Garantir la sécurité des systèmes d’information passe par le respect stricto sensu de normes et des contraintes relatives à chaque secteur d’activité et organisation. Les responsables sécurité du système d’information (RSSI) et les délégués à la protection des données (DPO) apportent chacun leur domaine d’expertise pour servir cet objectif commun. Mais la frontière semble parfois mince pour délimiter les attributions et missions. Qui est responsable de quoi ? Et comment avancer efficacement ensemble pour garantir le maintien opérationnel et la sécurité de son organisation ?
Dans cet article, découvrons la conformité informatique ainsi que le rôle des acteurs principaux dans sa mise en œuvre au sein de l’organisation.
La conformité informatique, un enjeu de sécurité stratégique
Dans le contexte actuel où les cyberattaques ne cessent de croître et où le climat géopolitique est de plus en plus menaçant, la cybersécurité prend malgré elle une position prépondérante dans les enjeux sécuritaires et financiers des organisations. Pour s’assurer que leur SI et leurs données soient efficacement protégés, les entreprises doivent alors adopter une série de mesures et se soumettre à des exigences et normes communément appelées conformité informatique.
Cette conformité de la sécurité des systèmes d’information (SSI) permet d’assurer que les infrastructures informatiques sont en condition de sécurité optimale et répondent à la politique de sécurité de l’entreprise. Selon la nature même des activités de votre entreprise, de sa zone géographique, de son caractère “essentiel” ou “vital” (au sens défini par l’ANSSI suite à la transposition réglementaire de la directive européenne NIS), la conformité sera différente.
Pour cela, de nombreux textes, obligations ou recommandations, doivent être appliqués ou suivis par les organisations. Ainsi la norme ISO 27 001, la directive NIS, la loi de programmation militaire (LPM), le cadre NIST CSF, le futur règlement DORA, l’obligation sectorielle CI-SIS pour les établissements de santé ou PCI-DSS pour les banques, et bien d’autres encore, sont des textes réglementaires et normatifs pour la conformité de la sécurité du SI.
Le fait que tous ces textes ont des acronymes en guise de nom, n’est pas leur seul point commun ! Ils vont vous permettre de définir votre politique de sécurité et la réalisation d’analyses de risques afin d’identifier les points les plus critiques et de mettre en place les actions nécessaires à leur traitement.
En 2018, la mise en application du Règlement Général sur la Protection des Données (RGPD et que vous retrouvez également largement désigné en anglais par General Data Protection Regulation ou GDPR), apporte un nouvel outil dans l’application de méthodes (security by design, privacy by design) dans la conformité du traitement des données. Un nouveau métier fait donc son apparition au sein des entreprises publiques et privées. Le délégué à la protection des données (DPO) est alors désigné pour veiller à sa bonne application.
Garantir la conformité informatique : l’enjeu commun des RSSI et des DPO
Entre le respect de la RGPD, la sécurité opérationnelle et la gestion du risque, il est difficile de savoir clairement qui est en charge de la conformité au sein d’une organisation. Dominique Soulier, membre du groupe de travail DPO/RSSI du CLUSIF lors de la mise en place de la RGPD en 2018, présentait ce consensus en guise de conclusion : « Il y a beaucoup de points communs et de synergies entre RSSI et DPO. Tant sur le plan des compétences, techniques ou juridiques par exemple, qu’en ce qui concerne leur savoir-être (vulgariser, communiquer, avoir un bon relationnel) ».
Découvrons les rôles et missions des RSSI et des DPO dont la limite des périmètres est parfois difficile à définir.
Le responsable de la sécurité des systèmes d’information définit la politique de sécurité du système d’information (PSSI) de son entreprise et est le garant de sa bonne application. Cela sous-entend qu’il évalue les risques sur le SI de son organisation et pilote les solutions pour garantir la disponibilité, la sécurité et l’intégrité du système d’information et des données qu’il contient.
L’une des principales missions et obligations d’un RSSI est de connaître parfaitement les réglementations et obligations à la conformité pour son entreprise. Pour y parvenir, la mise en place d’une veille réglementaire et normative avec son équipe d’experts en sécurité est établie. Il propose la feuille de route des évolutions nécessaire pour garantir la conformité du système d’information. Parmi la longue liste des attributions d’un RSSI nous pouvons citer :
- Suivi des nouvelles réglementations,
- Définition des objectifs de sécurité et des procédures,
- Analyse des risques et des menaces,
- Sensibilisation et formation des salariés aux enjeux de la cybersécurité,
- Pilotage des outils de sécurité,
- Plan d’actions de mise en conformité,
- Mise en place de Plan de Reprise d’Activité (PRA),
- Correction des non-conformités…
DPO, le garant de la protection des données de l’entreprise
Le délégué à la protection des données (DPO) est défini par la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité de contrôle des données personnelles, comme étant le « chef d’orchestre de la conformité en matière de protection des données au sein de l’organisation. Il permet d’accompagner à la conformité RGPD, de répondre aux demandes d’exercice de droits des personnes et de réduire les risques de contentieux ». À sa création en 2018, 21 000 DPO désignés étaient recensés auprès de la CNIL. En 2022, ce chiffre a bondi de 38% en passant à près de 29 000 DPO.
Voici quelques exemples de missions auxquelles le DPO doit répondre :
- Veille réglementaire et concurrentielle sur les sujets relatifs à la gestion des données personnelles,
- Cartographie des traitements des données et constitution d’un registre des traitements,
- Protection des données sensibles,
- Auto-évaluation de la conformité au RGPD de l’organisation,
- Définition de la politique de confidentialité et du respect de la loi Informatique et Libertés de 1978,
- Sensibilisation à la protection des données personnelles auprès des salariés et de la direction,
- Coopération avec la CNIL…
En conclusion
Selon la dernière enquête annuelle du Ministère du Travail, les DPO, dont les profils sont de plus en plus diversifiés, se sentent mieux intégrés au sein des organisations. Force est de constater que l’équilibre entre les missions d’un RSSI et d’un DPO est mieux appréhendé au sein des organisations. Ces deux métiers sont complémentaires pour atteindre l’objectif de conformité de leur entreprise, d’un point de vue des systèmes d’information et des données. Matthieu Grall, représentant de la CNIL en 2018 affirmait que : « Le RSSI et le DPO doivent travailler ensemble et associer les métiers de l’entreprise qui sont les plus à même de décrire les traitements ». 4 ans après cette déclaration, et avec l’évolution de la menace cyber, les défis communs des RSSI et DPO ne cessent d’augmenter.