Presse
Article de presse - juillet 2010
Article paru dans la revue Mag-Securs n°273ème trimestre 2010
http://www.mag-securs.com
SENSIBILISATION DES DIRECTIONS GÉNÉRALES À LA SSI
Y a-t-il de bons élèves ?
La sécurité des systèmes d’information tend à devenir un enjeu crucial pour de plus en plus d’entreprises. Les plus en pointe sur le sujet ont assimilé que le RSSI devait être rattaché à la direction générale afi n que les décisions impactent le maximum de services. Tour d’horizon des bonnes et des moins bonnes pratiques au travers du témoignage de plusieurs RSSI.
La sécurité des systèmes d’information passe souvent pour être le parent pauvre
des budgets informatiques : directeurs généraux aveugles « tant que tout va
bien », directions informatiques préoccupées par d’autres budgets, directions financières
et directions d’achats focalisées par leur marge
et par la réduction des coûts. Or, il semblerait que
les politiques de sécurité ne passent pas trop mal
auprès des directions générales. Mais tout dépend
de la hiérarchie et de la sensibilité de la direction
générale au sujet. De leur côté, les directeurs d’activité
développent en permanence un esprit positif et dégagent une énergie pour faire aboutir en
temps et en heure les travaux dont ils ont la responsabilité.
Ils sont souvent bien en peine pour se
projeter dans les analyses de risques et envisager
les pires scénarios. Ils ont parfois conscience des
besoins de sécurité, mais ont beaucoup de mal à
appréhender la culture de sécurité. Le travail de
communication de la part du RSSI prend alors toute
son importance. Les situations changent selon
les entreprises, et les RSSI ont parfois fort à faire
pour s’imposer.
Les RSSI peuvent être qualifi és d’hommes de l’ombre :
on ne les voit pas, on les entend rarement. Lorsqu’ils
parlent d’eux, c’est pour rappeler des politiques de sécurité
aux utilisateurs ou réclamer des budgets pour
éviter la fuite des informations ou donner des leçons
de politique de sécurité élémentaires aux utilisateurs.
Autant dire que ce sont des empêcheurs de dépenser
en rond. Ils gênent, ils dérangent, ils donnent mauvaise
conscience à l’entreprise, mais ils sont pourtant
indispensables. Sans eux, l’entreprise se ferait hacker,
voler des secrets professionnels, les utilisateurs surferaient
sur Facebook en y mettant n’importe quoi, les
cadres oublieraient leurs portables dans les aéroports culture sécurité semble émerger dans les entreprises,
il faut que les RSSI bataillent pour l’imposer.
Pierre-Luc Réfalo, directeur associé d’Hapsis, et
pilote des enquêtes annuelles du Cercle Européen
de la Sécurité sur la fonction SSI dresse un
bilan très mitigé : « 80% des RSSI ne sont pas en
mesure de toucher les Comités de direction »,
déclare-t-il. « Il n’est pas permis à tout le monde
de s’adresser au dirigeant, il n’y a pas tant de
chemins d’accès que cela pour les RSSI », souligne-
t-il. « Il y a un phénomène générationnel.
Des dirigeants d’entreprise sont à l’écoute, car
ils ont grandi avec l’informatique et d’autres ne
comprennent pas vraiment de quoi il retourne ».
Il poursuit que « l’enjeu est de faire accepter par
l’entreprise des engagements budgétaires suffisants
pour couvrir les risques ». Mais tous les
RSSI n’ont pas une bonne vision sur l’ampleur et
la nature des dépenses réelles, ni sur les impacts
économiques des incidents vécus. Lorsqu’un chef
d’entreprise leur demande « tout cela me coûte
combien ? », les RSSI ne sont pas forcément capables
de répondre à cette question. Bien sûr, les
dépenses de sécurité existent, mais elles sont
disparates et souvent non consolidées. Selon
Pierre-Luc Réfalo, « les financiers voient la sécurité
comme un centre de coût, avec une pression
globale, et les fonctions achats ne savent pas
vraiment ce qu’elles achètent. Beaucoup de RSSI
ont un vrai problème avec leur fonction achats »
souligne-t-il. Finalement, si l’oreille de la direction
générale manque, il faut sans doute plutôt
aborder la question « qu’est-ce que je gagne à
faire plutôt que qu’est-ce que je perds si je suis
victime de ? » A l’entendre, la fonction RSSI doit
intégrer une dimension économique plus forte.
