Stratégie

Repenser la cybersécurité : bonnes pratiques et priorités des DSI et RSSI français

Concilier le renforcement de la cybersécurité avec les objectifs métiers est aujourd’hui la priorité des DSI et RSSI des organisations françaises.

Si la cybersécurité est depuis toujours une préoccupation importante des décideurs IT, aujourd'hui, elle occupe indéniablement le devant de la scène. En 2020, que font les entreprises françaises pour se préparer au mieux à des menaces qui prennent de l'ampleur et se remodèlent sans cesse ? CIO a rencontré plusieurs DSI et RSSI, tous fortement conscients de cette problématique. Voici une synthèse de leurs initiatives et de leurs démarches pour repenser la cybersécurité et l'adapter aux enjeux actuels.

PublicitéLe premier point commun de tous ces témoignages, c'est la démarche empreinte d'humilité des acteurs qui s'attellent à ce sujet éminemment sensible. Tous reconnaissent la difficulté de protéger des organisations de plus en plus ouvertes, face à des cybermalfaiteurs « imaginatifs et performants » selon le général Bruno Poirier-Coutansais, chef du ST(SI)², service gérant les systèmes d'information de la gendarmerie nationale et de la police.

Le second constat qui ressort des différents témoignages recueillis, c'est que la cybersécurité est un combat, et un combat sur tous les fronts. Pour Dominique Tessaro, DSI de VINCI Energies, la cybersécurité est ainsi « une course d'anticipation permanente ». Les DSI doivent tout à la fois protéger les systèmes existants, parfois anciens et souvent hétérogènes, et concevoir de nouvelles solutions numériques les plus robustes possible. Ils doivent concilier la sécurité avec les exigences des métiers, mais aussi la repenser, dans un contexte d'ouverture des systèmes d'information vers les clients et partenaires. Enfin, il devient essentiel de décharger des équipes de cyberdéfense submergées par la masse d'informations à traiter, pour qu'elles puissent se concentrer sur leurs missions à valeur ajoutée, comme la veille, l'investigation et l'analyse. Pour répondre à ces différentes exigences, avec les ressources et les moyens dont elles disposent, les entreprises et institutions françaises travaillent sur plusieurs axes.

Faire de la cybersécurité l'affaire de tous

La sensibilisation des collaborateurs fait partie des fondamentaux de la cyberdéfense depuis toujours. Pour les DSI et RSSI, c'est en quelque sorte une tâche de fond. Cette sensibilisation passe par des piqûres de rappel régulières, afin que les utilisateurs acquièrent « les bons réflexes de protection », comme ne pas ouvrir un mail suspect ou savoir identifier une adresse frauduleuse. « La liste est longue... C'est un travail de communication et de formation permanent », souligne Dominique Tessaro. De son côté, Bernard Cardebat, Directeur de la cybersécurité chez Enedis, évoque la mise en place d'une culture de la cyberdéfense, qui irrigue toute l'organisation, des salariés sur le terrain jusqu'aux dirigeants. Une stratégie qui commence à porter ses fruits : « régulièrement, des membres du comité exécutif demandent la température du Patch Tuesday », illustre-t-il. « Faire de la sécurité l'affaire de tous », pour reprendre les termes de Bernard Duverneuil, CDIO d'Elior, devient de plus en plus essentiel avec la multiplication des menaces.

Pour aider les équipes de cybersécurité dans leurs missions, les utilisateurs peuvent également être mis à contribution, à travers des outils simples qui encouragent une vigilance collective. « Nous avons mis en place un helpdesk dédié, que nos utilisateurs peuvent appeler quand ils ont un doute sur un e-mail par exemple. Rien qu'en 2019, celui-ci a reçu 30 000 signalements des utilisateurs », témoigne le DSI de VINCI Energies. Chez Enedis, c'est un bouton directement inclus dans les messageries qui permet aux utilisateurs d'être des lanceurs d'alertes.

