la SSI un avantage concurrentiel ● L’avenir ? • Inconvénients ● Compétence ? dépend du profil et du mode de management ● Il n’existe pas toujours un pôle « Risk Management »
CLUSIF / CLUSIR Rha La Cybercriminalité Page 11 Philippe Pas de RSSI • Avantages ● Si aucun risque n'existe, économie budgétaire • Inconvénients ● Aucune prise en compte du risque et donc conséquences qui peuvent être graves pour la pérennité de l'entreprise
CLUSIF / CLUSIR Rha La Cybercriminalité Page 12 Philippe Conclusion • Ce qui est sur : ● Sans lien métier pas de politique de sécurité adaptée aux vrais risques informationnels de l'entreprise, pas de vraie légitimité et par conséquent pas pérenne. ● L'ambition de la DSI est limitée par la nature de sa fonction et de par sa position. ● CLUSIR 2008 : 30 % des entreprises ont une analyse de risque. • Ce qui est possible ● Faire participer les métiers à la construction de la politique de sécurité. ● Dans certains cas, les nouvelles normes de type 2700x peuvent servir de pont avec les autres métiers
CLUSIF / CLUSIR Rha La Cybercriminalité Page 13 Philippe L’adoption de telle ou telle organisation est significative de la perception du risque informatique par l’entreprise.

Recommandé

Organisation ssi
Organisation ssiOrganisation ssi
Organisation ssiDXC Technology
 
Organisation de la Sécurité du SI
Organisation de la Sécurité du SIOrganisation de la Sécurité du SI
Organisation de la Sécurité du SIDXC Technology
 
Leçon N° 1: 7 Raisons Qui Vont Vous Faire Adorer Lean Six Sigma
Leçon N° 1: 7 Raisons Qui Vont Vous Faire Adorer Lean Six SigmaLeçon N° 1: 7 Raisons Qui Vont Vous Faire Adorer Lean Six Sigma
Leçon N° 1: 7 Raisons Qui Vont Vous Faire Adorer Lean Six Sigmapredalm
 
Vih/sida en la ciudad de loja-ecuador
Vih/sida en la ciudad de loja-ecuadorVih/sida en la ciudad de loja-ecuador
Vih/sida en la ciudad de loja-ecuadorSilvana Armijos
 
Ppt.tik bab 3
Ppt.tik bab 3Ppt.tik bab 3
Ppt.tik bab 3Annisa Nurisandi
 
Film titles analysis
Film titles analysisFilm titles analysis
Film titles analysisjakemccabemedia
 
Plantilla proyecto productivo
Plantilla proyecto productivoPlantilla proyecto productivo
Plantilla proyecto productivorosalba212
 
Entente Belge championnats 2016 / Algem kampioenschapde Belgische verstandhou...
Entente Belge championnats 2016 / Algem kampioenschapde Belgische verstandhou...Entente Belge championnats 2016 / Algem kampioenschapde Belgische verstandhou...
Entente Belge championnats 2016 / Algem kampioenschapde Belgische verstandhou...Fabrice Carlier
 

Recommandé

Organisation ssi
Organisation ssiOrganisation ssi
Organisation ssiDXC Technology
 
Organisation de la Sécurité du SI
Organisation de la Sécurité du SIOrganisation de la Sécurité du SI
Organisation de la Sécurité du SIDXC Technology
 
Leçon N° 1: 7 Raisons Qui Vont Vous Faire Adorer Lean Six Sigma
Leçon N° 1: 7 Raisons Qui Vont Vous Faire Adorer Lean Six SigmaLeçon N° 1: 7 Raisons Qui Vont Vous Faire Adorer Lean Six Sigma
Leçon N° 1: 7 Raisons Qui Vont Vous Faire Adorer Lean Six Sigmapredalm
 
Vih/sida en la ciudad de loja-ecuador
Vih/sida en la ciudad de loja-ecuadorVih/sida en la ciudad de loja-ecuador
Vih/sida en la ciudad de loja-ecuadorSilvana Armijos
 
