Alain Rogulski (CISO du Groupe Sodexo) : « la cybersécurité est un sujet abordé dans le conseil d'administration »
Sécurité et digital : il ne faut pas choisir
La sécurité est un enjeu. La digitalisation est un enjeu. Mais, en fait, le véritable enjeu est tout simplement le business. Et sécurité et digital ne peuvent pas s'opposer : ils doivent avancer de concert. Le développement de la cybercriminalité et du cyber-espionnage ne peuvent pas excuser un...
DécouvrirÀ l'occasion de la conférence IBM Think Digital le 6 octobre 2020, Alain Rogulski, CISO du Groupe Sodexo, a été interviewé par Aurore Ominetti, directrice IBM Security France, pour évoquer les différents volets de la cybersécurité et leur importance dans le contexte actuel.
PublicitéAlain Rogulski est le Vice-Président Cybersecurity du Groupe Sodexo. Interviewé par Aurore Ominetti, directrice IBM Security France, lors de la webconférence IBM Think Digital, il est revenu sur l'importance de la cybersécurité dans le contexte actuel de crise sanitaire, détaillant également les différents volets que doit comporter un plan de cybersécurité.
« La transformation digitale est en marche depuis plusieurs années au sein du groupe Sodexo. Des métiers qui auparavant étaient éloignés de l'IT se sont fortement digitalisés. Aujourd'hui, les consommateurs commandent en ligne et paient avec leur téléphone par exemple. Ce constat se vérifie sur l'ensemble des métiers de Sodexo. Je n'ai donc plus besoin d'expliquer l'impact majeur que peut avoir un incident IT sur la capacité de Sodexo à fournir ses services. En tant que RSSI, mon rôle est désormais de rappeler que nous pouvons aussi connaître des incidents de sécurité. Les grandes cyberattaques médiatisées ont permis à la direction générale de mesurer l'impact potentiel des cyber-incidents. La cybersécurité est un sujet abordé dans le conseil d'administration, et je dialogue régulièrement avec le comité exécutif et les membres du conseil d'administration. Nous avons également mis en place un comité cybersécurité auquel participe une grande partie du comité exécutif. La quasi-totalité des fonctions du groupe y sont représentées : finance, ressources humaines, juridique, directions opérationnelles, communication, et bien sûr le digital et l'IT.
Mon enjeu principal à l'heure actuelle est d'accompagner nos clients dans cette période de pandémie. Nous sommes confrontés à une crise sanitaire et non pas cyber. Celle-ci fragilise déjà les entreprises, il est d'autant plus important de se prémunir d'une crise cyber. Dans ce contexte, les interactions avec les différentes instances se sont intensifiées, afin notamment d'expliquer les risques que la situation actuelle génère au niveau cyber. La veille du confinement, nous présentions par exemple l'avancement du plan de cybersécurité, et la semaine qui a suivi la sortie du confinement, nous avons fait une présentation sur les risques cyber devant le comité exécutif. Ces actions ont permis de mobiliser les différentes équipes sur la préparation et l'anticipation. »
Mettre l'accent sur la coordination
« Les programmes de cybersécurité sont classiquement très orientés sur la prévention des incidents, visant à mettre en place des mesures de sécurité et de protection pour minimiser cette probabilité. Dans notre plan de cybersécurité, nous avons intégré comme toutes les organisations une dimension préventive, mais petit à petit nous avons rééquilibré les ressources afin d'accorder une place équivalente à l'anticipation. Nous travaillons également sur l'impact des incidents, afin de le réduire au maximum si un incident survient. Nous avons par exemple mis en place un SOC (Security Operations Center) afin d'améliorer la détection et la réponse aux incidents. Depuis quelques années, des cyberattaques comme WannaCry montrent qu'un petit morceau de code peut mettre de grandes multinationales en grande difficulté. Ce constat nous a conduits à intégrer un troisième volet dans notre approche de la cybersécurité, celui de la résilience. Nous nous coordonnons également de façon étroite avec la cellule de gestion des crises chez Sodexo. En 2018, nous avons connu un incident localisé et identifié sur l'une de nos entités à l'étranger, sur une gamme de services très spécifiques et sans impact sur les activités. Cependant, nous avions sous-estimé la résonance qu'un tel incident pouvait prendre, notamment en dehors du pays concerné. Cette expérience nous a amenés à renforcer la place de la communication dans notre plan de cybersécurité. Enfin, ce plan est adapté en permanence en fonction des différents incidents observés, aussi bien en interne qu'en externe.
PublicitéJ'aurai aujourd'hui trois conseils à partager pour les organisations qui travaillent sur leur plan de cybersécurité. Tout d'abord, il est essentiel d'établir le plus tôt possible les différents comités décisionnels et opérationnels chargés de gérer les incidents, avec une forte coordination entre les différentes instances pour éviter de travailler en silos. En effet, on sous-estime souvent la pression à laquelle les équipes internes et externes sont soumises quand il faut rétablir des services. Ensuite, il faut de la discipline et de la rigueur dans l'exécution des actions, en respectant les rôles et les responsabilités définies au préalable. Enfin, il faut être capable de rester serein pour gérer les incidents. »
Article rédigé par
Aurélie Chandeze, Rédactrice en chef adjointe de CIO
Suivez l'auteur sur Linked In,
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire