CSO de Palo Alto Network, Rick Howard évoque, en exclusivité pour IT Social, l'évolution de la sécurité dans l'entreprise et du rôle du RSSI.
Palo Alto Networks est un acteur reconnu dans le domaine de la sécurité d’entreprise, plus particulièrement pour son parefeu de dernière génération. L'éditeur a également obtenu en début d'année la certification de sécurité de premier niveau (CSPN) de l’ANSSI, l’Agence nationale de sécurité des systèmes d'information.
IT Social : Vous observez depuis longtemps l'évolution de la sécurité dans les entreprises. Pouvez nous décrire comment a évolué le poste du RSSI ?
Rick Howard : Depuis plus de dix ans, la description des acteurs de la sécurité en entreprise est en perpétuelle évolution. Depuis l'époque où Steve Katz est devenu le premier Responsable de la Sécurité des Systèmes d'Information (RSSI) en 1995, le secteur de la sécurité en particulier et le leadership d'entreprise en général n'ont cessé de penser et de repenser le caractère indispensable d'un tel intervenant et les responsabilités qu'il devrait avoir. Citigroup a été la première société commerciale à reconnaître la nécessité du rôle inédit du RSSI d'entreprise lorsqu'ils ont fait face à un incident survenu dans le cadre d'un logiciel malveillant russe qui a fait l'objet des manchettes. Tandis que les cyber-menaces prenaient toujours plus d'ampleur en termes de risques avérés pour l'entreprise et dans l'esprit du grand public, les chefs d’entreprises ont pris conscience de la nécessité d'allouer des ressources pour faire face à cette menace. Les premiers professionnels étaient issus des équipes techniques, autrement dit des départements informatiques. Les solutions fournisseurs visant à contrôler la cyber-menace fonctionnaient sur réseaux et postes de travail. Le fait de disposer de personnes qui comprenaient bien ce domaine permettait de gérer ces solutions. Or, tenter de faire comprendre le risque technique aux dirigeants d'entreprise n'était pas toujours une mince affaire. Il est alors devenu commode de faire disparaître ces professionnels dans les strates de la direction de l'informatique. Les RSSI ont commencé à travailler pour les directeurs de l'informatique, car tout ce qui avait trait à la technique — du point de vue de l'ensemble des cadres de haut niveau — était à mettre dans le même panier.
Tandis que les chefs d’entreprise commençaient à déployer des ressources pour contrôler le cyber-risque, d'autres domaines présentant des risques de sécurité ont fait leur apparition : sécurité physique, conformité, prévention de la fraude, continuité d’activité, sureté, déontologie professionnelle, protection des données, protection des marques, etc. Le poste de directeur de la stratégie a commencé à conquérir les dirigeants qui avaient besoin de professionnels capables de couvrir l'ensemble de l’entreprise. Pas seulement les risques en matière de cyber-sécurité, mais les risques généraux de sécurité pour l'entreprise. C'est en 2002 que CSO Magazine a été lancé afin de répondre à cette vaste question. En 2004, l'ANSSI a accrédité le programme professionnel de certification en sécurité des systèmes d'information (CISSP) grâce auquel les professionnels de l'assurance des technologies de l'information pouvaient obtenir une certification dans un organisme agréé.
Depuis, comment évolue la mission du RSSI ?
Le secteur est en pleine mutation. Chaque entreprise a sa propre façon de s'organiser. S'il est vrai que dans certaines entreprises - Intel et McAfee pour n'en citer que deux qui d'ailleurs sont très proches - le directeur informatique est venu gonfler les rangs de la direction générale, cela est loin d'être une généralité. Bien souvent, il est à la traîne. Pourtant, la situation est en train de changer, c'est du moins mon sentiment.
Quelle est la prévalence de la fonction de RSSI en tant que fonction distincte ? Deviendra-t-elle plus ou moins répandue et pourquoi ? Et quel champ cette fonction regroupe-t-elle ?
