vendredi 14 décembre 2018    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges
Jacques Cheminat / lundi 12 mars 2018 / Catégories: Dossiers

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.

La représentation en nuage de points du sujet des droits d’accès et des comptes à privilèges se révèle particulièrement dense. PAM (Privileged Access Management), gouvernance des accès, proxy, serveur de rebond, SSH, RDP, bastion, rotation et coffre-fort des mots de passe, discovery, collecte de logs, chiffrement de bout en bout, sont une liste non exhaustive des termes utilisés. Le sujet est porteur comme le prédit Gartner en estimant qu’en 2020, plus de 40% des PME et grands comptes vont déployer des solutions de PAM pour répondre aux problèmes de sécurité du Cloud.

Pour autant, si ce marché est complexe en se déclinant comme un sous-ensemble de la gestion des identités (IAM), il a évolué avec le temps. Dans une première phase, il se développe autour de la protection des mots de passe des comptes administrateurs et de la technique du coffre-fort, tout en ayant les yeux vers le Cloud. Puis le marché se tourne vers la gestion des accès à travers la technologie du bastion, sorte de boîte noire capable d’enregistrer les sessions, de détecter les comportements anormaux et de s’adapter aux nouvelles exigences comme l’automatisation, l’IA et l’IoT. Enfin, les comptes à privilèges ciblent maintenant les métiers en créant des datarooms, des zones de confiance, dédiées à la direction, les RH ou la finance au sein de l’entreprise.

 

L’ÈRE DU COFFRE-FORT DES MOTS DE PASSE ADMIN

Ce marché est relativement jeune et les anciens réflexes ont encore la vie dure. Selon, une étude menée par Dimensional Resarch pour One Identity, 38% des responsables français utilisent un tableur et 18% gardent les mots de passe des comptes à privilèges sur version papier. La prise de conscience de ces problématiques d’accès a été tardive, se souvient Sébastien Faivre, CTO de Brainwave, spécialiste français de la gouvernance des accès, « elles ont émergé il y a une dizaine d’années, avec les interrogations sur les mots de passe des systèmes Root, le plus haut niveau de privilèges au sein de la DSI et donc un accès à l’ensemble de l’infrastructure de l’organisation ». Ces comptes cristallisent 3 types de menaces : la malveillance interne (un administrateur système mécontent ou un utilisateur un peu trop curieux) ; la malveillance externe (attaque ciblée sur les administrateurs systèmes ou malwares visant les systèmes à privilèges) et l’accident (mauvaise configuration ou erreur de mise à jour).

En 2015, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a publié une note de « recommandations relatives à l’administration sécurisée des systèmes d’information ». Elle donne des éléments utiles d’aide à la conception d’architectures sécurisées tout en mettant à la disposition des administrateurs les moyens techniques et organisationnels nécessaires à la réalisation de leurs missions. Les comptes à privilèges y sont abordés.

Bunkeriser les mots de passe

Face à un problème technique, la réponse a été aussi technique avec la création des coffres-forts de mots de passe. Plusieurs acteurs sont présents sur ce marché toujours très dynamique. Le principe général repose sur la centralisation en un seul point, sur site ou dans le Cloud, de la gestion des mots de passe pour les comptes à privilèges. Concrètement, la solution analyse l’ensemble de l’environnement IT pour recenser les comptes à privilèges. « En général, un agent se charge de scanner les annuaires de l’entreprise comme Active Directory sur site ou sur le Cloud Azure, mais aussi des services comme Okta ou G Suite de Google » explique Thibault Behaghel, spécialiste produit EMEA chez LastPass. « Il y a beaucoup de demandes autour des offres Cloud et notre offre permet d’appliquer 70 règles de sécurité », précise le dirigeant. L’agent analyse aussi les clés SSH publiques et privées (OpenSSH, Putty, Tectia, Windows, Linux, etc.). L’administrateur IT peut ensuite décider quels comptes associés aux clés doivent intégrer le coffre-fort. La sécurité des mots de passe s’effectue à travers des algorithmes de chiffrement AES 256 ou RSA 2048. En fonction du degré de sensibilité du compte, l’authentification peut être simple couplant identifiant et mot de passe ou bien forte en intégrant des token, de la biométrie, des serveurs Radius, Google Authenticator ou SAML (Security Assertion Markup Language).