Ppt.tik bab 3
Ppt.tik bab 3Ppt.tik bab 3
Ppt.tik bab 3Annisa Nurisandi
 
Film titles analysis
Film titles analysisFilm titles analysis
Film titles analysisjakemccabemedia
 
Plantilla proyecto productivo
Plantilla proyecto productivoPlantilla proyecto productivo
Plantilla proyecto productivorosalba212
 
Entente Belge championnats 2016 / Algem kampioenschapde Belgische verstandhou...
Entente Belge championnats 2016 / Algem kampioenschapde Belgische verstandhou...Entente Belge championnats 2016 / Algem kampioenschapde Belgische verstandhou...
Entente Belge championnats 2016 / Algem kampioenschapde Belgische verstandhou...Fabrice Carlier
 
Conferencia gasto salud 2012
Conferencia gasto salud 2012Conferencia gasto salud 2012
Conferencia gasto salud 2012Jaime Alberto Peláez Quintero
 
Capacidades fisiomotrices
Capacidades fisiomotricesCapacidades fisiomotrices
Capacidades fisiomotricesKimberly Flores zatarain
 
Garcia et al 2016 CoForTips
Garcia et al 2016 CoForTipsGarcia et al 2016 CoForTips
Garcia et al 2016 CoForTipsClaude Garcia
 
Familia orthomyxoviridae06
Familia orthomyxoviridae06Familia orthomyxoviridae06
Familia orthomyxoviridae06Antonio Vásquez Hidalgo, MD, Ph.D. Prof. UNIVERSIDAD DE EL SALVADOR
 
Jaider y adriana 9°02
Jaider y adriana 9°02Jaider y adriana 9°02
Jaider y adriana 9°02adrianayjaideryelkin
 
Flickr
FlickrFlickr
Flickrdayanamishu
 
Capitulo6
Capitulo6Capitulo6
Capitulo6Andre Lopez
 
Ppt.tik bab 3
Ppt.tik bab 3Ppt.tik bab 3
Ppt.tik bab 3Annisa Nurisandi
 
Recomendaciones generales para_el_uso_de_audacity_a
Recomendaciones generales para_el_uso_de_audacity_aRecomendaciones generales para_el_uso_de_audacity_a
Recomendaciones generales para_el_uso_de_audacity_asandy12D
 
Monica
MonicaMonica
Monicamonicatoluca
 
MoD Spox October 10, 2016
MoD Spox October 10, 2016MoD Spox October 10, 2016
MoD Spox October 10, 2016UAReforms
 
Body Language is a crucial matter in business organization
Body Language is a crucial matter in business organizationBody Language is a crucial matter in business organization
Body Language is a crucial matter in business organizationTuhin Parves
 
Guia 09 -_biomoleculas
Guia 09 -_biomoleculasGuia 09 -_biomoleculas
Guia 09 -_biomoleculasPaula Andrea Moreno Garcia
 
Gestão Ágil em Arquitetura e Urbanismo - Agile BR 2016
Gestão Ágil em Arquitetura e Urbanismo - Agile BR 2016Gestão Ágil em Arquitetura e Urbanismo - Agile BR 2016
Gestão Ágil em Arquitetura e Urbanismo - Agile BR 2016removed_8bfa2e2d0d77b1f42d16936bbc7a9c7e
 
Organisation de la Sécurité du SI
Organisation de la Sécurité du SIOrganisation de la Sécurité du SI
Organisation de la Sécurité du SIDXC Technology
 
Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014Software AG France Community
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesAntoine Vigneron
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...polenumerique33
 
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...OpinionWay
 
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...contactOpinionWay
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référenceISACA Chapitre de Québec
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référenceYann Riviere CCSK, CISSP, CRISC, CISM
 

Contenu connexe

En vedette

Garcia et al 2016 CoForTips
Garcia et al 2016 CoForTipsGarcia et al 2016 CoForTips
Garcia et al 2016 CoForTipsClaude Garcia
 
Recomendaciones generales para_el_uso_de_audacity_a
Recomendaciones generales para_el_uso_de_audacity_aRecomendaciones generales para_el_uso_de_audacity_a
Recomendaciones generales para_el_uso_de_audacity_asandy12D
 
