RSSI et DSI : des partenaires particuliers !
![Image [Micro trottoir - Forum INCYBER] Expliquer la cybersécurité aux autres métiers](https://incyber.org//wp-content/uploads/2024/09/incyber-news-cybersecurite-cybersecurity-data-donnees-5-2024-885x690.jpg)
Le DSI est un milieu de terrain, au centre du jeu, entre les métiers et « la technique », entre l’utilisateur et l’éditeur, entre des idées, des expressions de besoins et leur mise en œuvre opérationnelle. Le RSSI est un défenseur. Il doit stopper les attaquants et protéger la zone de but. Il compte sur le milieu de terrain pour éviter les intrusions et le milieu de terrain compte sur lui pour ne pas se faire déborder. Mais en amont de cette relation particulière, il y a le reste de l’équipe qui compte sur le DSI et sur le RSSI pour assurer la fluidité et la sécurité du système d’information. Il ne doit pas y avoir de tension entre ces deux joueurs, mais une relation de confiance, des regards, des signes, une réelle coopération au service du collectif. La métaphore pourrait se jouer avec le pilote de formule 1 et son ingénieur qualité, ou le directeur financier et le contrôleur de gestion.
« Lever toute forme d’ambiguïté. Se parler, demander des arbitrages »
Ce qui peut affecter la relation entre DSI et RSSI, c’est avant tout l’ambiguïté. Qui est « responsable » de quoi ? Qui décide lorsqu’il y a désaccord de fond (stratégie) ou de forme (planning, formalisme) ? En théorie, il y a une réponse à cela : la maîtrise d’ouvrage. Est-ce le Comité sécurité, ou le CODIR, voire le DG, AQSSI (Autorité qualifiée pour la sécurité des systèmes d’information) ? Peu importe. Ce qui est important, c’est que cette MOA existe et que son rôle d’arbitre soit clairement établi. Il convient au DSI et au RSSI d’y faire prendre des décisions, en connaissance de causes et de permettre ainsi aux deux acteurs d’avancer dans leurs programmes (ou plans d’actions) respectifs et de ne pas se porter grief suite aux arbitrages.
Le DSI doit mener sa feuille de route, son schéma directeur du SI, avec le plus de fluidité possible, tant côté métiers que du côté de ses propres équipes techniques et fonctionnelles. Le RSSI doit également mener sa feuille de route, son « plan d’actions SSI », celui-ci impactant fortement la DSI. Alors soit c’est la guerre, ce qui n’est vraiment pas souhaitable, et qui conduira probablement au départ de l’un des deux, soit c’est la paix et la coopération utile, option au combien plus reposante pour les acteurs et plus rassurante pour le SI.
« Aborder la fonction avec humilité, conscient des objectifs et contraintes de l’autre »
Les deux personnages doivent aborder leur fonction avec humilité, conscients des objectifs et contraintes de l’autre, condition nécessaire à la compréhension mutuelle. Il n’existe pas de raison valable à ce que le duo ne fonctionne pas, à l’exception des traits humains, des incompréhensions et des défauts d’arbitrage. RSSI et DSI sont des négociateurs, pas des autocrates. Ils savent pertinemment que rien ne se passe avec autorité, dans un système où les pouvoirs sont éclatés, mais avec finesse et pédagogie. Il est de leur responsabilité que la relation soit fluide, l’un et l’autre devant être prêt à adapter sa feuille de route aux différentes contraintes induites par la réglementation, les objectifs d’émargement aux programmes nationaux et les résultats des audits de sécurité internes et externes. Leur relation ne doit jamais être un combat, ce serait mortifère, mais s’inscrire dans une complémentarité positive où la compréhension des enjeux respectifs reste la clé.
DSI et RSSI sont tous deux au service du système d’information et des métiers, chacun dans son rôle. D’un côté le bâtisseur, l’architecte des besoins techniques et fonctionnels, de l’autre, le qualiticien, le contrôleur, dont l’ambition est de consolider l’ouvrage, sa disponibilité, son intégrité et son accessibilité. Ce sont des partenaires dont l’ambition est commune : assurer un haut niveau de service dans un cadre réglementaire conforme.