Flamingo Images - stock.adobe.co

Actualites

Le RSSI est-il toujours un frein à la transformation numérique ?

Avec sa réputation de celui qui dit non, le RSSI est redouté des équipes agiles qui voient en lui un obstacle à la rapidité de déploiement des applications. Pourtant, il est possible de concilier transformation numérique et sécurité pour peu que chacun y mette du sien.

Alain Clapaud
par
Publié le: 22 mai 2025

Organisée par le Cesin lors de la conférence Ready for IT, la table ronde consacrée à l’innovation fut l’occasion pour les membres de l’association d’évoquer le rôle du RSSI dans la transformation numérique.

Le RSSI est encore fréquemment considéré comme l’empêcheur de tourner en rond par des équipes métiers avides de disposer des solutions les plus en pointe. Même les équipes IT, a priori bien conscientes du risque cyber, voient l’équipe sécurité comme un frein à l’agilité.

Pour faire oublier cette image de ceux qui disent non, les RSSI doivent évangéliser sur l’importance de la cybersécurité, mais aussi convaincre leurs interlocuteurs de l’importance de se tourner vers eux le plus tôt possible dans leurs projets.

Stéphane Lemée, CISO de Fujitsu France explique sa position : « dans tout projet de transformation, il y a de la sécurité. Pourtant, pour les équipes, le RSSI n’est pas considéré comme légitime. C’est à nous d’aller vers les CTO, DSI et Direction Générale afin de gagner cette légitimité. Il faut exploiter chaque opportunité, comme ce fut le cas lorsque j’ai dû cogérer avec notre CTO le déploiement de Teams lors de la crise du Covid ». De fait, le CISO de Fujitsu reçoit tous les appels d'offres afin d’évaluer l’impact cybersécurité du projet et les risques sous-jacents. La sécurité dispose d’un droit de veto dès les premiers jalons d’un projet.

La sécurité a son mot à dire en tout début d’appel d’offres

Cette nécessité d’intervenir au plus tôt dans les projets est évoquée par Michaël Pruniaud, RSSI de la Compagnie Nationale du Rhône (CNR). Celui-ci revient sur un projet où il a pu intervenir en tout début d’appel d’offres : « nous avons dû gérer le projet de déploiement d’un nouveau SIRH complet, un projet extrêmement complexe à mener. A cette occasion, nous avons mis en place un plan d’assurance sécurité dès le début de la phase d’appel d’offres. Les réponses des candidats étaient jugées à partir de ce document et il ne s’agissait pas d’un simple questionnaire : un audit était mené en regard de l’accord contractuel. En tant qu’entité du groupe Engie, notre direction générale est très mature vis-à-vis de la cybersécurité et lorsqu’il s’agit de sécurité, il n’y a pas de débat ».

Prenant l’exemple de l’arrivée de l’IA générative, le RSSI souligne que cette nouvelle application fait courir de nombreux risques, notamment de fuites de données vers un tiers. Néanmoins, il en a accompagné l’adoption : « plutôt que de tout couper, l’approche est de venir en aide aux utilisateurs. J’ai pris mon bâton de pèlerin afin, pendant 1 an et demi, d’expliquer les risques de l’IA générative. Je suis allé sur nos 19 sites industriels afin de sensibiliser les utilisateurs. Je suis très à cheval sur ce devoir de sensibilisation de la part d’un RSSI. Notre métier est de leur apporter de la valeur et nous contacter le plus tôt possible afin de pouvoir les aider dans leur projet ».

Le RSSI doit se poser comme un facilitateur et non un senseur

Stéphane Lemée relève que l’IT est un domaine en constante évolution où l’innovation est constante : « c’est la raison pour laquelle nous devons adopter une posture de facilitateur et non pas de senseur ».

Selon lui, cela passe par l'adoption d'une « stratégie de tenaille : d’un côté se rapprocher des métiers, participer aux réunions de préqualification des solutions, assurer un accompagnement des utilisateurs à la cybersécurité. De l’autre, il faut valoriser ceux qui font spontanément appel à nous. Nous décernons des « Awards de la sécurité » aux personnes dont le métier n’est pas la sécurité, mais qui se sont tournées vers nous pour s’assurer de la sécurité de telle ou telle pratique ».

La nécessité de consulter le RSSI le plus tôt possible reste le meilleur moyen de ne pas arriver dans une impasse en fin de projet. La réputation des RSSI s’est aussi établie à cause des mises en production retardées pour mettre la nouvelle application en conformité avec la politique de sécurité d’entreprise. Stéphane Lemée évoque ainsi le cas où l’éditeur choisi par un industriel imposait contractuellement que les serveurs soient patchés dans un délai maximum de 1 mois en cas de vulnérabilité, ce qui, dans le secteur industriel, est fréquemment impossible à réaliser…

Une main de fer dans un gant de velour…

Si les métiers doivent comprendre que la cybersécurité doit être une préoccupation constante pour eux, les RSSI ont aujourd’hui le devoir de bien connaître les enjeux et les contraintes des métiers.

Adoté Chilloh, adjoint au DSI et responsable opérationnel de la sécurité des SI de la Bibliothèque Nationale de France en a fait son mantra : « notre mission est avant tout d’assurer la pérennité des systèmes, garantir le fonctionnement du SI. De ce fait, il ne peut y avoir de sécurité sans penser métier ». Car oui, pointe-t-il, « notre métier, c’est de faire tourner la bibliothèque, que les lecteurs qui viennent parfois de l’étranger pour consulter des documents puissent y avoir accès le jour où ils viennent. C’est la raison pour laquelle notre système de préservation, nous l’avons conçu et développé nous même, dans cette approche purement métier ».

Le RSSI est dans une position particulière, car il a fait partie de l’équipe qui a mis en place le premier SI de la BNF en 1989. De ce fait, la mise en place de la sécurité s’est déroulée progressivement, tout au long de la vie de ce système d’information. Un PSSI a été adopté en 2014 : « la sécurité a été mise en place en douceur, mais cela n’exclut pas un peu de dictature : rien ne peut se faire sans passer par la DSI », rappelle le RSSI.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)