Un RSSI doit se montrer philosophe
Or, l’enquête de Mag Securs aurait plutôt tendance à souligner le contraire, même s’il existe des marges de progrès. Eric Wiatrowsky, Chief Security Officer d’Orange Business Services, se montre philosophe : « avoir un RSSI qui contrôle tout et gère tous les budgets est illusoire. La sécurité est l’affaire de tous », rappelle-t-il à bon escient. « Tout un chacun contribue à la sécurité, du technicien de surface au Président », rappelle- t-il. « J’ai zéro budget en propre, et le budget de la sécurité dépend de nombreux acteurs de l’entreprise. Je pense que, sur la sécurité, le contexte n’est pas défavorable de la part de notre direction générale, même si nous pourrions faire plus dans certains domaines, et que des projets sont parfois décalés dans le temps. Je reste très philosophe. Il y a un tas de sujets que j’aimerais voir avancer plus vite et plus loin, mais il faut savoir rester modeste et patient. Il y a un an, nous avons découvert des failles dans un processus stratégique. Un an après, c’est complètement sous contrôle suite à une action collective. Rien ne sert de courir... Il faut partir ensemble ». « Sur la sécurité de nos infrastructures, nous menons des audits et des enquêtes clients », reprend- il. « Il faut en effet disposer d’arguments factuels qui sont de bons points d’ancrage, et ne pas céder au catastrophisme simpliste ». Au final, « la direction générale décide avec logique en mesurant le pour et le contre de chaque scenario proposé ». Il juge avec impartialité les directions générales : « elles n’ont pas beaucoup de temps à consacrer à la sécurité, apprennent sur le tas, et surtout quand la sécurité pose un problème. Elles tirent des leçons de la sécurité surtout lorsque celle-ci n’est pas satisfaisante. Mais globalement, les directions générales sont maintenant sensibles à l’importance de la sécurité. Ainsi la nôtre nous a aidé à obtenir une certification ISO 27001 qui exige l’implication de la direction dans la gouvernance de la sécurité ».
Des relations aisées avec la direction générale
Si quelques RSSI sont déçus, ou simplement prudents, la majorité semble l’emporter dans l’enthousiasme et des relations aisées avec leur direction générale. Témoin Cédric Cartau, RSSI du CHU de Nantes, ravi de son sort : « j’ai été recruté par la direction générale, et je mène une communication régulière sur les risques, sur les impacts de ces risques. J’ai une situation privilégiée, je suis au Comité Directeur Sécurité, et j’ai en face de moi des gens ouverts. Ils ont besoin de moi, c’est d’autant plus facile pour faire passer des messages. Je me suis spécifiquement adressé à la Direction Générale, je lui demande des budgets, pour savoir où on en est, nous évaluons des priorités. Après, la direction générale fait son travail et arbitre. La culture sécurité est importante auprès des ingénieurs systèmes, auprès du DSI, mais moins auprès des directions métiers. Ce sont elles qu’il faut convaincre du bienfait de la SSI. Les secteurs les plus sensibles à la sécurité sont le SAMU, les urgences, les laboratoires et de façon générale tout ce qui est directement lié au coeur de métier de l’hôpital et donc au patient ». La maîtrise d’ouvrage prime donc sur la maîtrise d’oeuvre pour exprimer les besoins de sécurité. Cédric Foll, RSSI de l’Education nationale, ne peut que se féliciter du niveau de sensibilisation de l’encadrement de l’éducation nationale : « les décideurs doivent adhérer aux règles de sécurité. Nous avons mené des actions de sensibilisation auprès de l’encadrement de haut niveau, sur les risques techniques, les risques de pertes informatiques, les risques juridiques vis-à-vis de la Cnil. La sécurité n’est pas du tout un parent pauvre de la DSI dans l’Education nationale. La sécurité n’est généralement pas vue comme une charge dans les projets de systèmes d’information. Un budget spécifique est prévu pour intégrer la sécurité dans le cycle de vies des projets (analyse de risques, expertise technique, audit de sécurité) », témoigne-t-il.
Les données personnelles, un vrai levier de communication
Les grandes banques sont aussi traditionnellement sensibilisées à la SSI, et ce depuis longtemps. Cet RSSI d’un établissement de crédit, qui tient à son anonymat, nous confie : « je suis coordinateur CNIL et je manipule des données personnelles. Sur ces aspects, les directions métiers sont sensibilisées à la sécurité. Les données personnelles sont un vrai levier pour le RSSI en matière de sensibilisation à la sécurité, surtout pour un établissement de crédit. Ce qui peut nous toucher, outre la protection des données personnelles, ce sont les risques non maîtrisés en terme d’images et de fuite d’informations. Pourtant, au niveau du système d’information, tout reste très artisanal, mais nous n’avons jamais été pris en défaut. Par contre, nous avons redonné des priorités aux budgets, faute d’avoir les vrais pivots en interne ».
Le son de cloche est le même pour Alain Bernard,
RSSI de Natixis : « la sécurité est dans l’ADN d’une
banque », communique-t-il, « et notre DG sait
ce qu’est la sécurité, même s’il faut faire de la
pédagogie pour vendre certains projets un peu
techniques, comme sur les attaques Internet,
les injections SQL, ou bien le cross-site scripting.
Forcément, il faut faire des choix au niveau des
processus budgétaires, mais les instances dirigeantes
sont sensibilisées. J’ai des rencontres régulières
avec les comités de direction, je vois très
régulièrement le Secrétaire général, il m’écoute.
Dans son ensemble, le message sécuritaire passe,
mais le maintenir sur la durée est difficile » estime-
t-il. « L’équilibre est difficile, il nous faut une
bonne confiance de la Direction générale pour
aborder la sécurité ».
Des opérations marquantes
Il n’en reste pas moins que quelques directions générales ont dû être convaincues par des opérations marquantes sur la sécurité : séminaires avec des VIP de la sécurité, troupe de théâtre... rien n’a été trop beau pour convaincre les directions générales d’investir dans la sécurité. Cet ancien RSSI d’un établissement de crédit se souvient d’avoir mené une opération de sensibilisation de la direction générale tambour battant : « pour les utilisateurs, nous avons mené des campagnes d’affichage, et des quizz, mais pour les VIP, j’ai fait intervenir pendant 2 heures quelqu’un du SGDN. Une autre fois, c’est Christian Aghroum, Commissaire Divisionnaire, chef de l’OCLCTIC (Office Central de Lutte contre la Criminalité Liée aux Technologies de l’Information et de la Communication), qui est intervenu », indique-t-il. Quelques opérations coups de poings par rapport à la direction générale ne font pas de mal.
Maricela Pélegrin-Bomel, ancienne RSSI d’un groupe de télécommunications, se souvient avec humour avoir monté une opération originale : « nous avons une fois monté un roman-photo, avec la voix de personnes réelles, et nous avons monté une séance de théâtre avec de vrais acteurs. Les dirigeants ont été mis en scène », relate-t-elle.
Le niveau de sensibilisation dépend du niveau de rattachement du RSSI
Le niveau de sensibilisation de la direction générale dépend en fait du rattachement hiérarchique de la RSSI. Logiquement, plus le RSSI est proche de la DG, plus il aura l’oreille de celle-ci... Or, les situations varient selon les entreprises. Le RSSI peut être rattaché au DSI, qui est lui-même membre ou non du Comité directeur. Or, insiste cette RSSI, « il est important pour le RSSI d’avoir une légitimité. Le RSSI doit être rattaché à une direction non technique », selon elle, qui était rattachée « via la Direction Financière, au numéro 3 de la Direction Générale ». Cet autre ancien RSSI d’un établissement de crédit, était, quant à lui, « dépendant du Directeur des Risques et du Contrôle Permanent (DRCP). La DRCP dépend de la Direction Générale. On en référait directement au DG », explique-t-il. Alain Bernard, RSSI de Natixis, quant à lui, dépend du Directeur de la Conformité, rattaché au Secrétariat Général. Cette proximité avec la direction générale lui permet de communiquer aisément avec le secrétaire général et de faire passer ses messages. Cédric Cartau, RSSI du CHU de Nantes, ne peut que se féliciter de son recrutement par la direction générale. Cédric Foll, RSSI de l’Education nationale, dépend du service des technologies et des systèmes d’information de l’éducation nationale, et est rattaché fonctionnellement au secrétaire général qui est l’AQSSI de l’Education nationale (Autorité Qualifiée de la Sécurité des Systèmes d’Information), avec un devoir de conseil auprès du secrétaire général.
