Garantir la sécurité des systèmes d’information passe par le respect stricto sensu des normes et des contraintes relatives à chaque secteur d’activité et à chaque organisation. Les responsables de la sécurité du système d’information (RSSI) et les délégués à la protection des données (DPO) apportent chacun leur expertise pour servir cet objectif commun.
Mais la frontière semble parfois mince pour délimiter les attributions et missions. Qui est responsable de quoi ? Et comment avancer efficacement ensemble pour garantir le maintien opérationnel et la sécurité de l’organisation ?
La conformité informatique, un enjeu de sécurité stratégique
Dans un contexte où les cyberattaques ne cessent de croître et où le climat géopolitique est de plus en plus menaçant, la cybersécurité prend malgré elle une position prépondérante dans les enjeux sécuritaires et financiers des organisations. Pour s’assurer que leur SI et leurs données soient efficacement protégés, les entreprises doivent alors adopter une série de mesures et se soumettre à des exigences et normes communément appelées conformité informatique.
Cette conformité de la sécurité des systèmes d’information (SSI) permet de s’assurer que les infrastructures informatiques sont en condition de sécurité optimale et répondent à la politique de sécurité de l’entreprise.
De nombreux textes, obligations ou recommandations, doivent être appliqués ou suivis par les organisations. On ne compte plus les textes réglementaires et normatifs conçus ces dernières années pour garantir la conformité de la sécurité du SI.
En parallèle, en 2018, la mise en application du Règlement Général sur la Protection des Données (RGPD), définit les nouvelles méthodes (security by design, privacy by design) à appliquer dans le cadre de la conformité du traitement des données. Un nouveau métier fait donc son apparition au sein des entreprises publiques et privées pour veiller à sa bonne application : le délégué à la protection des données, ou DPO.
Garantir la conformité informatique : l’enjeu commun des RSSI et des DPO
Entre le respect du RGPD, la sécurité opérationnelle et la gestion du risque, il est difficile de savoir clairement qui est en charge de la conformité au sein d’une organisation. Dominique Soulier, membre du groupe de travail DPO/RSSI du CLUSIF lors de la mise en place du RGPD en 2018, présentait ce consensus en guise de conclusion : « Il y a beaucoup de points communs et de synergies entre RSSI et DPO. Tant sur le plan des compétences, techniques ou juridiques par exemple, qu’en ce qui concerne leur savoir-être (vulgariser, communiquer, avoir un bon relationnel) ».
Le responsable de la sécurité des systèmes d’information définit la politique de sécurité du système d’information (PSSI) de son entreprise et est le garant de sa bonne application. Cela sous-entend qu’il évalue les risques sur le SI de son organisation et pilote les solutions pour garantir la disponibilité, la sécurité et l’intégrité du système d’information et des données qu’il contient.
L’une des principales missions et obligations d’un RSSI est de connaître parfaitement les réglementations et obligations de conformité de son entreprise. Pour y parvenir, la mise en place d’une veille réglementaire et normative avec son équipe d’experts en sécurité est établie. Il propose la feuille de route des évolutions nécessaires pour garantir la conformité du système d’information.
Parmi la longue liste des attributions d’un RSSI, on peut citer :
- le suivi des nouvelles réglementations ;
- la définition des objectifs de sécurité et des procédures ;
- l’analyse des risques et des menaces ;
- la sensibilisation et la formation des salariés aux enjeux de la cybersécurité ;
- le pilotage des outils de sécurité ;
- le plan d’actions de mise en conformité ;
- la mise en place de Plan de Reprise d’Activité (PRA) ;
- la correction des non-conformités…
DPO : le garant de la protection des données de l’entreprise
Le délégué à la protection des données (DPO) est défini par la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité de contrôle des données personnelles, comme étant le « chef d’orchestre de la conformité en matière de protection des données au sein de l’organisation. Il permet d’accompagner à la conformité RGPD, de répondre aux demandes d’exercice de droits des personnes et de réduire les risques de contentieux ».
À sa création en 2018, 21 000 DPO désignés étaient recensés auprès de la CNIL. En 2022, ce chiffre a bondi de 38 % en passant à près de 29 000 DPO.
Voici quelques exemples de missions que le DPO doit mener :
- veille réglementaire et concurrentielle sur les sujets relatifs à la gestion des données personnelles ;
- cartographie des traitements des données et constitution d’un registre des traitements ;
- protection des données sensibles ;
- auto-évaluation de la conformité au RGPD de l’organisation ;
- définition de la politique de confidentialité et du respect de la loi Informatique et Libertés de 1978 ;
- sensibilisation à la protection des données personnelles auprès des salariés et de la direction ;
- coopération avec la CNIL…
LE MOT DE LA FIN
Selon la dernière enquête annuelle du Ministère du Travail, les DPO, dont les profils sont de plus en plus diversifiés, se sentent mieux intégrés au sein des organisations. Force est de constater que l’équilibre entre les missions d’un RSSI et d’un DPO est mieux appréhendé au sein des organisations. Ces deux métiers, très complémentaires, permettent d’atteindre les objectifs de conformité de leur entreprise – du point de vue du SI comme des données.
Matthieu Grall, représentant de la CNIL en 2018, affirmait que : « le RSSI et le DPO doivent travailler ensemble et associer les métiers de l’entreprise qui sont les plus à même de décrire les traitements ». 4 ans après cette déclaration, et avec l’évolution de la menace cyber, les défis communs des RSSI et DPO ne cessent de prendre de l’ampleur.