Stratégie

La cybersécurité vue par le duo DSI / RSSI

La cybersécurité vue par le duo DSI / RSSI
De gauche à droite : Martine Guignard du Clusif, Jean-François Louâpre, Cesin, Jean-Paul Mazoyer, Cigref
Retrouvez cet article dans le CIO FOCUS n°113 !
Cybersécurité : faire face aux nouvelles menaces contre le système d'information

Cybersécurité : faire face aux nouvelles menaces contre le système d'information

Les systèmes d'information n'ont jamais été autant menacés. Et pourtant, les isoler dans des forteresses est toujours moins envisageable. Comment malgré tout assurer leur sécurité ? Le sujet a été largement débattu au cours de la Matinée stratégique CIO du 16 février 2016 sur le thème...

Découvrir

La cybersécurité n'est pas qu'une affaire de technologies mais aussi de faiblesses humaines et de contraintes financières et juridiques, comme en témoignent les responsables du Clusif, du Cesin et du Cigref. Ils s'exprimaient sur une table ronde durant la Matinée Stratégique CIO du 16 février 2016 consacrée à la cybersécurité.

PublicitéPour aborder le sujet des contraintes, la Matinée Stratégique CIO consacrée à la cybersécurité, le 16 février 2016, avait sollicité trois intervenants reflétant le secteur : Martine Guignard, secrétaire général du Clusif (et RSSI de l'Imprimerie Nationale), Jean-François Louâpre co-fondateur et vice-président du Cesin (et Ciso de CNP Assurances), Jean-Paul Mazoyer, Président du cercle cybersécurité du Cigref (et directeur général de la Caisse de Crédit Agricole Pyrénées Gascogne et auparavant directeur informatique et industriel groupe). Trois organismes différents pour une vision globale de la problématique.
Le Clusif compte deux collèges, un de RSSI, l'autre de fournisseurs, avec des axes de travail comme les SOCs, la cyberassurance, les Scada... et même un groupe de travail composé uniquement des RSSI pour parler de leurs problèmes propres de RSSI, « c'est libérateur » note avec humour Martine Guignard. Le Cesin, créé il y a un peu plus de trois ans, fonctionne comme un club de RSSI uniquement. Ses 230 membres, tous RSSI ou directeurs des risques, viennent parler entre eux de problèmes de cybersécurité et aucun livrable n'est publié, seul compte le partage d'expérience, avec des adhérents venus de toutes les tailles d'entreprises et de tous les secteurs d'activité. 
Plus connu, le Cigref, créé il y a 47 ans, compte 150 adhérents, grandes entreprises ou associations d'entreprises. Jean-Paul Mazoyer a mis sur pied il y a deux ans le cercle de la sécurité, et il révèle : « pour que la cubersécurité soit un thème mis au-dessus de la pile, les DSI devant se saisir du sujet pour aider les RSSI et convaincre leurs directions générales ». Au-delà de ce double objectif, le Cigref a engagé une grande campagne de sensibilisation. Elle a pu surprendre, le Cigref s'adressant directement au grand public par des spots télévisés, la « hack academy ». Pourquoi diable, le Cigref, qui est plutôt CAC 40 et zoome très peu aux alentours, s'adresse-t-il au grand public sur ce sujet de la cybersécurité ?

Passer par le grand public

La réponse de Jean-Paul Mazoyer est limpide. Pour lui, le grand sujet est de faire remonter les questions de cybersécurité au ComEx et auprès du PDG ou du DG. Compliqué. Mais à titre personnel, souvent par leurs enfants ou leurs amis ils sont sensibilisés, de même que les collaborateurs de l'entreprise. Conclusion : autant passer par le grand public, en le sensibilisant on alerte la sphère privée des dirigeants d'entreprise. Plus efficace qu'un savant programme interne.  
C'est la première fois qu'une campagne nationale d'intérêt public est ainsi financée sur fonds privés. « C'était le meilleur moyen de toucher l'ensemble des salariés et des dirigeants en s'adressant à leur entourage en même temps qu'à eux-mêmes », précise Jean-Paul Mazoyer. Il ajoute : « On s'est mis autour de la table, on a demandé le soutien de l'ANSSI et du cyber préfet, Jean-Yves Latournerie au ministère de l'Intérieur, 25 grandes entreprises  ont financé, ensuite on est allé voir les médias. Nous avons déjà fait des serious games, là avec la hack academy, nous jouons un rôle sociétal pour les grandes entreprises, comme, réalité, nous le faisons depuis longtemps. L'essentiel est de créer un mouvement avec les DSI et au-delà pour porter le sujet. »
Le DSI étant porteur des sujets de cybersécurité, comment le Cesin et le Clusif, représentant les RSSI, jugent-ils leurs relations avec eux ? Aujourd'hui, la cybersécurité est une cause nationale qui intéresse tous les niveaux de l'entreprise et tous les citoyens. Ce qui nécessite déjà, aux yeux du Cesin une forte collaboration au sein de l'entreprise. Les deux premiers rôles sont joués par le RSSI et le DSI.
Le Cesin publie en fait un livrable, le baromètre de la cybersécurité, vue par ses membres. « Il y a des années, rappelle Jean-François Louâpre, on parlait de sortir la RSSI de la DSI, aujourd'hui 73% de nos membres sont à l'intérieur de la DSI ». Problème réglé donc.