Rotation et révocation des mots de passe

Puis, petit à petit, le coffre-fort a évolué avec des fonctionnalités de rotation et de révocation de mots de passe. Dans le premier cas, le coffre-fort est capable de générer de manière aléatoire des éléments d’authentification. Une fonctionnalité rassurante pour minimiser la menace interne, mais elle facilite également la sécurisation de projets en équipes ayant accès à des données sensibles. Dans un environnement DevOps où plusieurs métiers travaillent à la création et à la production d’applications, il est nécessaire d’accéder et de manipuler des données sensibles comme les bases de données. Affecter des éléments d’authentification pour une durée limitée est donc nécessaire. De même, cette fonctionnalité est utile pour les partenaires et les prestataires qui ont besoin d’accéder à des programmes sensibles.

La révocation des mots de passe sur les comptes à privilèges est essentielle. L’actualité est riche d’affaires mettant en cause d’anciens salariés ayant gardé leurs accès à des applications critiques. Ils peuvent ainsi voler des données, les transmettre à des concurrents ou les vendre sur le marché noir. « Il est donc important de pouvoir supprimer l’ensemble des accès quand un administrateur s’en va. Il faut donc vérifier ses identifiants, connaître les couples (mots de passe, identifiant) de ses accès et les révoquer », poursuit Valérie Husson, channel Sales Mananger France & North Africa de Thycotic, nouvel acteur du PAM, arrivé récemment en France. Une tâche automatisable pour laquelle la direction des ressources humaines peut supprimer les accès dès le départ d’un collaborateur depuis un simple bouton.

 

LE BASTION : LA VIGIE ATTENTIVE ET PRÉDICTIVE

Renforcer la gestion des identités des comptes à privilèges (PIM, pour Privileged Identity Management) sur certains éléments du SI est important, mais les responsables IT réclamaient des solutions de traçabilité des sessions des comptes à haut pouvoir.

Le surveillant en chef des sessions à privilèges

D’où l’idée du PAM et plus particulièrement du concept de bastion. « Le bastion s’apparente à la vidéosurveillance dans un appartement », résume Julien Cassignol, ingénieur avant-vente et responsable de l’activité France pour Balabit. Si la partie coffre-fort s’inquiète des identités et intègre le PAM, le bastion s’intéresse aux couches les plus basses de l’IT, « Nous analysons les flux basés sur différents protocoles : RDP (Remote Desktop Protocol), Telnet, Citrix, VNC et SSH » explique Serge Adda, CTO de Wallix, le champion français du bastion. Dans certains cas, des demandes d’analyses de protocoles spécifiques sont réclamées comme dans le cadre des systèmes industriels et les automates SCADA en particulier. « Certains protocoles sont plus complexes que d’autres, comme par exemple les demandes SQL, il y a autant de parfums que les glaces chez Berthillon », constate avec humour Julien Cassignol.

Sur le plan technique, les PAM du marché s'appuient sur des serveurs proxy et des serveurs de rebond pour scruter les flux des tâches. Concrètement, une connexion par rebond consiste à passer par une machine intermédiaire lors d’une connexion entre deux machines, PC ou serveurs, via les protocoles cités précédemment. Cette technique sécurise l’accès aux applications en déléguant l’injection des mots de passe au serveur proxy pour masquer les identifiants.

Mais ces serveurs savent aussi enregistrer les flux. Ils sont capables de rejouer une session en vidéo au format MPEG4 compressé. « 1 h de vidéo correspond à une taille de 20 Mo », assure Valérie Husson de Thycotic en mettant en avant l’offre Secret Server. Elle ajoute : « l’enregistrement se fait en direct et a un intérêt historique pour savoir ce que l’administrateur a fait ou a essayé de supprimer ».

