Stratégie

La réglementation c'est bien, la sécurité c'est mieux

Si la Loi couvre théoriquement l'ensemble des besoins de sécurité, les DSI et RSSI doivent toujours aller plus loin.

Retrouvez cet article dans le CIO FOCUS n°97 !

Dépasser les contraintes imposées pour conduire la transformation des organisations

La sécurité est de plus en plus réglementée. Loin d'être une contrainte, cette réglementation est un outil à utiliser. Il faut cependant être conscient que les seules règles imposées ne sont pas suffisantes pour définir une stratégie. C'est également vrai pour l'ensemble des contraintes imposées à...

Découvrir

Faire de la réglementation n'est pas faire de la sécurité. Si aujourd'hui, les principaux cadres réglementaires, que sont la LPM et la Loi Informatique et Libertés, donnent aux DSI et RSSI des indications et des solutions pour protéger les SI, ils ne doivent pas s'en contenter. D'autant plus que ces dispositions leur donnent plus de poids pour obtenir de véritables moyens de leurs entreprises.

PublicitéAujourd'hui, DSI et RSSI doivent composer avec deux cadres réglementaires dominants. D'un côté, la Loi Informatique et Libertés adoptée en 1978 largement remaniée en 2004, de l'autre, les directives mises en place via la Loi de Programmation Militaire (LPM) promulguée en 2014. Bien que ces dernières portent sur des sujets différents, elles imposent toutes deux aux DSI et aux RSSI des obligations en matière de sécurité informatique.
Pour sa part, la Loi Informatique et Libertés impose, dans son article 34, une sécurisation par tous les moyens du traitement des données personnelles. « Aujourd'hui, nous voulons que les responsables de traitement de ces données soient capables de justifier une politique de sécurité cohérente quant à la protection des informations », détaille Gaston Gautreneau, ingénieur expert au service de l'expertise technologique de la CNIL.
Toutefois, le cadre mis en place par la CNIL reste vague et ne spécifie pas exactement quelles mesures techniques doivent être prises. C'est en soit évident. « Avec l'évolution des menaces, il est impossible de dicter strictement quelles sont les mesures techniques à mettre en oeuvre sur les SI », explique Gaston Gautreneau.

Du côté de l'Agence Nationale de la Sécurité des Services d'Information (ANSSI), qui est chargée d'assurer la mise en oeuvre concrète de la LPM, le constat est similaire. « Nous allons mettre en place des décrets suffisamment généraux pour assurer une évolutivité des moyens correspondant à l'évolution des menaces. Il ne faut pas enfermer les entreprises dans un cadre trop réglementaire », lance Guillaume Poupard, directeur général de l'ANSSI.
Dans ses grandes lignes, la LPM va imposer aux Organismes d'Intérêt Vitaux (OIV) un cadre sécuritaire visant à les protéger des cyber-attaques dont l'application sera assurée via des contrôles, annoncés comme fréquents.
« Vous ne pouvez pas imposer les mêmes moyens de sécurisation à un datacenter récent et à un système de production industriel âgé de 30 ans », dénote toutefois Raphaël Brun, expert en sécurité pour la société de conseil Solucom. Guillaume Poupard rassure en assurant que les décrets d'application, dont une première vague arrivera dans les prochains mois, sont établis directement avec le concours des principaux intéressés. « Il faut que les dispositions soient applicables », clame Guillaume Poupard.
Dans cette optique, l'ANSSI a ainsi formé 18 groupes de travail qui échangent en permanence avec 200 OIV. « Même si c'est nous qui allons faire les textes, ils doivent en être les acteurs », déclare le directeur général de l'ANSSI. La LPM va toutefois imposer la mise en place de SOC (Security Operation Center) par les OIV, soit en interne soit par le biais d'un partenaire certifié par l'ANSSI.
Aux yeux de Raphael Brun, la question des partenaires pose d'ailleurs quelques problèmes : « l'ANSSI a certifié des fournisseurs que nous n'aurions pas forcément choisi. Pour ce qui est de la sécurité des réseaux, ce sont les meilleurs sont Américains et Israéliens mais il est évident qu'ils ne seront pas certifiés ». Une cartographie précise des SI sera également exigée. « C'est comme les pompiers. Comment voulez vous que nous intervenions si nous n'avons pas les plans », argue Guillaume Poupard. Malgré ces impératifs, le cadre devrait rester assez large.