PublicitéVigilance et responsabilité sur toute la chaîne de valeur

A l'heure des entreprises étendues, la sécurité doit aussi être repensée et ajustée, pour prendre en compte toute la chaîne de valeur. Plus ouverts et hybrides, les systèmes d'information deviennent aussi plus vulnérables à des attaques indirectes, passant par un fournisseur ou un sous-traitant, tandis que le développement de l'Edge Computing et de l'Internet des Objets multiplie les portes d'entrée, comme le pointe Frédéric Vincent, DSI du groupe Renault : « Le PC d'un concessionnaire n'est pas un PC Renault, mais il reste très attaquable tout en étant connecté à notre SI. Une voiture connectée est aussi par définition ouverte sur Internet ». Dans de tels contextes, les entreprises segmentent leurs réseaux et systèmes en plusieurs zones pour éviter la contamination et la propagation des menaces. Dans tous les secteurs faisant appel à des équipements opérationnels (OT) de plus en plus connectés, notamment l'industrie, veiller à isoler OT et IT devient un enjeu important, pour éviter qu'un incident informatique ne mette en péril le fonctionnement des installations de production.

Autre conséquence de cette ouverture, les décideurs IT ne doivent plus seulement se préoccuper de la sécurité de leurs systèmes internes, mais aussi de la protection de leurs clients et partenaires. « Nous avons des systèmes interconnectés, souvent en lien avec les réseaux de nos clients », observe Bernard Duverneuil. « Ce point est important dans notre positionnement. La cybersécurité fait partie de plus en plus souvent des appels d'offres. Les clients sont directement concernés si nous sommes connectés à leur réseau. Ils le sont aussi si un incident de sécurité empêche l'encaissement, ce qui bloque leur restaurant d'entreprise. » Dans un tout autre secteur, Emmanuel Thommerel, DSI de l'entreprise industrielle LACROIX Electronics, partage cette conviction : « nous ne pouvons pas imaginer l'usine du futur sans nous poser la question de la cybersécurité : il faut garantir la confidentialité des données de nos clients, protéger nos données sensibles et nos systèmes critiques. »

Des cadres de référence pour permettre la confiance numérique

Face à ces évolutions, les normes internationales fournissent des repères appréciés pour établir ou rebâtir des relations de confiance numérique avec son écosystème. « Notre objectif n'est pas forcément de nous faire certifier ISO 27001, mais d'être prêts si un jour on nous le demande », indique Emmanuel Thommerel. C'est également un cadre de travail qui aide à renforcer la culture interne en matière de cybersécurité, comme l'explique le DSI de VINCI Energies, engagé pour sa part dans une démarche de certification ISO 27001. En partant de l'analyse des risques, la norme permet de mettre en place des dispositifs adaptés à chaque organisation, tout en étant capables d'évoluer, un autre point clef dans le contexte actuel. En matière de cybersécurité, sans doute plus qu'ailleurs, il faut mettre à l'épreuve et vérifier sans cesse la robustesse des dispositifs en place, ce qui est précisément l'esprit des démarches ISO, axées sur l'amélioration continue.

Autres noms fréquemment cités par les décideurs rencontrés, l'ANSSI et son centre de veille, le CERT-FR, apparaissent comme des instances de référence pour les organisations françaises. « Pour ne pas exposer les données sensibles pour nos citoyens, nous visons un niveau de sécurité reconnu et certifié par l'ANSSI », déclare par exemple le chef du ST(SI)².

Le RSSI, indispensable architecte et allié des métiers

La responsabilité d'adapter ces différents référentiels à l'organisation revient généralement aux Responsables de la Sécurité des Systèmes d'Information (RSSI), de véritables « chefs d'orchestre », comme le décrit Gilles Berthelot, RSSI Groupe de la SNCF. « J'établis tous les référentiels, des mesures de sécurité qui s'appliquent à tout le groupe et doivent ensuite être déclinées de manière opérationnelle. J'ai aussi en charge le contrôle de l'application de ces référentiels, pour proposer une vision consolidée des risques Cyber au ComEx », ajoute-t-il.