 

Les yeux doux au DevOps et à l’IA

Forts de la traçabilité en vidéo, les bastions récoltent dans le même temps beaucoup de métadonnées. Une mine d’informations à valoriser via des solutions analytiques et de machine learning. Ces efforts aboutissent à l’émergence de solutions d’UBA (User Behavior Analytics), l’analyse comportementale des utilisateurs. « Nous allons maintenant vers l’expérience utilisateur. A travers cette vidéosurveillance, nous collectons énormément d’informations sur ce qui se passe et s’est passé », précise Serge Adda de Wallix.

Pour Balabit, le machine learning permet d’apprendre et de connaître le comportement des détenteurs d’accès aux comptes sensibles. Julien Cassignol le reconnaît, « le machine learning apprend les habitudes de comportement des administrateurs, il est ainsi capable de déterminer les moindres différences comme la façon de frapper sur un clavier, la répétition de commandes peu ou pas utilisées ». Du côté de Wallix, la partie analytique facilite la création de scénarii, « les gens ont des comportements récurrents et répétitifs sur les applicatifs, si une attitude ne correspond pas, il peut y avoir une alerte ».

Car l’objectif de cette analyse comportementale est double, à la fois pour la prévention et dans le cadre d’une enquête. Les bastions sont paramétrés pour lancer des alertes en cas de comportement anormal, voire bloquer immédiatement le compte, si le risque est important. La priorité est le Cloud et l’accompagnement du DevOps. CyberArk est clairement dans cette voie. « Aujourd’hui, les comptes à privilèges ne sont plus nécessairement le fait des humains, mais des robots comme les solutions d’orchestration ou les générateurs de scripts », explique Jean-Christophe Vitu, Pre-Sales Director West & South Europe de CyberArk. Et l’histoire pourrait bien lui donner raison, le vol de données d’Uber est à l’origine un accès à des identifiants AWS codés en dur dans un référentiel privé sur GitHub. Le spécialiste du PAM a donc sorti une offre dédiée, Conjur, pour cibler cette population et cette méthode de travail nécessitant rapidité et agilité.

 

GOUVERNANCE DES ACCÈS ET DATAROOM, AU-DELÀ DU BASTION

Si les deux éléments centraux dans le droit d’accès et la gestion des comptes à privilèges sont le coffre-fort et le bastion, il ne faut pas oublier des solutions complémentaires : la gouvernance des accès et les datarooms. La gouvernance des données s’interroge sur le cycle de vie de la donnée, alors que la notion de dataroom étend la notion de zone de confiance et d’habilitation, réservée à l’IT en général et en particulier aux sysadmins, aux dirigeants et aux responsables métiers (RH, marketing ou finances).

La gouvernance des accès, une tour de contrôle pour les PAM

« Les outils de PAM configurent le coffre-fort de mots de passe et les droits d’accès, mais ils n’englobent pas le cycle de vie des accès. Il faut croiser les logs des PAM avec d’autres bases de données comme celles des RH par exemple », confie Sébastien Faivre de Brainwave. Le concept de gouvernance des accès emprunte à la gestion des risques sur le SI et à l’audit. Il donne à un ensemble d’acteurs légitimes la possibilité de suivre l’évolution des identités et des accès des utilisateurs au sein du SI et d’en contrôler la conformité et de répondre aux questions « qui a le droit à quoi, comment et pourquoi. Le contrôle a posteriori, la réconciliation des comptes », poursuit le dirigeant.

Pour mener à bien cet audit, il est nécessaire de réaliser une cartographie. « Nous extrayons des données du SI de manière très granulaire, allant du référentiel RH, l’accès des partenaires, les bases de données, les annuaires (Active Directory, LDAP). Au final, nous dressons un inventaire des droits d’accès », explique Arnaud Fléchard, CTO de Kleverware, également spécialiste français de la gouvernance des accès. Il ajoute, « ce travail donne une vue des droits à pouvoir ou sensibles et facilite la ségrégation des tâches afin d’assurer une véritable séparation des tâches ». Les offres d’IAG (Identity and Access Governance) sont des tours de contrôle et s’imposent en complément de solutions de PAM ou d’IAM.

