Dans quel contexte s’inscrit la fonction d’un RSSI en
établissement universitaire ?
Il faut d’abord savoir que cette fonction est statutaire depuis
environ une vingtaine d’années. Tout établissement universitaire
a l’obligation de nommer un RSSI et un adjoint.
La question de la sécurité des systèmes d’information a été très
tôt prise en compte par nos ministères de tutelle, presque plus
tôt que dans le secteur privé.
En effet, nos activités de recherche nous amènent à détenir des
informations sensibles, qui justifient pleinement la vigilance de
l’Etat quant à la protection de nos données.
Quels sont les principaux risques auxquels vous faites
face ?
Comme toute structure connectée au réseau, nous devons tout
d’abord nous protéger contre toute forme d’attaque informatique,
que ce soit une attaque ayant pour objectif d’entraîner un déni
de service ou visant à voler des données.
Je tiens à insister sur le fait que le piratage informatique, ce
n’est pas une vue de l’esprit ou un sujet de discussion à la
mode. Chaque jour des dizaines d’entreprises sont victimes de
malveillance avec parfois des conséquences dramatiques.
Imaginons par exemple une PME qui a travaillé durant des mois sur
un projet de brevet et qui se le fait pirater. Cela peut
entraîner sa faillite.
Concernant la protection des données personnelles, je
crois que vous êtes particulièrement vigilant sur le respect de
la vie privée ?
En effet, de nombreuses informations à caractère personnel
circulent dans les entreprises, sur le net, ou dans des dossiers
papiers. Or les règles de la CNIL sont très claires sur qui peut
avoir accès à quoi. Ainsi le numéro de sécurité sociale d’un
salarié ne peut être connu que du salarié lui-même et de la DRH.
Les autres personnes de l’entreprise ne doivent pas y avoir
accès. C’est donc aussi de la responsabilité du RSSI de
construire le cloisonnement nécessaire à la protection des
données personnelles.
Comment sensibiliser les salariés à ces impératifs de
sécurité numérique ?
Je dirais que le mot clé, c’est le bon sens !
En premier lieu, comprendre que ce que l’on fait depuis son
domicile sur son ordinateur personnel et qui n’a pas d’impact
particulier peut par contre avoir des conséquences dramatiques,
une fois dans son environnement professionnel. Le développement
de ce que l’on appelle le Social Engineering, c’est à dire des
techniques d’approche des salariés via les réseaux sociaux pour
leur soutirer des informations confidentielles, est lié à ce que
les frontières entre vie professionnelle et vie privée ne sont
plus étanches. Une fois l’accès au système d’information de
l’entreprise ouvert, quel que soit son niveau de responsabilité,
le pirate informatique peut remonter jusqu’à des données
extrêmement sensibles.
Ce message est d’autant plus difficile à faire passer dans un
établissement universitaire, où les étudiants ne séparent
absolument pas leurs pratiques privées de leurs pratiques
étudiantes.
En savoir plus
- Assistez à la conférence de Luc Mariaux « Sécurité de l'information : quelques précautions à prendre » à Préventica Lyon, le 26 septembre