Dans quel contexte s’inscrit la fonction d’un RSSI en établissement universitaire ?
Il faut d’abord savoir que cette fonction est statutaire depuis environ une vingtaine d’années. Tout établissement universitaire a l’obligation de nommer un RSSI et un adjoint.
La question de la sécurité des systèmes d’information a été très tôt prise en compte par nos ministères de tutelle, presque plus tôt que dans le secteur privé.
En effet, nos activités de recherche nous amènent à détenir des informations sensibles, qui justifient pleinement la vigilance de l’Etat quant à la protection de nos données.
Quels sont les principaux risques auxquels vous faites face ?
Comme toute structure connectée au réseau, nous devons tout d’abord nous protéger contre toute forme d’attaque informatique, que ce soit une attaque ayant pour objectif d’entraîner un déni de service ou visant à voler des données.
Je tiens à insister sur le fait que le piratage informatique, ce n’est pas une vue de l’esprit ou un sujet de discussion à la mode. Chaque jour des dizaines d’entreprises sont victimes de malveillance avec parfois des conséquences dramatiques.
Imaginons par exemple une PME qui a travaillé durant des mois sur un projet de brevet et qui se le fait pirater. Cela peut entraîner sa faillite.
Concernant la protection des données personnelles, je crois que vous êtes particulièrement vigilant sur le respect de la vie privée ?
En effet, de nombreuses informations à caractère personnel circulent dans les entreprises, sur le net, ou dans des dossiers papiers. Or les règles de la CNIL sont très claires sur qui peut avoir accès à quoi. Ainsi le numéro de sécurité sociale d’un salarié ne peut être connu que du salarié lui-même et de la DRH. Les autres personnes de l’entreprise ne doivent pas y avoir accès. C’est donc aussi de la responsabilité du RSSI de construire le cloisonnement nécessaire à la protection des données personnelles.
Comment sensibiliser les salariés à ces impératifs de sécurité numérique ?
Je dirais que le mot clé, c’est le bon sens !
En premier lieu, comprendre que ce que l’on fait depuis son domicile sur son ordinateur personnel et qui n’a pas d’impact particulier peut par contre avoir des conséquences dramatiques, une fois dans son environnement professionnel. Le développement de ce que l’on appelle le Social Engineering, c’est à dire des techniques d’approche des salariés via les réseaux sociaux pour leur soutirer des informations confidentielles, est lié à ce que les frontières entre vie professionnelle et vie privée ne sont plus étanches. Une fois l’accès au système d’information de l’entreprise ouvert, quel que soit son niveau de responsabilité, le pirate informatique peut remonter jusqu’à des données extrêmement sensibles.
Ce message est d’autant plus difficile à faire passer dans un établissement universitaire, où les étudiants ne séparent absolument pas leurs pratiques privées de leurs pratiques étudiantes.
En savoir plus
- Assistez à la conférence de Luc Mariaux « Sécurité de l'information : quelques précautions à prendre » à Préventica Lyon, le 26 septembre