PublicitéLes CIL : « des mini CNIL »

L'idée de définir des cadres larges à la réglementation permet donc d'assurer qu'elle englobera suffisamment de menaces et facilite aussi sa mise en application. Car gare à ceux qui ne joueraient pas le jeu ! Si, du côté de la LPM, les mesures prises en cas de refus d'obtempérer n'ont pas été vraiment détaillées, du côté de la CNIL les amendes sont considérables. « Pour nous, une société qui se fait pirater est une victime alors que pour la CNIL, c'est un coupable », résume Guillaume Poupard.
Mais le cadre réglementaire mis en place par la CNIL n'imposant pas de moyens stricto sensu, les RSSI, peuvent avoir du mal à savoir sur quel pied danser. Heureusement, ils peuvent compter sur les Correspondants Informatique et Libertés (CIL). « Ce sont des mini-CNIL au sein des entreprises », détaille Patrick Blum, RSSI et CIL de l'ESSEC.
S'il reconnait que les recommandations de la Commission Nationale de l'Informatique et des Libertés sont très floues, il assure que c'est au CIL de mettre tout en oeuvre pour s'assurer de la protection des données personnelles. « En cas de piratage et de vols de données, la seule chose sur laquelle se basera la CNIL pour savoir s'il y eu des manquements, c'est, au final, l'implication et la bonne foi des responsables de traitement », résume le RSSI.

L'organisme n'est en effet pas rigide jusqu'à l'absurde mais sait au contraire que, malgré tous les moyens mis en place, les attaques sont inévitables. En revanche, elle vérifiera que tout avait bien été mis en oeuvre pour les prévenir. « Nous nous assurons que ce qui est fait est suffisant et cohérent », détail Gaston Gautreneau.
« Aujourd'hui, faire de la réglementation ne remplace pas l'analyse de risques et la politique de sécurité de son SI », renchérit Patrick Chambet, RSSI membre du Club des Experts de la Sécurité de l'Information et du Numérique (CESIN). Il poursuit : « Appliquer les règles de bonnes pratiques et mettre ses systèmes en conformité avec les normes ISO ne suffit pas ».
Même s'il estime que la Loi la loi aborde une bonne partie des types de menaces, il appuie sur le besoin crucial d'une politique de sécurité englobant notamment l'analyse des risques et de préventions de ceux-ci. Il est rejoint sur ce point par Patrick Blum qui, au moment de notre interview, était justement plongé dans l'élaboration de la politique de sécurité de l'ESSEC.
« Nous pouvons nous appuyer sur les normes et les procédures réglementaires mais ce n'est pas suffisant », lance le RSSI. Il est ainsi primordial ne pas rester figé dans une réglementation et d'avoir une démarche proactive vis-à-vis des menaces. La largesse des cadres réglementaires est justement là pour encourager cette démarche. « Nous ne pouvons plus nous contenter d'une sécurisation périphérique et figée. Elle doit devenir dynamique », plaide Gaston Gautreneau.

Au delà de la sensibilisation, l'implication

Mais, au delà du besoin d'anticipation évident, se pose bien évidemment la question de la sensibilisation. Comme toujours, le facteur humain reste le plus imprévisible et le plus fragile. Dans le cadre de la réglementation et de la sécurité, l'ensemble des équipes doivent être sensibilisées. Si une fuite de données personnelles est décelée au niveau des données clients, les directeurs marketing et commerciaux peuvent faire l'objet de sanctions. L'impératif de la sensibilisation est unanimement partagé par les différents intervenants.
Et, à cette fin, de nombreux guides sont publiés par la CNIL et l'ANSSI et d'autres organismes comme le Cigref vont même plus loin. Ce dernier est ainsi en train de tester un serious game pour sensibiliser les équipes à l'utilisation des données personnelles. Mais au delà du simple enjeu de sensibilisation, les différents acteurs doivent être impliqués.

