La sécurité des systèmes d’information est l’une des fonctions qui montent dans les organisations, même s’il reste beaucoup de pédagogie à faire auprès des dirigeants sur les enjeux de la sécurité et de protection la data.
Dans les grandes structures et des secteurs sensibles tels que la banque, l’assurance, ou dans les services publics vitaux, globalement, la question ne se pose pas, tranche Rachid Nefsi, Responsable Sécurité des Systèmes d’Information (RSSI) à la Société Régionale Multiservices (SRM) de Casablanca-Settat, l’entité qui a succédé à Lydec. Ce professionnel chevronné intervient aussi bien sur les environnements IT que OT/SCADA. Il pilote également la mise en œuvre et la maintenance de SMSI conformes aux standards ISO 27.001, ISO 27.005 et ITIL.
Rachid Nefsi exerce à l’ex-Lydec depuis 2001 après un bref passage à 2M International de juillet 1995 à août 1996, et cinq ans chez RMA Watanya où il avait en charge des questions techniques liées à la sécurité des systèmes d’information.
Les incidents qui ont touché la Caisse nationale de sécurité sociale (CNSS) et l’Agence nationale de la conservation foncière l’année dernière ont eu l’effet d’un électrochoc, concède ce praticien rompu à la sécurité des systèmes d’information.
Le RSSI de la SRM Casa-Settat est diplômé de la Faculté des Sciences de l’université Hassan II, titulaire du prestigieux master en cybersécurité DGSSI-INPT (Rabat) et diplômé à l’EMSI, option Systèmes & Réseaux.
Rachid Nefsi cumule par ailleurs une dizaine de certificats spécialisés qui vont de normes à l’audit en passant par le management de la sécurité du système d’information. Car dans un domaine où les connaissances sont vite frappées d’obsolescence, cette mise à jour permanente est un facteur d’efficacité.
La position du RSSI dans l’organigramme
Le RSSI est souvent rattaché au Directeur des Systèmes d’Information (DSI). Mais ce lien hiérarchique peut altérer son indépendance lorsqu’il faut auditer le système d’information. Dans un petit cercle de grandes structures, le RSSI rend compte directement à la Direction Générale, ce qui lui confère un rôle stratégique et plus de distance.
Mais cette évolution est trop lente car il y a encore des entités où le RSSI n’existe pas, ou celles dont le management pense qu’il suffit d’acquérir une solution technique pour se prémunir des risques, relève Rachid Nefsi. Malheureusement, cette culture reste majoritaire dans le tissu économique au Maroc. Beaucoup de dirigeants pensent encore que « ça n’arrive qu’aux autres ». Quelle que soit la sophistication de la solution technique déployée, aucune n’est infaillible dans l’absolu, met en garde Rachid Nefsi, qui met là sa casquette de président de Moroccan CISO Network, une association qui regroupe des RSSI. Son objectif est de « promouvoir la culture de cybersécurité auprès des dirigeants, fédérer et valoriser la fonction de RSSI et se positionner en interlocuteur auprès des autorités et des instances de régulation nationales et internationales ».
Dans son cahier des charges, le RSSI assure la maîtrise des risques afin de permettre la continuité et la disponibilité du service, veille à la conformité du système aux exigences réglementaires et à la confidentialité de la data de l’entreprise. En coordination avec la direction, le RSSI élabore un système de management sécurité en déclinant un dispositif de gouvernance, une politique ainsi que des procédures sécurité qui interagissent avec tous les partenaires au sein de l’entreprise.
Pour autant, le risque zéro n’existe pas, mais l’objectif est de réduire le risque à un niveau acceptable pour assurer la continuité des opérations-métier de l’entreprise. Dans une agence bancaire par exemple, le client ne comprendrait pas que les ordres de virement soient suspendus durant la journée, explique Rachid Nefsi. Les seuils d’acceptation du risque doivent être définis avec chaque métier au sein de l’entreprise, insiste-t-il. Idem en ce qui concerne la conformité : un client interne peut ainsi définir le niveau d’une amende acceptable. En revanche, en matière de confidentialité des données, c’est la tolérance zéro qui s’applique.
