Stratégie

La réglementation c'est bien, la sécurité c'est mieux

Si la Loi couvre théoriquement l'ensemble des besoins de sécurité, les DSI et RSSI doivent toujours aller plus loin.

Retrouvez cet article dans le CIO FOCUS n°97 !

Dépasser les contraintes imposées pour conduire la transformation des organisations

La sécurité est de plus en plus réglementée. Loin d'être une contrainte, cette réglementation est un outil à utiliser. Il faut cependant être conscient que les seules règles imposées ne sont pas suffisantes pour définir une stratégie. C'est également vrai pour l'ensemble des contraintes imposées à...

Découvrir

Faire de la réglementation n'est pas faire de la sécurité. Si aujourd'hui, les principaux cadres réglementaires, que sont la LPM et la Loi Informatique et Libertés, donnent aux DSI et RSSI des indications et des solutions pour protéger les SI, ils ne doivent pas s'en contenter. D'autant plus que ces dispositions leur donnent plus de poids pour obtenir de véritables moyens de leurs entreprises.

Aujourd'hui, DSI et RSSI doivent composer avec deux cadres réglementaires dominants. D'un côté, la Loi Informatique et Libertés adoptée en 1978 largement remaniée en 2004, de l'autre, les directives mises en place via la Loi de Programmation Militaire (LPM) promulguée en 2014. Bien que ces dernières portent sur des sujets...

Il vous reste 97% de l'article à lire
Vous devez posséder un compte pour poursuivre la lecture

Créez votre compte Vous avez déjà un compte ? Connectez-vous !

Les statuts de CIL et RSSI sont-ils compatibles ?

« C'est un peu difficile d'avoir un CIL qui est aussi RSSI. C'est un peu comme avoir une personne qui est juge et partie ». Par cette phrase, Bruno Rasle, le délégué général de l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), a mis en évidence une épineuse question. « Le fait que la personne qui envoie des comptes rendus à la CNIL est la même que celle qui gère la sécurité du système d'information a de quoi déranger », déclare Raphaël Brun, expert du cabinet de conseil Solucom. Patrick Blum, particulièrement intéressé par ces remarques - il est CIL et RSSI de l'Essec - les comprend.

« C'est vrai que sur le papier, cela peut être problématique mais ce n'est pas absurde. Il faut considérer deux grandes familles de CIL, les techniques, qui ont les mains dedans et ceux qui font plus de l'évangélisation ou qui définissent les politiques de sécurité. Je fais plutôt partie de cette dernière tranche et ce n'est pas incompatible », déclare Patrick Blum qui ajoute connaitre de nombreux CIL également RSSI.

Ce constat est partagé par Gaston Gautreneau, ingénieur expert à la CNIL. Pour lui, « de nombreux CIL sont des RSSI. Cela dépend vraiment du positionnement de ces derniers dans l'organigramme de l'entreprise, et il n'y a d'ailleurs pas de système générique ». Raphaël Brun fait toutefois remarquer que, dans certains cas, les RSSI vont avoir des données bien plus stratégiques que les données personnelles à protéger.