Référentiel+des+métiers+des+systèmes+d'information

• Capacité à travailler et à s’adapter à tous lesniveaux d’interlocuteurs de l’entreprise en adaptantson langage et son niveau d’explication à lapopulation avec laquelle il est amené à travailler.–LA MOBILITÉ–POSTES PRÉCÉDENTS (P-1)• Ingénieur développement• Ingénieur sécurité• Ingénieur systèmes et réseaux• Consultant ou ingénieur réseaux télécoms• Administrateur réseaux ou système réseaux• Architecte technique• Risk managerÉVOLUTIONS PROFESSIONNELLES(P+1)• Directeur de projets sécurité• DSI• Directeur de la production/exploitation informatique• Directeur des systèmes/réseaux/télécoms• Expert sur un domaine très pointu de sécurité web• Responsable des risques opérationnels–TÉMOIGNAGE–BERNARD FORAY,DIRECTEUR DE LA SÉCURITÉDES SYSTÈMES D’INFORMATION(DSSI), GROUPE CASINO« En charge de la sécurité du système d’informationdu groupe CASINO, je dois impérativement garantirla continuité de service. »Après avoir commencé à travailler comme électronicienchez Thomson CSF (aujourd’hui Thalès) en 1980,Bernard Foray s’oriente vers l’informatique et, tout enoccupant un poste d’ingénieur système, il obtient unemaîtrise d’informatique (option réseaux/systèmes/bases de données) à l’université de Paris VI-Jussieu.À partir de 1992, il travaille pour une SSII et notammentpour Sun Microsystèmes, sur des problématiquessystèmes, réseaux et sécurité avant d’intégreren 1997 GEMPLUS, le leader des cartes à puces oùil occupera la fonction de directeur d’un pôle sys-tème/réseaux/bases de données/portail applicatif/sécurité. En 2007, il rejoint le groupe CASINO(grande distribution) pour y créer le poste de RSSI ausein de la direction informatique. Il définit alors leplan directeur sécurité informatique ainsi que lesprofils des collaborateurs de son équipe (une douzainede personnes).« La première mission du responsable de la sécuritéinformatique, c’est d’identifier les risques qui peuventêtre de différente nature : applications obsolètes maldocumentées, sécurité des applications métier, pannesphysiques, mais aussi risques d’espionnage économique,risques liés aux processus, ou risques de notoriété.» Ensuite, Bernard Foray les évalue et leshiérarchise. « Il faut que la parade à un risque soitproportionnelle à la probabilité qu’il survienne et à lavaleur des pertes qui en résulteraient. Nous avonségalement un certain nombre de contraintes légales :notamment, nous devons respecter le standard PCI/DSS pour le cryptage et la sécurité des données bancaires,standard imposé par les banques pour lestransactions monétiques. »Il définit des scénarios de risques réalistes et lesmoyens pour y faire face. « Dans la grande distribution,le risque le plus important est le manque de continuitéde service. Il est facile d’imaginer l’impact sur le chiffred’affaires d’une panne des applications métier (parexemple systèmes d’encaissement ou logistique). L’amplitudedes horaires d’ouverture des magasins ainsi quele développement du e-commerce rendent plus difficilela planification des tests de continuité d’activité. »Une des missions de Bernard Foray consiste à auditer etsurveiller tous les éléments relevant de la sécurité informatique: audit du back up et des solutions de secours,suivi en temps réel des tentatives d’intrusion sur leréseau, fonctionnement anormal ou erreurs logicielles,animation ou coanimation d’une cellule de gestion decrise. « Un RSSI doit savoir garder son sang-froid et nejamais prendre de décision hâtive face à la pression dubusiness. Il faut être raisonnable et rigoureux . » Parailleurs, il aide les équipes métiers à sécuriser leurs processuset participe en tant que DSSI au comité desrisques avec les autres risk managers métiers.Pour Bernard Foray, le RSSI joue un rôle essentieldans la sensibilisation des utilisateurs, tant avec lepersonnel qu’avec les managers, car il est difficile demettre en place des procédures de sécurité en avaldes process métiers. Il organise des formations ou desactions de sensibilisation.« Cette fonction est en constante évolution car denouveaux types de risques apparaissent liés au développementdu Web ; un des enjeux sera de gérer lesproblématiques liées à la e-réputation de l’entreprisesans pour autant restreindre la liberté d’expressiondes utilisateurs sur les réseaux sociaux. » •LES MÉTIERS DE LA PRODUCTION 15 – RESPONSABLE SÉCURITÉ INFORMATIQUEAPEC – RÉFÉRENTIEL DES MÉTIERS CADRES DES SYSTÈMES D’INFORMATION 117