Le poste de RSSI est apparu au cours des cinq dernières années comme celui qui consiste à gérer de fait la cyber-sécurité. Si, au sein de l'entreprise, personne ne porte la casquette de RSSI, cela signifie que personne n'est responsable de la sécurité informatique. Généralement, bien que cela ne soit pas toujours le cas, cette personne travaille pour le directeur principal de l'information (DPI). Je voyage beaucoup et partout à travers le monde pour parler avec des clients et à l'occasion de manifestations dédiées à la sécurité. Pour avoir échangé avec de nombreux RSSI, DPI et autres directeurs informatiques, notre communauté a décidé que les équipes informatiques gèrent les opérations IT quotidiennes, tandis que les équipes dédiées à la sécurité assurent beaucoup plus un rôle de surveillance : évaluation des risques, réponse aux incidents, politiques, etc. Cela signifie que les équipes informatiques s'assurent de garder les pare-feu sur les rails, alors que les équipes dédiées à la sécurité contrôlent les journaux des utilisateurs et conseillent le directeur principal de l'information en matière d'architecture et de politique sur la sécurité.
J'ajouterai juste à ce sujet qu'à mon sens, ce modèle n'est pas non plus le bon. Dans notre monde moderne, je ne crois pas que la sécurité doive toujours être subordonnée aux opérations. Certes, une entreprise se doit d'assurer le caractère opérationnel de ses serveurs ; or, cela n'implique pas que la sécurité soit le premier poste à sacrifier en dernier recours afin d'assurer le maintien des opérations. Dans les entreprises qui ont compris ce que le terme « risque » signifie pour leurs activités, sécurité et opérations marchent main dans la main.
Le fait de fusionner sécurité physique et numérique au sein d'un même cadre organisationnel est-il ou non une bonne chose ? Dans la négative, ces deux éléments devraient-ils être séparés ?
Je comprends pourquoi certaines entreprises disposent de deux groupes distincts dédiés à la sécurité. Avant l'ère d'internet, la fonction de RSSI n'existait pas vraiment. S'il existait une fonction chargée de la sécurité physique, elle était généralement reléguée au bas de la chaîne de commandement. Balustrades, rambardes et autres garde-fous étaient nécessaires, mais ce type d'opération s'assimilait davantage à des services de base, du même ressort que l'électricité ou la collecte des déchets pour prendre l'exemple d'un bâtiment. Certes, ils étaient nécessaires, mais une fois installés, ils n'avaient aucune incidence matérielle sur les activités, quand bien même ils étaient défaillants un jour ou deux dans la plupart des cas. De ce fait, la sécurité physique revenait habituellement aux équipes de Facilitates Management.
Cependant, avec l'avènement de l'Internet des objets, la situation a changé. L'interconnexion est reine. À l'instar de toute autre organisation au sein de l'entreprise, les groupes de sécurité physique disposent de nombreuses composantes liées à la sécurité (badges, caméras de surveillance, etc.). Ces groupes dotés d'outils électroniques pourraient continuer à opérer par eux-mêmes. Pourtant, il est logique que la direction nomme quelqu'un au sein de l'entreprise pour s'assurer que ces outils sont compatibles avec le plan d'architecture de sécurité approuvé. À mon avis, ce rôle incombe au CSO (directeur de la stratégie).
De même qu'à mon avis, le cyber-risque pour l'entreprise n'existe pas, seul existe le risque tout court. C'est pourquoi je ne crois pas qu'il soit nécessaire de séparer les équipes dédiées à la cyber-sécurité de celles en charge de la sécurité physique. Tout cela concerne la sécurité, un point c'est tout. Pour des questions de simplification de la gestion, il est plus sensé de tout regrouper au sein d'un même cadre. Dans mon entreprise idéale, le CSO serait chargé de l'ensemble de la sécurité de l'entité. Le RSSI travaillerait en connexion directe avec le CIO. Le directeur de la sécurité physique travaillerait également avec le CSO tout en conservant une relation de travail étroite avec le RSSI.