« Nous devons travailler directement avec les métiers pour quantifier les besoins de sécurité », juge Patrick Chambet. Il est rejoint dans cette opinion par Gaston Gautreneau. L'expert de la CNIL assure que les métiers doivent être beaucoup plus impliqués dans la mise en place des politiques de sécurité. « Auparavant, la sécurité du système d'information ne concernait que la DSI. Aujourd'hui, tout le monde doit s'y mettre », explique-t-il. Un échange constant doit être instauré entre les équipes métiers et les RSSI. Et il s'agit bien d'échanges. Car s'il est évident que les RSSI doivent bien saisir les demandes des métiers pour adapter la sécurité à leurs besoins, l'inverse est aussi vrai. « Les techniciens en charge de protéger le SI doivent communiquer beaucoup plus avec les métiers pour leur faire comprendre leur implication », explique Gaston Gautreneau. Selon lui, les risques résiduels doivent être acceptés et surtout assumés par les métiers. Dans cette optique, l'expert de la CNIL relève l'importance d'un langage commun entre métiers et DSI. « Il est nécessaire qu'ils comprennent les enjeux de la sécurité de leur point de vue, voire qu'ils s'en servent comme un argument », déclare Gaston Gautreneau.

Les RSSI sous le feu de la réglementation
Les collaborateurs métiers commencent d'ailleurs à prendre conscience de ces impératifs. « Ils comprennent que la sécurité, si elle est mal assurée, peut avoir des répercussion dramatique sur leur image, leur business ou leur fonctionnement », explique l'expert. Associé à la monté en puissance de la réglementation, les événements récents comme les fuites de données chez Target et Orange ou l'attaque générale de TV5 Monde ont permis aux RSSI et aux DSI de trouver une oreille attentive chez les dirigeants de leurs organisations. « La situation bouge et c'est une bonne chose », se réjouit Patrick Chambet.
De son côté, Raphaël Brun parle de situation ambivalente : « l'arrivée de nouvelles réglementations a de quoi déranger les RSSI et DSI mais elle leur permet de gagner en force de proposition auprès de leur hiérarchie ». Cet argument est également mis en avant par Guillaume Poupard. « Ils vont pouvoir bénéficier de plus de moyens », pointe le directeur général de l'ANSSI. Ils peuvent justifier certains travaux grâce à la LPM, y compris certains déjà en cours, comme le fait remarquer Raphaël Brun.

Si la réglementation peut donc aider RSSI et DSI dans la mise en place de leurs politiques de sécurité, ces dernières ne peuvent donc pas entièrement reposer dessus. Même en totale conformité avec les normes en vigueur, les systèmes d'information ne seront pas complètement protégés. « Même s'ils sont de mieux en mieux entourés et accompagnés par le cadre réglementaire, les DSI et RSSI doivent toujours faire plus », tranche Patrick Chambet qui assure qu'une politique de sécurité doit englober aussi bien la réglementation que l'analyse et la prédiction des risques.
D'où, peut-être l'intérêt de voir les RSSI quitter les DSI pour rejoindre les équipes de gestion des risques. Mais c'est un autre sujet.

Les statuts de CIL et RSSI sont-ils compatibles ?

« C'est un peu difficile d'avoir un CIL qui est aussi RSSI. C'est un peu comme avoir une personne qui est juge et partie ». Par cette phrase, Bruno Rasle, le délégué général de l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), a mis en évidence une épineuse question. « Le fait que la personne qui envoie des comptes rendus à la CNIL est la même que celle qui gère la sécurité du système d'information a de quoi déranger », déclare Raphaël Brun, expert du cabinet de conseil Solucom. Patrick Blum, particulièrement intéressé par ces remarques - il est CIL et RSSI de l'Essec - les comprend.

« C'est vrai que sur le papier, cela peut être problématique mais ce n'est pas absurde. Il faut considérer deux grandes familles de CIL, les techniques, qui ont les mains dedans et ceux qui font plus de l'évangélisation ou qui définissent les politiques de sécurité. Je fais plutôt partie de cette dernière tranche et ce n'est pas incompatible », déclare Patrick Blum qui ajoute connaitre de nombreux CIL également RSSI.

Ce constat est partagé par Gaston Gautreneau, ingénieur expert à la CNIL. Pour lui, « de nombreux CIL sont des RSSI. Cela dépend vraiment du positionnement de ces derniers dans l'organigramme de l'entreprise, et il n'y a d'ailleurs pas de système générique ». Raphaël Brun fait toutefois remarquer que, dans certains cas, les RSSI vont avoir des données bien plus stratégiques que les données personnelles à protéger.