Patrick Clément, d’Areva, est directeur risques et conformité à la DSI d’Areva. A ce titre, il dépend du DSI. « J’impulse les budgets de sécurité des systèmes d’information. Je les présente et les défend devant le Comité de Direction de la DSI. Mais après, il y a des décisions d’arbitrage assez classiques », estime- t-il. « Le budget sécurité SI est un composant parmi d’autres dans le budget DSI. Les dépenses de sécurité doivent s’argumenter comme les autres, cela n’est jamais gagné d’avance, même si, dans une entreprise comme Areva », estime-t-il, « la direction est sensible aux problèmes de sécurité ».
Il semblerait que la perception de la sécurité par la direction générale a évolué : perte d’informations, risque en termes d’image, malveillance d’un collaborateur, ont sensibilisé les directions générales aux risques sécurité. Mais les budgets restent contraints : c’est maintenant aux RSSI de monter au créneau et de faire preuve de capacités de communication pour convaincre leur direction générale ; tous n’y sont pas prêts.
Les RSSI peuvent être qualifi és d’hommes de l’ombre :
on ne les voit pas, on les entend rarement. Lorsqu’ils
parlent d’eux, c’est pour rappeler des politiques de sécurité
aux utilisateurs ou réclamer des budgets pour
éviter la fuite des informations ou donner des leçons
de politique de sécurité élémentaires aux utilisateurs.
Autant dire que ce sont des empêcheurs de dépenser
en rond. Ils gênent, ils dérangent, ils donnent mauvaise
conscience à l’entreprise, mais ils sont pourtant
indispensables. Sans eux, l’entreprise se ferait hacker,
voler des secrets professionnels, les utilisateurs surferaient
sur Facebook en y mettant n’importe quoi, les
cadres oublieraient leurs portables dans les aéroports culture sécurité semble émerger dans les entreprises,
il faut que les RSSI bataillent pour l’imposer.
Pierre-Luc Réfalo, directeur associé d’Hapsis, et
pilote des enquêtes annuelles du Cercle Européen
de la Sécurité sur la fonction SSI dresse un
bilan très mitigé : « 80% des RSSI ne sont pas en
mesure de toucher les Comités de direction »,
déclare-t-il. « Il n’est pas permis à tout le monde
de s’adresser au dirigeant, il n’y a pas tant de
chemins d’accès que cela pour les RSSI », souligne-
t-il. « Il y a un phénomène générationnel.
Des dirigeants d’entreprise sont à l’écoute, car
ils ont grandi avec l’informatique et d’autres ne
comprennent pas vraiment de quoi il retourne ».
Il poursuit que « l’enjeu est de faire accepter par
l’entreprise des engagements budgétaires suffisants
pour couvrir les risques ». Mais tous les
RSSI n’ont pas une bonne vision sur l’ampleur et
la nature des dépenses réelles, ni sur les impacts
économiques des incidents vécus. Lorsqu’un chef
d’entreprise leur demande « tout cela me coûte
combien ? », les RSSI ne sont pas forcément capables
de répondre à cette question. Bien sûr, les
dépenses de sécurité existent, mais elles sont
disparates et souvent non consolidées. Selon
Pierre-Luc Réfalo, « les financiers voient la sécurité
comme un centre de coût, avec une pression
globale, et les fonctions achats ne savent pas
vraiment ce qu’elles achètent. Beaucoup de RSSI
ont un vrai problème avec leur fonction achats »
souligne-t-il. Finalement, si l’oreille de la direction
générale manque, il faut sans doute plutôt
aborder la question « qu’est-ce que je gagne à
faire plutôt que qu’est-ce que je perds si je suis
victime de ? » A l’entendre, la fonction RSSI doit
intégrer une dimension économique plus forte.Un RSSI doit se montrer philosophe
Or, l’enquête de Mag Securs aurait plutôt tendance à souligner le contraire, même s’il existe des marges de progrès. Eric Wiatrowsky, Chief Security Officer d’Orange Business Services, se montre philosophe : « avoir un RSSI qui contrôle tout et gère tous les budgets est illusoire. La sécurité est l’affaire de tous », rappelle-t-il à bon escient. « Tout un chacun contribue à la sécurité, du technicien de surface au Président », rappelle- t-il. « J’ai zéro budget en propre, et le budget de la sécurité dépend de nombreux acteurs de l’entreprise. Je pense que, sur la sécurité, le contexte n’est pas défavorable de la part de notre direction générale, même si nous pourrions faire plus dans certains domaines, et que des projets sont parfois décalés dans le temps. Je reste très philosophe. Il y a un tas de sujets que j’aimerais voir avancer plus vite et plus loin, mais il faut savoir rester modeste et patient. Il y a un an, nous avons découvert des failles dans un processus stratégique. Un an après, c’est complètement sous contrôle suite à une action collective. Rien ne sert de courir... Il faut partir ensemble ». « Sur la sécurité de nos infrastructures, nous menons des audits et des enquêtes clients », reprend- il. « Il faut en effet disposer d’arguments factuels qui sont de bons points d’ancrage, et ne pas céder au catastrophisme simpliste ». Au final, « la direction générale décide avec logique en mesurant le pour et le contre de chaque scenario proposé ». Il juge avec impartialité les directions générales : « elles n’ont pas beaucoup de temps à consacrer à la sécurité, apprennent sur le tas, et surtout quand la sécurité pose un problème. Elles tirent des leçons de la sécurité surtout lorsque celle-ci n’est pas satisfaisante. Mais globalement, les directions générales sont maintenant sensibles à l’importance de la sécurité. Ainsi la nôtre nous a aidé à obtenir une certification ISO 27001 qui exige l’implication de la direction dans la gouvernance de la sécurité ».