MoD Spox October 10, 2016
MoD Spox October 10, 2016MoD Spox October 10, 2016
MoD Spox October 10, 2016UAReforms
 
Body Language is a crucial matter in business organization
Body Language is a crucial matter in business organizationBody Language is a crucial matter in business organization
Body Language is a crucial matter in business organizationTuhin Parves
 

En vedette (14)

Conferencia gasto salud 2012
Conferencia gasto salud 2012Conferencia gasto salud 2012
Conferencia gasto salud 2012
 
Capacidades fisiomotrices
Capacidades fisiomotricesCapacidades fisiomotrices
Capacidades fisiomotrices
 
Garcia et al 2016 CoForTips
Garcia et al 2016 CoForTipsGarcia et al 2016 CoForTips
Garcia et al 2016 CoForTips
 
Familia orthomyxoviridae06
Familia orthomyxoviridae06Familia orthomyxoviridae06
Familia orthomyxoviridae06
 
Jaider y adriana 9°02
Jaider y adriana 9°02Jaider y adriana 9°02
Jaider y adriana 9°02
 
Flickr
FlickrFlickr
Flickr
 
Capitulo6
Capitulo6Capitulo6
Capitulo6
 
Ppt.tik bab 3
Ppt.tik bab 3Ppt.tik bab 3
Ppt.tik bab 3
 
Recomendaciones generales para_el_uso_de_audacity_a
Recomendaciones generales para_el_uso_de_audacity_aRecomendaciones generales para_el_uso_de_audacity_a
Recomendaciones generales para_el_uso_de_audacity_a
 
Monica
MonicaMonica
Monica
 
MoD Spox October 10, 2016
MoD Spox October 10, 2016MoD Spox October 10, 2016
MoD Spox October 10, 2016
 
Body Language is a crucial matter in business organization
Body Language is a crucial matter in business organizationBody Language is a crucial matter in business organization
Body Language is a crucial matter in business organization
 
Guia 09 -_biomoleculas
Guia 09 -_biomoleculasGuia 09 -_biomoleculas
Guia 09 -_biomoleculas
 
Gestão Ágil em Arquitetura e Urbanismo - Agile BR 2016
Gestão Ágil em Arquitetura e Urbanismo - Agile BR 2016Gestão Ágil em Arquitetura e Urbanismo - Agile BR 2016
Gestão Ágil em Arquitetura e Urbanismo - Agile BR 2016
 

Similaire à Organisation SSI - Cybersécurité

Organisation de la Sécurité du SI
Organisation de la Sécurité du SIOrganisation de la Sécurité du SI
Organisation de la Sécurité du SIDXC Technology
 
Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014Software AG France Community
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesAntoine Vigneron
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...polenumerique33
 
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...OpinionWay
 
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...contactOpinionWay
 
L’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesL’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesitSMF France
 
Guide audit du SI - 2nd édition 2019
Guide audit du SI - 2nd édition 2019Guide audit du SI - 2nd édition 2019
Guide audit du SI - 2nd édition 2019CHARLES Frédéric
 
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...oumaima82
 
Session Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses étatsSession Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses étatsSkilld
 
Ntic et grh_-_cours
Ntic et grh_-_coursNtic et grh_-_cours
Ntic et grh_-_courspimasnet
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
L'informatique vue par les chefs d'entreprise
L'informatique vue par les chefs d'entrepriseL'informatique vue par les chefs d'entreprise
L'informatique vue par les chefs d'entrepriseYves Cavarec
 
Lean et Digital : 2 concepts indissociables
Lean et Digital : 2 concepts indissociablesLean et Digital : 2 concepts indissociables
Lean et Digital : 2 concepts indissociablesXL Groupe
 
Webinar Finance - Digitalisation de la fonction finance en 7 points clés
Webinar Finance - Digitalisation de la fonction finance en 7 points clésWebinar Finance - Digitalisation de la fonction finance en 7 points clés
Webinar Finance - Digitalisation de la fonction finance en 7 points clésAxys
 
