Interviews

Fabrice Bru, Cesin : « L'Europe n'a pas à rougir de sa réglementation cyber »

Fabrice Bru, président du Cesin et directeur cybersécurité et architecture de la Stime, la DSI du groupement des Mousquetaires. (Photo : D.R)

Le président du Cesin revient sur les évolutions du poste de RSSI dans les organisations. Et sur le rôle de la réglementation pour améliorer la maturité cyber, en particulier des ETI et PME.

PublicitéPrésident du Club des experts en sécurité de l'information et du numérique (Cesin) qui rassemble 1200 membres, depuis le début de l'année, Fabrice Bru livre son analyse de l'évolution du poste de RSSI et des principales problématiques que celui-ci rencontre. Par ailleurs directeur cybersécurité et architecture de la Stime (la DSI des Mousquetaires), il prend le contrepied des voix critiquant les nombreuses réglementations européennes sur le numérique. Interviewé lors des Assises de la sécurité (Monaco, du 8 au 11 octobre), Fabrice Bru y voit au contraire un atout pour l'écosystème européen de PME et ETI.

CIO : Qu'est-ce qui vous marque dans l'évolution du poste de RSSI au cours des 5 dernières années ?

Fabrice Bru : L'évolution la plus marquante ne se situe pas au niveau des grandes entreprises, mais des ETI et PME. Ces dernières créent de plus en plus souvent des postes de RSSI. Au Cesin par exemple, on atteint un ratio de 50% de PME et ETI parmi nos membres. C'est une évolution très positive. Par ailleurs, la menace à laquelle nous faisons face a beaucoup évolué, avec certains acteurs qui sont en réalité des proxy d'Etats. Nous avons réussi à créer des cellules d'investigation et de veille, que l'on parle de CSIRT ou de CERT, pour en prendre conscience. L'après Covid et le démarrage de la guerre en Ukraine ont rendu cette menace très concrète. L'Ukraine mène, depuis 2022, une guerre hybride, par exemple en transformant en armes des drones civils ou en exploitant à des fins militaires des systèmes de géolocalisation grand public. En Europe occidentale, nous n'aimons pas le mot guerre. Nous sommes pourtant entrés également dans une forme de guerre hybride, avec une augmentation des attaques et un impact toujours plus important de celles-ci. Regardez ce qui s'est passé chez Jaguar Land Rover ! J'observe aussi une spécialisation des attaques sur les environnements du retail, comme l'a montré Mark & Spencers. Comme on avait eu une focalisation sur le secteur hospitalier en 2022.

L'industrie et le retail partagent un point commun : des systèmes Legacy anciens déployés en usines ou en magasins qui sont difficiles à partcher...

Exactement. Et c'est d'ailleurs une autre évolution que j'observe : la structuration de la cybersécurité industrielle. Au sein du Cesin, nous avons créé dès 2019 un groupe de travail sur le sujet. Nous étions 6 à l'époque. Aujourd'hui, c'est une communauté de 80 personnes avec des événements dédiés. La structuration de cet écosystème s'est accélérée avec le rapprochement des environnements industriels et de l'IT traditionnelle.

Une des questions qui se pose au RSSI aujourd'hui concerne les risques associés aux prototypes ou applications d'IA qui fleurissent dans les entreprises. Est-ce que le RSSI est positionné au bon niveau pour encadrer ces initiatives ?

PublicitéDe nombreuses questions se posent en effet, et elles ne vont aller qu'en se renforçant avec l'arrivée des agents : la question de la donnée, de l'identité, de la traçabilité, de l'intégrité, des prompt et des injections de prompts. Depuis un an et demi, le Cesin a créé un groupe de travail sur le sujet. Celui-ci a mené un travail de cartographie de l'ensemble des risques sur un système d'intelligence artificielle et des processus et outils pour les encadrer. Par ailleurs, l'IA Act, qui impose un certain nombre de contraintes, peut nous aider, car, avec ce texte, vous êtes sûr que toute solution sera passée au crible par la direction juridique. Et cette dernière va s'appuyer sur le RSSI pour le volet cyber.

Est-ce que les RSSI ont déjà toutes les réponses pratiques sur cette sécurisation des applications embarquant de l'IA ?

Non, car c'est une technologie jeune. Nous n'avons pas encore beaucoup de recul. En revanche, on sent bien que c'est une superbe opportunité pour toute l'entreprise, cyber y compris. Par exemple, pour le service desk, afin d'apporter des réponses plus rapides aux utilisateurs. Ou pour faciliter la compréhension des politiques de cybersécurité dans les entreprises étendues, par exemple au bénéfice de security champions placés dans les métiers. Ou encore, pour fournir une première version d'une analyse de risques. Peut être cette technologie permettra-t-elle de faire monter plus facilement en compétences des gens qui auront une fonction dans la cybersécurité sans que cela soit leur mission principale. Pour un RSSI, c'est effectivement une superbe opportunité.