 

Les Dataroom blindent les données à privilèges

Les comptes à privilèges ne sont plus l’apanage des seuls administrateurs. Le Cloud, la mobilité et même les médias sociaux rebattent les cartes de la gestion d’accès. La direction d’une entreprise, les directeurs financiers, ressources humaines disposent d’accès spécifiques à des ressources sensibles. Mais la protection ne doit pas porter uniquement sur les accès, mais aussi sur le contenu. D’où la création des datarooms, des espaces sécurisés autorisant le partage de documents sensibles. Une offre qui s’adresse spécifiquement aux comités exécutifs des entreprises, manipulant des informations stratégiques (budget, fusions-acquisitions, plan de recrutement ou de licenciement, etc.). La sécurité est assurée depuis le poste de travail « avec une connexion TLS 1.2 entre les serveurs, le passage d’un antivirus sur l’objet transféré plus un chiffrement en AES 256 spécifique et un enregistrement sur disque », assure Alexis Boissinot, responsable de Brainloop France. Pas d’inquiétudes de voir la DSI disposer d’un accès privilégié aux documents, « les gens de l’IT et de la sécurité gèrent l’accès à la porte d’entrée des datarooms, mais pas aux contenus », soutient le dirigeant. Les services en mode SaaS comme Office 365 ou Salesforce sont gérés via des API, « avec un simple glisser-déposer » des objets dans la dataroom.

Les acteurs du marché des droits d’accès et comptes à privilèges

IAM (Identity Access Management) Ilex, Gemalto, GlobalSign, Okta, IBM, AWS, Google 
Coffre-fort de mots de passe Lastpass, Dashlane, Keepass
PIM (Privileged Identity Management) IBM, CyberArk, Balabit, Centrify, CA Technologies
PAM (Privileged Access Management) Wallix, CyberArk, Balabit, Thycotic, CA Technologies, Bomgar
Gouvernance des accès Brainwave, Kleverware, One Identity, Sailpoint
Dataroom Brainloop, Drooms, OOdrive, Intralinks

 

Dossier publié sur le site mag-securs.com avec le concours de Kleverware.


Infos partenaire

Kleverware, éditeur français, est un précurseur depuis 2005 dans le domaine du contrôle des identités et des accès. Avec ses innovations brevetées et la reconnaissance du marché par l’obtention de labels (France Cybersecurity, Bpifrance Excellence…), Kleverware prouve la robustesse de ses solutions, qui sont utilisées par des grands noms depuis des années pour auditer des centaines de milliers de droits tous les jours.

Les solutions de Kleverware sont flexibles et efficientes, que ce soit pour :

  • Les opérationnels de la sécurité, pour savoir rapidement quels sont les droits qui sont réellement donnés aux collaborateurs (cartographie exhaustive) au regard de leur fonction (SOD).
  • Les correspondants Métier, pour leur simplifier les revues de droits et leur offrir un gain de temps sur des taches qui ne sont pas obligatoirement bien comprises (ROI).
  • Vos auditeurs (CAC, Contrôle Interne) à qui vous démontrez que non seulement vous répondez aux préconisations, mais auxquels vous donnerez le reporting idoine.

Les solutions de Kleverware :

Kleverware IAG « Quick Start »

Cette solution ne nécessite pas d’infrastructure, un poste ou une VM suffit. Simple d’installation, elle est efficiente pour l’analyse et le contrôle, cela même pour des milliers d’identités grâce à sa technologie brevetée. Kleverware IAG « Quick Start » vous donne très rapidement des premiers indicateurs (SoD, Comptes dormants, orphelins…) pour une bonne gouvernance de vos identités et de leurs accès. Vous pouvez l’utiliser pour une cartographie exhaustive des droits, établir des tableaux de bord, vérifier que votre PSSI est respectée…

Kleverware IAG « Enterprise »

En complément de tous les avantages la version stand alone, vous bénéficiez d’une solution faite pour vos collaborateurs en charge de la revue des droits et ce au plus près des métiers. Avec ses interfaces intuitives pour les différents rôles (Managers de campagnes, approbateurs…), Kleverware IAG « Enterprise » simplifie grandement le travail qui leur est demandé. Vos collaborateurs vous remercieront d’avoir évolué vers une solution robuste, flexible et reconnue par des entreprises depuis plusieurs années.