Recherche lead technique désespérément
Recherche lead technique désespérémentRecherche lead technique désespérément
Recherche lead technique désespérémentAgile Montréal
 
Formation flash Lean Six Sigma
Formation flash Lean Six SigmaFormation flash Lean Six Sigma
Formation flash Lean Six SigmaXL Groupe
 
Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...
Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...
Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...BVA Limelight
 

Similaire à Organisation SSI - Cybersécurité (20)

Organisation de la Sécurité du SI
Organisation de la Sécurité du SIOrganisation de la Sécurité du SI
Organisation de la Sécurité du SI
 
Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014Présentation Maîtrise de la Performance - Octobre 2014
Présentation Maîtrise de la Performance - Octobre 2014
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériques
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
 
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
Sondage opinion way pour orange la perception des enjeux de la cybersécurit...
 
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
OpinionWay pour Orange - La perception des enjeux de la cybersécurité par les...
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
 
L’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesL’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des services
 
Guide audit du SI - 2nd édition 2019
Guide audit du SI - 2nd édition 2019Guide audit du SI - 2nd édition 2019
Guide audit du SI - 2nd édition 2019
 
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
 
Session Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses étatsSession Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses états
 
Ntic et grh_-_cours
Ntic et grh_-_coursNtic et grh_-_cours
Ntic et grh_-_cours
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 
L'informatique vue par les chefs d'entreprise
L'informatique vue par les chefs d'entrepriseL'informatique vue par les chefs d'entreprise
L'informatique vue par les chefs d'entreprise
 
Lean et Digital : 2 concepts indissociables
Lean et Digital : 2 concepts indissociablesLean et Digital : 2 concepts indissociables
Lean et Digital : 2 concepts indissociables
 
Webinar Finance - Digitalisation de la fonction finance en 7 points clés
Webinar Finance - Digitalisation de la fonction finance en 7 points clésWebinar Finance - Digitalisation de la fonction finance en 7 points clés
Webinar Finance - Digitalisation de la fonction finance en 7 points clés
 
Recherche lead technique désespérément
Recherche lead technique désespérémentRecherche lead technique désespérément
Recherche lead technique désespérément
 
Formation flash Lean Six Sigma
Formation flash Lean Six SigmaFormation flash Lean Six Sigma
Formation flash Lean Six Sigma
 
Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...
Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...
Synthese des résultats du Barometre Limelight-Consulting des métiers de la co...
 

