{"id":53,"date":"2023-08-01T20:02:27","date_gmt":"2023-08-01T18:02:27","guid":{"rendered":"http:\/\/cybersecuritat.eu\/?p=53"},"modified":"2023-08-01T20:02:27","modified_gmt":"2023-08-01T18:02:27","slug":"la-gouvernance","status":"publish","type":"post","link":"http:\/\/cybersecuritat.eu\/index.php\/fr\/2023\/08\/01\/la-gouvernance\/","title":{"rendered":"La gouvernance"},"content":{"rendered":"\n

La gouvernance ? Kezako ?<\/p>\n\n\n\n

La gouvernance est la branche de la cybers\u00e9curit\u00e9 qui est port\u00e9e au plus niveau dans l\u2019entreprise (ou autre). En effet, elle est port\u00e9e par le Responsable de la S\u00e9curit\u00e9 des Syst\u00e8mes d\u2019Information (RSSI en fran\u00e7ais, CISO en anglais).<\/p>\n\n\n\n

Durant l\u2019article, je parlerai d\u2019entreprise. Bien entendu, il s\u2019agit d\u2019un raccourci car il faut plut\u00f4t lire personne moral, que \u00e7a soit une entreprise, une association, une fondation, une collectivit\u00e9, etc.<\/p>\n\n\n\n

Le RSSI<\/h2>\n\n\n\n

Ce dernier peut \u00eatre rattach\u00e9 \u00e0 la Direction des Syst\u00e8mes d\u2019Information (DSI), \u00e0 la Direction Administrative et Financi\u00e8re (DAF) ou directement au comit\u00e9 ex\u00e9cutif. Tr\u00e8s souvent, l\u2019organigramme et donc le rattachement du RSSI permet d\u2019avoir une id\u00e9e de la maturit\u00e9 cyber de l\u2019entreprise.<\/p>\n\n\n\n

Si une entreprise ne poss\u00e8de pas de RSSI, cela signifie qu\u2019elle ne s\u2019est pas encore int\u00e9ress\u00e9e \u00e0 la cyber. T\u00f4t ou tard, elle devrait changer son point de vue sur le cyber, souvent par le retour d\u2019exp\u00e9rience d\u2019une attaque.<\/p>\n\n\n\n

Lorsqu\u2019elle d\u00e9bute en cyber, et qu\u2019elle embauche un RSSI, elle consid\u00e8re que la cyber s\u00e9curit\u00e9 n\u2019est que de l\u2019informatique et rattache ce dernier \u00e0 la DSI. Ce rattachement qui peut paraitre logique et tr\u00e8s souvent g\u00eanant. En effet, le travail d\u2019un RSSI est d\u2019augmenter le niveau de s\u00e9curit\u00e9 afin d\u2019atteindre un niveau acceptable au vu des activit\u00e9s de l\u2019entreprise. Pour ce faire, il va souvent analyser le travail r\u00e9alis\u00e9e par la DSI et risque ainsi de remettre en cause le travail des \u00e9quipes de son chef direct.<\/p>\n\n\n\n

Une fois ce blocage remarqu\u00e9 et l\u2019organisation modifi\u00e9e, si besoin, le RSSI peut se retrouver rattach\u00e9 \u00e0 la DAF ou au comit\u00e9 ex\u00e9cutif. S\u2019il est rattach\u00e9 \u00e0 la DAF, la encore \u00e7a peut signifier que la cyber est vue d\u2019un point de vue uniquement financier. Cependant, le budget du RSSI et de son \u00e9quipe sera d\u00e9corr\u00e9l\u00e9 de celui de la DSI, ce qui sera d\u00e9j\u00e0 une grosse avanc\u00e9e.<\/p>\n\n\n\n

Si le RSSI d\u00e9pend directement du comit\u00e9 ex\u00e9cutif, l\u2019entreprise a compris que la cyber est une branche \u00e0 part dans la vie et la survie de son activit\u00e9 et qu\u2019\u00e0 ce titre, le RSSI remontra directement ses indicateurs s\u00e9curit\u00e9 aux personnes ayant le pouvoir d\u00e9cisionnel. De plus, le RSSI aura son budget d\u00e9di\u00e9 (pas forc\u00e9ment \u00e9norme).<\/p>\n\n\n\n

Le travail du RSSI passe, entre autres, par la gouvernance<\/h2>\n\n\n\n

La norme ISO\/IEC 38500 concerne la gouvernance des processus de gestion et les d\u00e9cisions relatives aux services d\u2019information et de communication d\u2019une organisation.
Il d\u00e9finit six principes<\/p>\n\n\n\n