 

Print
70498

x

Le RSSI doit dialoguer avec les directions métiers pour travailler de manière efficace, et ne plus être isolé dans sa tour d’ivoire. Il doit, pour cela, bien identifier des « risk owners ».

Selon les résultats de notre enquête, 80% des RSSI dans les entreprises interrogées affirment qu’ils doivent avoir un rôle de « coach » des directions métiers. L’étude du CESIN que nous avons aussi mentionnée dans l’enquête souligne à de nombreuses reprises la nécessaire coopération entre RSSI et directions métiers. Le panel des participants de l’étude s’est mis d’accord sur deux messages qu’il faut faire passer aux directions métiers : « la sécurité est dans le champ de responsabilités des directions métiers, et le RSSI peut aider dans la mise en oeuvre de la politique de sécurité ». Une autre partie affirme, non sans raison, que « tous les projets majeurs doivent faire une analyse des risques obligatoire et approuvée par le responsable opérationnel ».

L’approche «risk owners» s’avère très innovante

D’autres RSSI évoquent le « Comité d’architecture » qui contrôle le respect de la sécurité. Quand la sécurité du système d’information est incluse dans leurs objectifs, alors les managers et les équipes opérationnelles deviennent de bons relais en la matière. Autrement dit, le RSSI devient le gestionnaire d’une politique de sécurité efficace, que se sont appropriée les « risk owners » dans chaque département métier de l’entreprise. Cette approche en termes de « risk owners » s’avère être très innovante. En effet, il apparaît dans la norme ISO 27001 version 2005 la notion de « asset owners » (propriétaires d’actif), mais pas la notion de « risk owners ». Cette notion de « risk owners » apparaît au plutôt dans la norme ISO 27001 en 2013. Mais le terme de « risk owners » (littéralement propriétaires du risque) est intraduisible dans la langue française.

François Beaume, Président de la Commission Système d’information au sein de l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise), le définit comme suit : « c’est une personne des directions métiers de l’entreprise à qui on va formellement donner une responsabilité sur le traitement d’un risque et son suivi dans le temps ». L’AMRAE milite bien évidemment pour la nomination de « risk owners » au sein des entreprises. « Nous recommandons d’identifier des risk owners. Pour nous, un « risk owner » est le propriétaire du risque. Il peut être identifié à partir de la cartographie des risques, et c’est quelqu’un qui est identifié au sein de chaque direction métier ».
Outscale, liée à Dassault Systèmes, est une des rares organisations en France à avoir identifié des « risk owners » pour obtenir une certification ISO 27001:2013 par le BSI. Son responsable du système de management, de la qualité et de la sécurité précise que « dans une entreprise, il existe plusieurs types de risques : le risque brut, avant application du plan de traitement des risques, et le risque résiduel. Ce dernier se compose de risques importants, qui sont gênants pour la bonne marche de l’entreprise mais non mortels, et de risques insignifiants. Le risque critique, qui peut être mortel, doit avoir été éliminé. »

François Beaume, Président de la Commission Système d’information au sein de l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise).
Le « risk owner » est le propriétaire du risque. Il peut être identifié à partir de la cartographie des riques, et c’est quelqu’un qui est identifié au sein de chaque direction métier

 