Des relations aisées avec la direction générale
Si quelques RSSI sont déçus, ou simplement prudents, la majorité semble l’emporter dans l’enthousiasme et des relations aisées avec leur direction générale. Témoin Cédric Cartau, RSSI du CHU de Nantes, ravi de son sort : « j’ai été recruté par la direction générale, et je mène une communication régulière sur les risques, sur les impacts de ces risques. J’ai une situation privilégiée, je suis au Comité Directeur Sécurité, et j’ai en face de moi des gens ouverts. Ils ont besoin de moi, c’est d’autant plus facile pour faire passer des messages. Je me suis spécifiquement adressé à la Direction Générale, je lui demande des budgets, pour savoir où on en est, nous évaluons des priorités. Après, la direction générale fait son travail et arbitre. La culture sécurité est importante auprès des ingénieurs systèmes, auprès du DSI, mais moins auprès des directions métiers. Ce sont elles qu’il faut convaincre du bienfait de la SSI. Les secteurs les plus sensibles à la sécurité sont le SAMU, les urgences, les laboratoires et de façon générale tout ce qui est directement lié au coeur de métier de l’hôpital et donc au patient ». La maîtrise d’ouvrage prime donc sur la maîtrise d’oeuvre pour exprimer les besoins de sécurité. Cédric Foll, RSSI de l’Education nationale, ne peut que se féliciter du niveau de sensibilisation de l’encadrement de l’éducation nationale : « les décideurs doivent adhérer aux règles de sécurité. Nous avons mené des actions de sensibilisation auprès de l’encadrement de haut niveau, sur les risques techniques, les risques de pertes informatiques, les risques juridiques vis-à-vis de la Cnil. La sécurité n’est pas du tout un parent pauvre de la DSI dans l’Education nationale. La sécurité n’est généralement pas vue comme une charge dans les projets de systèmes d’information. Un budget spécifique est prévu pour intégrer la sécurité dans le cycle de vies des projets (analyse de risques, expertise technique, audit de sécurité) », témoigne-t-il.
Les données personnelles, un vrai levier de communication
Les grandes banques sont aussi traditionnellement sensibilisées à la SSI, et ce depuis longtemps. Cet RSSI d’un établissement de crédit, qui tient à son anonymat, nous confie : « je suis coordinateur CNIL et je manipule des données personnelles. Sur ces aspects, les directions métiers sont sensibilisées à la sécurité. Les données personnelles sont un vrai levier pour le RSSI en matière de sensibilisation à la sécurité, surtout pour un établissement de crédit. Ce qui peut nous toucher, outre la protection des données personnelles, ce sont les risques non maîtrisés en terme d’images et de fuite d’informations. Pourtant, au niveau du système d’information, tout reste très artisanal, mais nous n’avons jamais été pris en défaut. Par contre, nous avons redonné des priorités aux budgets, faute d’avoir les vrais pivots en interne ».
Le son de cloche est le même pour Alain Bernard,
RSSI de Natixis : « la sécurité est dans l’ADN d’une
banque », communique-t-il, « et notre DG sait
ce qu’est la sécurité, même s’il faut faire de la
pédagogie pour vendre certains projets un peu
techniques, comme sur les attaques Internet,
les injections SQL, ou bien le cross-site scripting.
Forcément, il faut faire des choix au niveau des
processus budgétaires, mais les instances dirigeantes
sont sensibilisées. J’ai des rencontres régulières
avec les comités de direction, je vois très
régulièrement le Secrétaire général, il m’écoute.
