Qu’est-ce qu’un projet en sécurité informatique ?
Introduction
Le chef de projet en sécurité informatique a un rôle transverse dans l’entreprise.
C’est-à-dire qu’il va devoir interagir avec plusieurs services et différents interlocuteurs dont il n’aura pas la légitimité hiérarchique pour les solliciter.
Outre le fait que le chef de projet, par la lettre de mission (cf. chapitre Introduction à la gestion de projet), a la légitimité fonctionnelle pour mobiliser du temps aux membres de l’équipe projet, il va devoir être capable de les fédérer et les motiver à le suivre et le supporter durant la durée de vie du projet.
Nous allons étudier dans ce chapitre les compétences clés de chacune des trois fonctions que sont :
-
le chef de projet
-
le Responsable des Systèmes d’Information
-
le Responsable Sécurité des Systèmes d’Information
Compétences que chaque chef de projet en sécurité informatique doit posséder.
Ces compétences clés sont une extraction ciblée de chacune des trois fonctions : chef de projet, responsable des systèmes d’information et responsable sécurité des systèmes d’information. Elles ne reflètent qu’une partie des compétences nécessaires à l’occupation de chacune des fonctions.
Les différentes populations d’une Direction des Systèmes d’Information
Une Direction des Systèmes d’Information ou DSI est un département regroupant plusieurs experts issus généralement du même domaine mais pas des mêmes métiers.
Ainsi, suivant la taille de l’entreprise (grand groupe, PMI, PME...), et son domaine (banque/assurance, industrie, édition logicielle...) vous croiserez dans les différentes DSI une population dite "d’informaticiens" mais qui ne le sont pas forcément. Comme :
-
Le directeur ou responsable des systèmes d’information : généralement attaché au directeur général d’un groupe, et siégeant au comité de direction, le Directeur des Systèmes d’Information est souvent un manager éprouvé ayant une connaissance poussée du cœur de métier de l’entreprise pour laquelle il travaille. Il ne vient pas nécessairement du monde de l’informatique. Autrefois ce poste était proposé à des cadres proches de la retraite, aujourd’hui cette fonction est stratégique dans l’entreprise, le poste a acquis ses lettres de noblesse.
-
Le directeur ou chef de projet : il est le plus souvent un ancien expert qui a progressivement acquis des compétences en gestion de projet par ses missions...
Le chef de projet en sécurité informatique
Néanmoins, chacun de ces métiers demande des compétences et des connaissances spécifiques. Ainsi, le "chef de projet en sécurité informatique" doit acquérir trois compétences, comme l’illustre le schéma ci-dessous, en plus de connaître l’organisation et le business de l’entreprise.
En effet, pour que son discours fonctionne et passe auprès des différentes populations de l’entreprise, il doit connaître les fonctions, rôles et responsabilités de chacune d’entre elles. Ceci est essentiel :
1) |
La compétence chef de projet (GP dans l’illustration ci-dessus) : acquérir et savoir mettre en œuvre une ou plusieurs méthodes de gestion de projet. |
2) |
La compétence responsable système d’information (RSI dans l’illustration ci-dessus) : posséder la connaissance de ce qu’est un système d’information, de son fonctionnement et des besoins en support des utilisateurs du SI. |
3) |
La compétence de responsable sécurité des systèmes d’information (RSSI dans l’illustration précédente) : posséder la connaissance de ce qu’est la sécurité informatique, de l’intégration de celle-ci dans les usages quotidiens... |
La compétence chef de projet
1. La gestion des risques
Vous devez être conscient que les chefs de projets les plus efficaces sont ceux qui sont le plus motivés... comme la future mariée qui organise son mariage par exemple.
Pourtant, malgré cette motivation inébranlable, on observe des tensions au sein du couple de futurs époux durant cette période car tout ne se déroule pas comme prévu ou comme convenu avec les fournisseurs. Et ceci est inéluctable... en l’état en tout cas.
Le chef de projet est un chef d’orchestre, pour ne pas dire LE chef d’orchestre. C’est la première chose que vous entendrez dans n’importe quelle formation "chef de projet". C’est vrai. Mais il n’est pas uniquement cela.
Il est aussi un gestionnaire de risques.
Et nous avons là le premier facteur clé de succès : lister tous les risques imaginables, même les plus improbables, qui pourraient arriver et avoir des répercussions fortes sur le succès du projet ou avoir des conséquences sur le budget, le délai d’exécution, etc.
C’est d’ailleurs ce que font toutes les entreprises en mettant en œuvre régulièrement des Plans de Reprise d’Activité (PRA) ou des Plans de Continuité d’Activité (PCA) pour anticiper un désastre et imaginer des solutions de contournement.
Prenons un cas vécu par plusieurs milliers de personnes sur la Défense : quelle était la probabilité qu’une pelleteuse coupe la fibre optique qui alimentait en réseau une grande partie de la Défense, plongeant ainsi dans le noir numérique quelques sièges des entreprises du CAC 40 ? Cette probabilité était faible, mais cet incident est néanmoins arrivé.
Prenons un autre exemple qui m’est plus personnel : lors d’un projet informatique en Pologne, je devais connecter une usine de production au réseau étendu de l’entreprise. Quelle était la probabilité que durant la nuit suivant la mise en fonctionnement, les 300 mètres de câble en cuivre enterrés dans le jardin public à côté de l’usine se fassent voler ?
La réponse est "importante". C’est pour...
La compétence responsable système d’information
Nous le verrons plus en détail dans le chapitre suivant, mais le responsable système d’information (RSI) a un rôle à mi-chemin entre un expert technique et un manager.
Suivant l’organisation et la taille de l’entreprise vous pouvez être seul à faire les interventions sur les postes informatiques et, en même temps, être le RSI (c’est-à-dire celui qui pilote la stratégie informatique, gère les budgets, les défend devant la direction, etc.).
La difficulté de cette double compétence d’expertise et de management mènera le RSI à adopter plusieurs comportements et à s’adapter à différents niveaux de discussion suivant le contexte et les acteurs impliqués.
Ce n’est ni le même comportement, ni la même tenue vestimentaire qu’il faut adopter quand on défend les budgets du service ou que l’on installe un ordinateur dans la zone de production d’une usine, par exemple.
Il faut faire preuve d’adaptabilité et d’un esprit de caméléon.
1. La connaissance du parc informatique
En tant que RSI vous êtes naturellement le référent technique sur les postes de travail.
Vous devez être capable d’avoir toutes les informations possibles et imaginables concernant...
La compétence responsable de la sécurité des systèmes d’information
Le RSSI, voilà un poste qui est bien méconnu dans une entreprise.
J’ai été recruté il y a quelques années pour créer le département sécurité d’un éditeur de logiciels international. Lors de la présentation avec les équipes de la DSI, les premières questions que l’on m’a posées ont été de savoir quel était mon métier ? L’équipe de support savant parfaitement paramétrer un antivirus, un firewall ou encore faire des sauvegardes, elle ne comprenait pas l’intérêt de mon arrivée et ne voyait donc pas mon bénéfice pour l’entreprise.
Lorsque j’ai expliqué que mon rôle en tant que RSSI n’était pas de "faire" du paramétrage, et que je n’étais pas un expert en sécurité de base de données, en virtualisation ou autre, mon arrivée fut encore moins bien comprise. D’autant plus que j’étais à la tête d’un nouveau département que mes nouveaux collègues percevaient comme concurrent du leur.
Une de mes premières actions a été évidemment de leur expliquer le métier de RSSI et le bénéfice de ce rôle pour l’entreprise.
Nous mettons là en exergue la première compétence clé du RSSI : la sensibilisation.
1. La sensibilisation
Vous comprendrez qu’il est aisé de faire accepter un projet "métier" comme la mise en fonctionnement d’un nouveau système comptable, ou une nouvelle façon de traiter les notes de frais.
Mais faire accepter sans réserve la mise en place d’un nouveau process ou d’un nouvel outil de sécurisation est plus délicat. En effet, le lien avec le bénéfice pour l’entreprise est plus difficile à faire ressortir, à démontrer.
Par exemple, pour une PMI internationale de 800 personnes, j’ai dû, pour aider le Directeur des Systèmes d’Information à faire accepter à sa direction générale la nécessité de mettre en place un plan de continuité...
Résumé
Gérer un projet en sécurité des systèmes d’information c’est connaître un minimum de trois des métiers de la DSI afin d’avoir la légitimité et les connaissances suffisantes pour être crédible et efficace face un public pas nécessairement acquis ni volontaire.
Au même titre que vouloir gérer un projet de site web sans savoir qu’un Apache n’est pas uniquement un indien d’Amérique n’est ni sérieux ni crédible. Gérer un "projet" sans méthode, en "sécurité" sans connaissance des fondements de ce qu’est une information sécurisée, "informatique" sans connaissance de ce qu’est un SI va être sans aucun doute difficile.
Vous trouverez au travers des différents chapitres qui suivent les clés et les informations nécessaires pour "Réussir tous vos projets en sécurité informatique".