Organisation SSI - Cybersécurité

  • 1. CLUSIF / CLUSIR Rha La Cybercriminalité Page 1 Philippe Quelle organisation pour prendre en compte le risque informatique Philippe GUARNIERI
  • 2. CLUSIF / CLUSIR Rha La Cybercriminalité Page 2 Philippe Enquête CLUSIR 2008 • 37 % des entreprise ont une fonction SSI (16% temps plein, 21 temps partagé). • Parmi celles ci : – 45 % Direction Générale ( 39 % en 2006) – 32 % DSI ( 41 %, en 2006) – autres 20 % ( 18 % en 2006) •dont : – 1 % Direction des risques – 1 % sureté générale.
  • 3. CLUSIF / CLUSIR Rha La Cybercriminalité Page 3 Philippe Les différentes organisations possibles (non-exhaustif) • SSI au sein de la DSI, le DSI cumule avec la fonction de RSSI • SSI au sein de la DSI avec RSSI • SSI au sein de la DG • SSI au sein du Service AUDIT • SSI au sein d'une direction métier • SSI au sein du service qualité • SSI au sein du Risk Management • Pas de RSSI
  • 4. CLUSIF / CLUSIR Rha La Cybercriminalité Page 4 Philippe SSI au sein de la DSI, le DSI cumule avec la fonction de RSSI • Avantages ● Le DSI a une vision globale du SI (Sécurité incluse) même si elle reste, le plus souvent, technique • Inconvénients ● Difficulté de relier la SSI à des processus métiers et donc difficulté pour obtenir les budgets (SI vu comme centre de coût) ● Le DSI a pour mission de minimiser les coûts et en cas de crise, la SSI en fait les frais. ● Activité à temps partagé ● Compétences ? ● Communication : s'adresser à l'entreprise dans un langage de spécialiste
  • 5. CLUSIF / CLUSIR Rha La Cybercriminalité Page 5 Philippe SSI au sein de la DSI avec RSSI • Avantages ● Prise en compte de toutes les interactions techniques, adaptée aux démarches de type bonne pratique technique • Inconvénients ● Pas toujours une prise en compte du risque métier, pas de corrélation automatique et donc rend les projets sécurité difficiles à justifier en terme de ROI ● Pas de démarche processus naturelle qui permettrait au fonctionnement de l'informatique plus de compatibilité avec le reste de l'entreprise ● La SSI comme le SI est considéré comme un centre de coût ● S'adresser à l'entreprise dans un langage de spécialiste
  • 6. CLUSIF / CLUSIR Rha La Cybercriminalité Page 6 Philippe SSI au sein de la DG • Avantages ● Signifie la prise en compte au plus haut niveau de décision ● Discours nécessairement compatible avec celui de l’entreprise. ● Décisions suivies d’actions. • Inconvénients ● Sauf cas particulier, il vaut mieux associer cette fonction à une autre fonction plus universelle, l'idéal est une direction de l'information au sens large ● Traiter la sécurité en mode exception, effet balancier
  • 7. CLUSIF / CLUSIR Rha La Cybercriminalité Page 7 Philippe SSI au sein du Service AUDIT • Avantages ● La SSI devient une fonction qu’il faut auditer comme les autres fonctions de l’entreprise. ● Position légitime en cas de besoin de certification. • Inconvénients ● Position faible pour mettre en œuvre le changement
  • 8. CLUSIF / CLUSIR Rha La Cybercriminalité Page 8 Philippe SSI au sein d'une direction métier • Avantages ● En prise naturelle avec les risques de l’entreprise surtout si le métier choisi est le cœur de métier. • Inconvénients ● Pas de prise en compte de tous les métiers ● Démarche de type Risk Management non-assurée du point de vue méthodologique.
  • 9. CLUSIF / CLUSIR Rha La Cybercriminalité Page 9 Philippe SSI au sein du service qualité • Avantages ● Convergences des méthodes avec la qualité PDCA, indicateurs, processus. ● Service habitué à pratiquer un mode de management transversal (comme la sécurité) : atteindre des objectifs avec des collaborateurs qui ne sont pas sous votre responsabilité directe • Inconvénients ● Ne voir la sécurité que comme une méthode, passer à côté des enjeux principaux
  • 10. CLUSIF / CLUSIR Rha La Cybercriminalité Page 10 Philippe SSI au sein du Risk Management • Avantages ● Au cœur des processus "sensibles" de l'entreprise ● La démarche risque est naturelle ● Seule fonction capable de faire de la SSI un avantage concurrentiel ● L’avenir ? • Inconvénients ● Compétence ? dépend du profil et du mode de management ● Il n’existe pas toujours un pôle « Risk Management »
  • 11. CLUSIF / CLUSIR Rha La Cybercriminalité Page 11 Philippe Pas de RSSI • Avantages ● Si aucun risque n'existe, économie budgétaire • Inconvénients ● Aucune prise en compte du risque et donc conséquences qui peuvent être graves pour la pérennité de l'entreprise
  • 12. CLUSIF / CLUSIR Rha La Cybercriminalité Page 12 Philippe Conclusion • Ce qui est sur : ● Sans lien métier pas de politique de sécurité adaptée aux vrais risques informationnels de l'entreprise, pas de vraie légitimité et par conséquent pas pérenne. ● L'ambition de la DSI est limitée par la nature de sa fonction et de par sa position. ● CLUSIR 2008 : 30 % des entreprises ont une analyse de risque. • Ce qui est possible ● Faire participer les métiers à la construction de la politique de sécurité. ● Dans certains cas, les nouvelles normes de type 2700x peuvent servir de pont avec les autres métiers
  • 13. CLUSIF / CLUSIR Rha La Cybercriminalité Page 13 Philippe L’adoption de telle ou telle organisation est significative de la perception du risque informatique par l’entreprise.