Le « risk owner » est la personne qui est capable de dire que le risque critique a disparu après application du plan de traitement des risques, que le risque important est identifié et restera supportable. Et enfin que le risque résiduel, important ou acceptable, est identifié et restera sous contrôle. Le « technicien de base » ne parvient pas, en général, pour sa part à s’extraire d’une position dans laquelle il aurait, naïvement, éliminé tout risque… C’est toute la difficulté de la mise en place d’un système de management de la sécurité. Il ne faut pas rester à ce stade embryonnaire du technicien. Une telle prise de position nécessite souvent le contrôle d’auditeurs extérieurs, parce que « c’est moins conflictuel ». Il faut un temps certain pour que des responsables parviennent à se prononcer de la sorte…. Plus d’une année de travail n’a rien d’anormal. « Je gère des risques, je ne gère pas la sécurité », explique Eric de Bernouis, RSSI du Groupe Yves Rocher.

Le RSSI, qui assure consciencieusement sa fonction, doit-il donc s’effacer derrière ses « risk owners » pour devenir leur coach et exiger que ceuxci prennent en charge les exigences de sécurité métier de l’entreprise ? Utopie ou réalisme…

Une marge de progression certaine

La plupart des RSSI que nous avons interrogés pour cette enquête, sont conscients de la nécessité d’identifier des « relais » dans les directions métiers qui portent la bonne parole sécurité au sein de l’entreprise. De là à des définir comme des « risk owners », il existe une marge de progression certaine...

« En fait, les entreprises ayant atteint un certain niveau de maturité ont défini cette notion un peu à l’instar de la notion de responsable de traitement vis-à-vis de la Cnil. En général, le  « risk owner » est le responsable métier qui porte le projet et son budget associé » précise Alain Bouillé, directeur sécurité des SI d’un grand groupe financier et Président du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique). Pour lui la plupart des sociétés rencontrées ne sont pas encore véritablement mûres pour cette approche, même si elles en comprennent souvent la nécessite. Elles ont le plus souvent désigné des « correspondants sécurité », au sein des directions métiers, qui ne sont pas encore véritablement des « risk owners ». « Nous n’avons pas encore identifié de « risk owners » au niveau des directions métiers, et cette étape n’est pas la plus facile. Mais je ne vois pas comment nous pourrions passer à côté », explique Jean-Noël Olivier, RSSI de la mairie de Bordeaux. De son côté, Eric de Bernouis, RSSI du Groupe Yves Rocher analyse : « il est évident que nous avons besoin d’identifier des risk owners ». Olivier Renault, responsable des systèmes d’information R&D et décisionnel marketing du Groupe Yves Rocher, a été ainsi « désigné » pour être  « risk owner » par Eric de Bernouis. « J’ai un doctorat de chimie comme formation, mais j’ai basculé vers les systèmes d’information en travaillant pour un laboratoire pharmaceutique. Le rapport au métier est essentiel » explique-t-il.

Etablir la cartographie des risques

Les identifier demeure un vrai casset-ête pour les RSSI. Leur profil, qui demande de combiner plusieurs compétences, les rend parfois très difficiles à reconnaître, d’autant que, comme nous l’avons déjà écrit, il s’agit d’une approche émergente sur les risques liés au système d’information. Alain Bouillé, Président du CESIN, nous précise : « en général, ce sont les métiers qui, comme pour les gestionnaires des autres risques, choisissent. Il vaut d’ailleurs mieux que cela soit eux qui le fassent, quitte à décliner telle ou telle candidature si elle n’est pas appropriée. Ensuite, charge à nous de les former, de les intégrer à notre réseau, de les responsabiliser, et de les alimenter (incidents entre autres) ».

Marie-Elise Lorin, responsable du Département Gestion des Risques et Conformité de SMACL Assurances (mutuelle d’assurances des collectivités locales), pilote de l'antenne régionale de l'AMRAE grand Ouest, basée à Niort, et qui a organisé en septembre dernier une table-ronde sur les rapports entre RSSI et Risk managers, définit ainsi les qualités des « risk owners » : « ils doivent être à l’écoute, intègres, capables de prendre de la hauteur sur les risques, de maîtriser les techniques de gestion de projets, notamment pour établir des cartographies de risques ».