Une autre évolution sensible du domaine réside dans la multiplication des textes réglementaires portant directement sur la cybersécurité ou ayant une implication pour celle-ci. Est-ce que cela transforme le métier du RSSI vers un poste moins technique et de plus en plus à la frontière du juridique ?

Cela fait en réalité bien longtemps que les RSSI ne sont plus uniquement des techniciens. Même si la profession a longtemps été marquée par les compétences techniques, aujourd'hui, le RSSI n'a plus nécessairement un profil d'ingénieur. Car vous ne pouvez pas être à la fois expert en analyse de risques, spécialiste de plan de continuité d'activités et pentester ! Le poste nécessite d'assembler des expertises diverses. Par ailleurs, à mes yeux, les juristes sont les meilleurs alliés du RSSI dans les organisations. Ils constituent un appui précieux. Par exemple, pour s'assurer que pas un seul contrat ne sorte sans une relecture par la cyber, ce qui permet de mettre au jour du Shadow IT.

Concernant l'arrivée des paquets réglementaires, il faut distinguer les entreprises déjà régulées des autres. Pour les premières, la majeure partie des processus, des mesures de cybersécurité ou des points de contrôle exigés par ces textes sont en général plus ou moins déjà en place. Pour les secondes, le changement est par contre bien réel. Car une mise en conformité avec un texte comme NIS 2 est contraignante, dans la déclaration des incidents cyber ou dans le contrôle de la supply chain numérique notamment. Mais on a déjà vécu quelque chose de même nature lors de la mise en place du RGPD.

C'est aussi là où vous retrouvez une réelle dichotomie entre grandes entreprises et plus petites structures. Les premières n'ont pas attendu des réglementations pour prendre en compte le risque cyber, qui apparaît souvent dans le Top 5 des risques en interne. Si les systèmes d'information ne fonctionnent pas, 95% des entreprises baissent le rideau. Dans le retail, sans WMS, sans préparation de colis, l'activité est à l'arrêt. Dans l'industrie, si les systèmes d'information sous-jacents au procédé industriel ne fonctionnent plus, vous mettez tout le monde au chômage technique. Et ces réglementations ont une belle finalité : faire monter le niveau cyber d'un écosystème stratégique pour l'Europe, en accompagnant notamment ETI et PME qui ont, sur ce sujet, de petites équipes encore émergentes, afin qu'elles rattrapent leur retard.

N'existe-t-il pas un risque de faire trop de conformité et pas assez de sécurité opérationnelle ?

Je ne suis pas inquiet par rapport à ça, parce que la conformité et la sécurité peuvent aller de pair. Au fond, elles concourent à ce qui reste l'objectif principal des équipes IT et cyber : réduire le nombre d'incidents. Même si certains adhérents du Cesin souffrent de l'arrivée de ces réglementations exigeantes, c'est vrai. Elles doivent dédier des ETP à remplir des points de conformité et ce sont des ressources qui ne sont plus disponibles pour d'autres activités. Mais je ne trouve pas qu'on soit entré dans une forme de surrèglementation. D'après les échanges que j'ai avec mes pairs, des réglementations existent aussi en Asie, aux Etats-Unis ou dans d'autres pays. Je ne crois pas que l'Europe ait à rougir de son paquet réglementaire. D'ailleurs, c'est bien le RGPD européen qui a poussé un certain nombre de pays à se réveiller sur la protection des données à caractère personnel.

Dans l'IT, la période est marquée par la volonté de freiner la croissance des dépenses, les budgets des DSI étant beaucoup plus discutés. Est-ce aussi le cas dans la cyber ?

Mon sentiment, c'est que les budgets cyber commencent à atteindre une asymptote. Avec des situations très variables en fonction des organisations. Et des mouvements à l'intérieur même de ces enveloppes budgétaires. Une entreprise très mature en cyber va plutôt travailler à budget constant, tandis qu'une ETI qui vient de créer une entité cyber va être, naturellement, dans une phase d'investissement s'étalant sur plusieurs années.

Pour les premières, la question à se poser est : est-ce que le budget est un problème ? Dans les grandes entreprises qui ont des équipes cyber déjà bien en place, je n'entends pas parler de problématiques de budget à proprement parler, mais plutôt de problématiques de compétences, d'optimisation de processus, de nouvelles technologies de rupture et de la manière de s'y adapter.

Quel est l'enjeu majeur des discussions avec un Comex pour le RSSI ?

La résilience du système d'information. Dans certaines entreprises, le plan de continuité est aujourd'hui directement piloté par un membre du Comex. Ce qui signifie qu'il est davantage qu'un sponsor de la démarche. Qu'il participe directement aux comités de pilotage, qu'il se tient régulièrement informé de l'avancée des périmètres pour lesquels le plan de continuité d'activité est formalisé et des prochaines étapes, ou encore qu'il supervise les analyses d'impact business.