Business

Le DSI face aux risques de l'entreprise ouverte

L'entreprise, nécessairement ouverte et communicante, ne peut plus se protéger en adoptant une stratégie de citadelle assiégée mais doit malgré tout assurer sa sécurité. Le 29 mai 2013, CIO a organisé une conférence stratégique sur le sujet.

Publicité« Dès qu'il y a de nouveaux services, de nouvelles technologies, les criminels s'y adaptent pour s'attaquer à l'argent qui peut en être tiré » a rappelé le colonel Éric Freyssinet, chef du plateau d'investigation en cybercriminalité à la Gendarmerie Nationale et auteur d'ouvrages sur le sujet. Il a ouvert ainsi la conférence « Le DSI face aux risques de l'entreprise ouverte » organisée par CIO le 29 mai 2013 au Centre d'Affaires Paris Trocadéro. Même si les grandes tendances de fond varient peu, nul ne peut se croire à l'abri.

L'intervention du colonel Éric Freyssinet en vidéo

Se focaliser sur les vraies menaces

Ben Van Erck, Global Investigation Response Team Manager de Verizon, a présenté le rapport Verizon DBIR (Data Breach Investigation Report). Connaître les grandes tendances de la cybercriminalité en 2013 permet de se focaliser sur les vraies menaces. Il a notamment souligné : « les attaques classiques ne doivent pas être négligées car, quantitativement, elles sont de loin les plus nombreuses ».

L'intervention de Ben Van Erck en vidéo

Beaucoup d'attaques visent en fait à voler des données sensibles, notamment des données personnelles. La gestion de celles-ci est donc un point particulièrement sensible, d'autant plus qu'il est strictement réglementé avec des risques de sanctions lourdes pour les entreprises en cas de manquement à la sécurité. La gestion des risques liés aux données personnelles a été l'objet d'une table ronde réunissant Gwendal Le Grand (chef du service de l'expertise informatique à la CNIL), Pascal Basset (vice-président du CESIN, Club des Experts de la Sécurité de l'Information et du Numérique ; Risk & Compliance Manager au PMU) et Philippe Salaün (CIL et ancien Risk Manager de CNP Assurances ; administrateur de l'AFCDP, Association française des correspondants à la protection des données personnelles).

La table ronde en vidéo

Les nouvelles menaces doivent être contrées

Publicité

Les nouvelles menaces doivent être contrées

Même si les nouvelles menaces sont quantitativement limitées par rapport à l'ensemble des attaques (jusqu'à 1 toutes les 3 minutes sur une seule entreprise), elles sont issues de groupes très motivés et vindicatifs. Et l'atteinte de leurs objectifs entraîne des coûts particulièrement élevés pour leurs victimes.

Se protéger efficacement contre les Menaces de Nouvelle Génération, parmi lesquelles les fameuses APT (menaces persistantes avancées), constitue un défi pour les DSI. Thibaud Signat, Systems Engineer Southern Europe de FireEye, a confirmé : « les entreprises elles-mêmes reconnaissent que les cyber-attaques sont à la fois très probables et très impactantes. »

L'intervention de Thibaud Signat en vidéo

Contrer les contournements

L'une des difficultés est de parvenir à adopter une réponse industrielle face aux techniques avancées de contournement (AET) alors que ces méthodes, précisément, contournent les méthodes et outils classiques. « Trop souvent, les applications sont développées avec plus de contraintes de production que de sécurité, d'où des failles » a dénoncé Rémi Enjalbert, Ingénieur Sécurité chez Stonesoft.

L'intervention de Rémi Enjalbert en vidéo

Or le DSI a des responsabilités fortes, notamment pour garantir la sécurité du système d'information. « Si la responsabilité est la base de tous les systèmes juridiques, elle se définit précisément par l'accumulation de jurisprudences » a averti Etienne Papin, avocat associé du Cabinet Feral-Schuhl / Sainte-Marie.

L'intervention de Etienne Papin en vidéo

Le défi de l'ouverture

D'un côté, la responsabilité et son corollaire le risque de sanction, de l'autre le besoin d'avancer et de créer de la valeur : la place du DSI n'est pas confortable. Relever le défi de l'entreprise numérique ouverte, dans ce contexte, n'est pas simple. Pour en débattre, une table ronde a conclu la matinée. Elle réunissait Damien Martayan (Chef de Service du Domaine Poste de travail et Mobilité, chez Renault), Emmanuel Spinat (DSI de l'AIFE, Agence pour l'Informatique Financière de l'Etat) et Antoine Vigneron (Chargé de Mission en charge du Département systèmes d'information au CG92).

La table ronde en vidéo