Dans son ensemble, le message sécuritaire passe,
mais le maintenir sur la durée est difficile » estime-
t-il. « L’équilibre est difficile, il nous faut une
bonne confiance de la Direction générale pour
aborder la sécurité ».Des opérations marquantes
Il n’en reste pas moins que quelques directions générales ont dû être convaincues par des opérations marquantes sur la sécurité : séminaires avec des VIP de la sécurité, troupe de théâtre... rien n’a été trop beau pour convaincre les directions générales d’investir dans la sécurité. Cet ancien RSSI d’un établissement de crédit se souvient d’avoir mené une opération de sensibilisation de la direction générale tambour battant : « pour les utilisateurs, nous avons mené des campagnes d’affichage, et des quizz, mais pour les VIP, j’ai fait intervenir pendant 2 heures quelqu’un du SGDN. Une autre fois, c’est Christian Aghroum, Commissaire Divisionnaire, chef de l’OCLCTIC (Office Central de Lutte contre la Criminalité Liée aux Technologies de l’Information et de la Communication), qui est intervenu », indique-t-il. Quelques opérations coups de poings par rapport à la direction générale ne font pas de mal.
Maricela Pélegrin-Bomel, ancienne RSSI d’un groupe de télécommunications, se souvient avec humour avoir monté une opération originale : « nous avons une fois monté un roman-photo, avec la voix de personnes réelles, et nous avons monté une séance de théâtre avec de vrais acteurs. Les dirigeants ont été mis en scène », relate-t-elle.
Le niveau de sensibilisation dépend du niveau de rattachement du RSSI
Le niveau de sensibilisation de la direction générale dépend en fait du rattachement hiérarchique de la RSSI. Logiquement, plus le RSSI est proche de la DG, plus il aura l’oreille de celle-ci... Or, les situations varient selon les entreprises. Le RSSI peut être rattaché au DSI, qui est lui-même membre ou non du Comité directeur. Or, insiste cette RSSI, « il est important pour le RSSI d’avoir une légitimité. Le RSSI doit être rattaché à une direction non technique », selon elle, qui était rattachée « via la Direction Financière, au numéro 3 de la Direction Générale ». Cet autre ancien RSSI d’un établissement de crédit, était, quant à lui, « dépendant du Directeur des Risques et du Contrôle Permanent (DRCP). La DRCP dépend de la Direction Générale. On en référait directement au DG », explique-t-il. Alain Bernard, RSSI de Natixis, quant à lui, dépend du Directeur de la Conformité, rattaché au Secrétariat Général. Cette proximité avec la direction générale lui permet de communiquer aisément avec le secrétaire général et de faire passer ses messages. Cédric Cartau, RSSI du CHU de Nantes, ne peut que se féliciter de son recrutement par la direction générale. Cédric Foll, RSSI de l’Education nationale, dépend du service des technologies et des systèmes d’information de l’éducation nationale, et est rattaché fonctionnellement au secrétaire général qui est l’AQSSI de l’Education nationale (Autorité Qualifiée de la Sécurité des Systèmes d’Information), avec un devoir de conseil auprès du secrétaire général.
Patrick Clément, d’Areva, est directeur risques et conformité à la DSI d’Areva. A ce titre, il dépend du DSI. « J’impulse les budgets de sécurité des systèmes d’information. Je les présente et les défend devant le Comité de Direction de la DSI. Mais après, il y a des décisions d’arbitrage assez classiques », estime- t-il. « Le budget sécurité SI est un composant parmi d’autres dans le budget DSI. Les dépenses de sécurité doivent s’argumenter comme les autres, cela n’est jamais gagné d’avance, même si, dans une entreprise comme Areva », estime-t-il, « la direction est sensible aux problèmes de sécurité ».
Il semblerait que la perception de la sécurité par la direction générale a évolué : perte d’informations, risque en termes d’image, malveillance d’un collaborateur, ont sensibilisé les directions générales aux risques sécurité. Mais les budgets restent contraints : c’est maintenant aux RSSI de monter au créneau et de faire preuve de capacités de communication pour convaincre leur direction générale ; tous n’y sont pas prêts.
MEDISCS est présent au
L’objectif du projet ViSAM est de développer un système qui permet d’exploiter l’IGC dans des
dispositifs portables (téléphone, Smartphone,
Certification au titre de la CSPN du logiciel Mediscs VSC-TOOAL