Pour concevoir ou repenser les dispositifs de sécurité IT, les RSSI ont besoin d'avoir de l'autonomie, ainsi que des ressources. Un point sur lequel insistent les DSI de LACROIX Electronics et VINCI Energies « Nous avons mis en place récemment une division cybersécurité à l'échelle de LACROIX Group, avec le recrutement d'un RSSI », raconte Emmanuel Thommerel. « J'ai nommé un RSSI il y a quatre ans, doté de vrais moyens », relate de son côté Dominique Tessaro. Les grandes organisations s'inspirent également du monde militaire pour mettre en place des équipes dédiées à la cyberdéfense, à travers des Security Operations Centers (SOC), chargés de détecter et de prévenir les attaques. C'est le cas par exemple chez Renault. Ces dispositifs peuvent être le cas échéant complétés par des équipes spécialisées dans la réponse aux incidents (CERT), voire dans l'idéal des équipes dotées de compétences en attaque, pour tester la résilience des systèmes.

Si pendant longtemps, les départements de sécurité ont été perçus comme des freins à l'agilité demandée par les métiers, les RSSI s'attachent aujourd'hui à faire changer cette vision. Pour Benoît Fuzeau, RSSI de la Casden Banque Populaire, la sécurité n'est plus « celle qui dit toujours non. Pour nous aussi, la priorité c'est le métier ». Ce repositionnement passe par la mise en oeuvre de démarches comme DevSecOps. Celle-ci « permet aux femmes et aux hommes de la sécurité de revenir dans les équipes projets et de se faire entendre », souligne Benoît Fuzeau.

La sécurité commence dès le code

Pour que la transformation digitale ne devienne pas un vecteur d'insécurité majeur, les organisations françaises s'intéressent de plus en plus aux principes du Security By Design, qui se marient bien avec DevSecOps. Leurs départements de sécurité s'appuient par exemple sur les guides proposés par la fondation OWASP, qui permettent d'éviter des vulnérabilités classiques dans la conception des nouvelles applications. Pour diffuser ces pratiques auprès des équipes de développement, JCDecaux a choisi de désigner dans les équipes DevOps des champions de la sécurité, sensibilisés aux règles d'or précédemment décrites. « Ces champions sont les interlocuteurs privilégiés du département sécurité : ils relayent les actions, tiennent l'équipe de sécurité informée des nouveaux projets et testent les nouveaux outils », décrit Joy-Alexandra Denis, RSSI adjointe chez JCDecaux.

L'Open Source est une autre façon de répondre à ces préoccupations. « L'ouverture du code permet de normaliser les échanges de données et d'avoir une visibilité sur ces règles », une façon pour le général Bruno Poirier-Coutansais d'accroître la résilience et la sécurité des applications et des infrastructures utilisées.

Automatiser ce qui peut l'être

Les entreprises françaises, comme ailleurs dans le monde, doivent composer avec la pénurie de compétences en cybersécurité. Pour permettre aux équipes en place d'exploiter au mieux leur expertise, mais aussi de se dégager du temps pour monter en compétences, les organisations misent sur l'automatisation, aussi bien à l'aide d'outils du marché, propriétaires ou open source, que de solutions développées en interne. Le but : éliminer les tâches sans réelle valeur ajoutée, comme la collecte d'informations, le déploiement de patchs ou de mises à jour ou certains tests de sécurité. « Les procédures de mise à jour sont automatisées au maximum », témoigne ainsi le chef du ST(SI)². De son côté, VINCI Energies a développé des outils « pour centraliser l'analyse des messages suspects ou automatiser la déclaration de sites malveillants ». Enfin, chez JCDecaux, « l'objectif est d'intégrer la sécurité dans les pratiques quotidiennes, en s'appuyant sur l'automatisation ». Pour cela, l'entreprise s'appuie sur une solution d'analyse statique de code Open Source, paramétrée pour s'adapter à ses besoins, « qui permet d'identifier des bugs et des failles de sécurité en lisant le code », selon la RSSI adjointe.