Au Crédit Agricole, une fonction est dédiée au lien entre sécurité et métiers
Le groupe s’assure ainsi de pouvoir collecter les expériences de ses différentes entités, bonnes ou mauvaises, pour en faire profiter ensuite toutes les autres.
Comment adopter une approche de la sécurité des systèmes d’information suffisamment proche des métiers pour assurer que ceux-ci puissent être entendus dans les difficultés qu’ils rencontrent, mais également pour que tout le groupe profite des pratiques positives identifiées sur le terrain ? Tout simplement en créant une fonction dédiée à cela. A l’occasion des Assises de la Sécurité, début octobre dernier à Monaco, Philippe Gauthier, responsable de la relation SSI et métiers a pu expliquer l’intérêt de la démarche.
Sans cette fonction, le RSSI s’avère multiplier les responsabilités. Jusqu’à remplir, en définitive, trois rôles : la mise en place des mesures de sécurité, la définition, plus stratégique, des plans d’action, et enfin le contrôle permanent. Le premier rôle relève en fait plus de la DSI. Tandis que le second concerne le CISO. Et le troisième touche aux interactions avec les métiers. Dans cette organisation, le CISO se retrouve avec le même niveau d’écoute que le DSI, avec lequel il est à égalité, sous un membre du comité exécutif. Dès lors, chaque plan IT intègre naturellement sa composante sécurité.
Philippe Gauthier travaille pour le RSSI groupe et ne manque pas de saluer son sens de la modernité. Responsable de la relation entre métiers et SSI, il doit apporter aux différents CISO des entités du groupe ce dont ils ont besoin pour exercer leurs missions dans de bonnes conditions. Avec son équipe de chargés de relation, il essaie de faire remonter les bonnes pratiques des métiers pour essayer de les diffuser à l’échelle de tout le groupe et améliorer globalement sa posture de sécurité.
Ce travail d’écoute permet également d’identifier les éventuelles difficultés rencontrées par les métiers avec des politiques de sécurité groupe : avec humilité, il s’agit de les reprendre en tenant compte des difficultés pour s’y adapter.
C’est ainsi, par exemple, que les outils de Brainwave ont été essaimé chez Crédit Agricole Assurances, ainsi que dans l’ensemble des caisses régionales. Et cela alors qu’ils avaient fait leur entrée par Crédit Agricole Leasing & Factoring. En 2010, à son premier contact avec l’éditeur français, Philippe Gauthier cherchait une solution qui lui permettrait de gérer de manière robuste les habilitations de deux systèmes d’information très différents appelés à converger, avec notamment un référentiel de personnes intégrant tous les prestataires.
Et justement, IdentityGRC permettait d’impliquer les métiers en leur exposant un portail. Une vraie découverte pour certains qui se sont aperçus de l’existence d’utilisateurs qu’ils ne connaissaient pas. Outre une gestion cohérente des habilitations, les outils de Brainwave ont alors pu servir de levier pour amener les métiers à conduire une réflexion sur la protection de certains fichiers partagés.