Par ailleurs, pour collaborer avec leur RSSI, les risk owners doivent avoir une bonne connaissance de la sécurité des systèmes d’information. Enfin, les risk owners doivent être idéalement réceptifs aux notions de conformité, car une grande partie des risques opérationnels sont des risques de non-conformité. « Ajoutons que la nomination des risk owners est souvent demandée à un responsable de département. C'est lui qui identifie dans son équipe l'expert-métier qui renseignera en son nom la cartographie des risques. Le  « risk owner » accepte souvent de fait une responsabilité supplémentaire qui figure rarement sur sa fiche de poste, et qui n'est pas rétribuée. C'est parce que la fonction est valorisante qu'ils l'acceptent et c'est à l'animateur du dispositif, le risk manager, de gérer son réseau intelligemment pour donner aux risk owners l'envie d’assumer cette nouvelle responsabilité ; Ce n'est pas toujours évident... ».

Le directeur du système de management de la qualité et de la sécurité d’un opérateur dans le cloud computing confirme : « le  « risk owner » doit être polyvalent, doit savoir analyser, synthétiser et résumer une situation, cela n’est pas toujours facile ». Parfois, faute de pouvoir analyser clairement le risque, par exemple le risque achat lié à la défaillance d’un fournisseur faute de suffisamment identifier le risque sur le fournisseur, c’est le Président de l’entreprise qui se retrouve risk owner. Mais à être « risk owner » sur trop de risques, il fait lui-même courir un risque à l’entreprise. ■

Sylvaine Luckx


Jill Massas, « risk owner » chez Proservia

Proservia, une entreprise créée en 1994, est un acteur reconnu sur le marché des ESN (Entreprises de Services du Numérique, nouvelle dénomination des SSII) qui a rejoint ManpowerGroup Solutions en 2011. Proservia est spécialisée dans l’infrastructure management et le support aux utilisateurs les métiers de l’architecture, de la transformation et de l’infogérance. Jill Massas est « risk owner » au niveau des ressources humaines au niveau de Proservia. Elle nous détaille son expérience :
« Je suis chargée des ressources humaines au niveau de deux agences de Proservia, Rennes et Lannion. Le référent sécurité entreprise, Michaël Catroux [qui a répondu à notre enquête en précisant que le RSSI devait être un coach et un correspondant des directions métiers ndlr], m’a désignée pour être « risk owner » au niveau de la direction des ressources humaines. Ce projet est lié à plusieurs éléments : il correspond tout d’abord à un projet d’entreprise, prenant en compte les exigences de nos clients (télécoms, banques, industries…), de plus en plus accrues, et à un contexte de croissance ».

« Nous sommes actuellement 1 380 collaborateurs et envisageons de compter 2 500 collaborateurs d’ici à fin 2015. Dans le cadre de notre démarche de certification ISO 27001, il faut remettre à plat l’ensemble de nos mesures de sécurité existantes et en ajouter de nouvelles (sensibilisation des collaborateurs et suivi, analyses de risques, mise en place d’indicateurs, formalisation de procédures sur la sécurité de l’information, sécurité physique des locaux, nouvelles solutions techniques). J’occupe cette fonction depuis mai 2014. Michaël Catroux m’en a parlé, et j’ai passé beaucoup de temps avec lui, à travailler sur les normes ISO. Si le RSSI reste le chef d’orchestre, le « risk owner » identifie les risques sécurité liés à son activité ».

« Une fois par mois, nous organisons un Comité Sécurité qui réunit une quinzaine de personnes : des membres de la DSI, du CODIR, de la Direction Administrative, de la Direction Qualité, un représentant du service Juridique, de la DRH et autres responsables de sites. Nous dressons une revue de politique de sécurité générale, pratiquons une analyse des risques identifiés, mettons au point une journalisation des évènements de sécurité, et nous attachons à la formation des collaborateurs ». 

Dossier publié dans le magazine Mag-Securs n°44, daté 4ème trimestre 2014. Sommaire complet et achat en ligne sur cette page.

Autres Dossiers Gouvernance