PublicitéPas compris par le DAF

Côté Clusif, le ton se veut plus vif.  « On a beaucoup parlé de sensibilisation au Clusif, note Martine Guignard, elle pose un problème, on peut faire des sessions, mais nous n'avons pas que ça à faire, nous avons donc besoin d'outils, or nous ne sommes pas très bien compris niveau budgétaire ! Le RSSI va finalement trouver ses outils, pour cela, il faut embrigader la RH et la Com. Pour avoir des résultats, il faut aussi s'adresser aux utilisateurs à titre personnel, leur parler de ce qui se passe chez eux en matière de sécurité, là ils commencent à comprendre, et vont être sensibilisés.».
La sensibilisation est un grand thème, mais comment se fait-il, demande l'animateur, malgré tous les outils en place, que l'hameçonnage puisse encore passer ?  Aujourd'hui note Jean-François Louâpre, on a des équipes qui réussissent dans 85 à 90% des cas, mais les cyberciminels s'en sont aperçus et ne s'intéressent donc qu'aux autres, les 5 à 10%. « Je vous fais la même réponse qu'aux utilisateurs qui expliquent qu'ils subissent encore des spams, aujourd'hui, la cybercriminalité est active et organisée, la police judiciaire parlait de vagues d'attaques Dridex, quand la France a été attaquée c'était sept attaques nouvelles par jour. Avec sept variantes on est à la limite de la technologie, on ne peut pas opposer la technologie et l'utilisateur, il faut effectivement des dispositifs techniques, mais complétés par des dispositifs utilisateurs. Un dispositif technique mal compris et mal expliqué sera inutile ».
Serait-ce suffisant pour éviter divers contournements, en particulier avec le cloud ? «
Aujourd'hui, note Jean-Paul Mazoyer, il est  impossible de faire le tri entre les faux mails et les vrais, on trouve de vraies factures et de vrais CV, avec à l'intérieur des spams. J'en ai souvent discuté en interne. Mais allez expliquer au responsable RH ou financier qu'il ne devrait pas ouvrir, c'est impossible. On a des logs malveillants, même quand on les ouvre dans un bac à sable. Ils savent très bien où ils se trouvent et ne s'exécutent pas dans le bac à sable. C'est le jeu du gendarme et du voleur,  et c'est une course permanente. Je reprendrai les  propos de Alexandre Huard (HP), il n'est pas question de surveiller une forteresse, il y aura toujours quelqu'un pour franchir.

Un risque vital

Reste le sujet de départ, celui posé par Skyhigh en début de séminaire, la sécurité du cloud et l'attitude des directions métiers qui vont dans le cloud, souvent à l'insu de l'informatique.  « Le sujet, souligne Jean-Paul Mazoyer, c'est le PDG ou le DG car à quelle vitesse, ce dirigeant se rendra-t-il compte que l'entreprise est bien sur en situation de risque vital ? Je me souviendrai longtemps du témoignage d'Yves Bigot, PDG de TV5 Monde, six mois après l'évènement [un piratage de tous les sites web, NDLR], il avait encore des trémolos dans la voix pour aborder le sujet, dans une conférence où le Premier Ministre  avait choisi de la faire intervenir en premier. Le sujet, c'est bien la  sensibilisation des ComEx et des dirigeants d'entreprise ». Répondant à une question Evals, il note qu'une entreprise sur six n'a jamais fait d'exercice de cybercrise en présence du dg ou du Pdg.
Le Clusif répond sous un autre angle. Pour Martine Guignard  il y a différentes formes de cloud, différentes spécialités. « Je demande régulièrement à faire des tests d'intrusion et je tombe sur des applis poreuses. Exemple, une appli RH pour la formation, peut rendre accessibles les évaluations de tous les salariés ». Les exemples ne manquent pas. Et selon Martine Guignard, « tout le monde n'est pas en mesure de faire des tests d'intrusion, et beaucoup d'offres sur le marché sont lamentables en termes de sécurité ».
Jean-François Louâpre prend le contrepied de ses collègues, « on a trop tendance à opposer cloud et sécurité, le cloud est inéluctable, la sécurité doit s'adapter ». On a tendance aussi à opposer les métiers et la DSI, mais ils ne sont pas seuls en scène. « J'ai tendance à dire, que je passe plus de temps avec la direction juridique qu'avec la DSI, moi RSSI ! »
« En fait, conclut Jean-Paul Mazoyer, nous estimons au Cigref qu'il existe trois types d'attaques : celles liées à l'intelligence économique, tout ce qui relève de l'activisme, c'était le cas avec TV5 Monde, enfin, les malversations financières, c'est là qu'il faut réagir. Mais  il ne sert à rien de courir plus vite que le tigre, il suffit de courir plus vite que son voisin, et parier sur la fainéantise du hacker qui s'attaque à ceux qui sont le moins bien préparés » !

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis