A quel point le terme accrocheur de « security by design » relève-t-il d’une réalité concrète dans les organisations ? C’est la question dont ont débattu les chief information security officers d’une quinzaine d’entreprises, réunis au sein de la rédaction d’Alliancy pour ce diner-débat estival. En témoignant de leurs expériences sur le sujet ces dernières années, ces acteurs clés de la transformation numériques ont pu pointer les accélérateurs et les points de blocages, à la fois organisationnels et techniques, que tout dirigeant se doit d’avoir bien identifié face aux enjeux actuels de la cybersécurité.
Photos : Guillaume Ombreux
Sylvain Fievet, directeur de publication d’Alliancy, a introduit les échanges en rappelant l’importance prise par la sécurité numérique dans la transformation actuelle des entreprises. « Quand tout le business devient numérique, la nécessité de faire de la « security by design » devient enfin une priorité qui a du sens pour les dirigeants d’entreprise » a-t-il rappelé.
« L’ouverture de plus en plus importante des entreprises sur leurs écosystèmes, la plateformisation, la montée en puissance des services cloud ou encore les nouveaux modes de fonctionnement des DSI… ces changements structurants que les entreprises vivent aujourd’hui apparaissent-ils plutôt comme des risques ou des opportunités pour avoir une sécurité dynamique ? » a également interrogé Dorian Marcellin, journaliste pour Alliancy.
Kevin Heydon, Chief Information Security Officer du Groupe L'Occitane
« "Security by design", cela commence par des équipes qui se posent les bonnes questions en amont. Au sein du Groupe, la formulation « Secure enough » commence à bien faire son chemin. Les product owners et les directeurs métiers se rendent progressivement compte que la clé réside dans l’équilibre : quels risques identifions-nous, quelle est notre appétence ou notre tolérance à ce risque ?
Infosec n’impose pas ce que veut dire « enough », nous imposons juste que le métier se pose la question avec l’IT, et arbitre ! D’ailleurs, les squads et l’agilité, dont le fonctionnement est bien plus cadré qu’il n’y paraît – souvent militaire – sont une excellente opportunité pour trouver ce bon niveau de sécurité : des équipes mixtes business et IT qui réfléchissent et travaillent ensemble au quotidien, des Tech Leads avec un haut niveau de compétence technique, une exigence élevée de qualité sur chaque sprint, la chasse à la dette technique… c’est clairement le terreau rêvé pour une sécurité de l’information concrète et orientée métier ! »
Sebastien Pinguet, Responsable Sécurité de l’Information - Direction Produits et Plateformes de Services de Bouygues Telecom
« Aujourd’hui le métier de RSSI se compose de multiples facettes. Aussi la notion de « Security by design » doit-elle nécessairement être adaptée au contexte métier de l’entreprise ; les enjeux de sécurité et les risques étant différents dans l’univers bancaire, celui de l’industrie ou encore celui des télécommunications. Le dénominateur commun aux différentes missions du RSSI est de faire en sorte que l’entreprise s’adapte et s’organise autour de ses propres enjeux de sécurité, souvent dans une organisation en constante mutation.
Et pour se placer au bon niveau de discours et d’actions, le RSSI doit apprendre à ne plus craindre les incidents de sécurité : son rôle est de préparer l’entreprise à y réagir avec agilité. C’est cette capacité à réagir qui va accroitre la résilience de l’entreprise en complément des dispositifs de prévention et de détection de la menace. »
Stéphane Tournadre, RSSI des Laboratoires Servier
« Un de nos points d’attention très particulier en matière de security by design est celui de sélection des start-up. Notre secteur est dans un contexte très dynamique : les laboratoires cherchent les meilleures innovations et il y a de nombreuses pépites. Mais il est essentiel de vérifier que nous ne faisons pas une mauvaise affaire sur le long terme, en matière de sécurité et de protection des données. Notre objectif est donc de sécuriser dès l’origine les nouvelles valeurs de notre activité, tout en évitant les efforts inutiles sur un legacy qui aura toujours ses défauts.»
Eric Vautier, RSSI du Groupe ADP
« La spécificité de notre activité est de s’appuyer sur énormément de systèmes industriels. L'histoire de l'industrie et celle d'ADP ont fait que chaque terminal d’aéroport a de facto sa propre informatique industrielle et son propre écosystème. Nous apportons donc une attention particulière aux nouveaux projets.
Un cas emblématique de sécurisation « by design » est celui du trieur bagages du bâtiment de jonction, qui relie les anciens terminaux d'Orly Ouest et d'Orly Sud. Nous avons su apporter le bon argumentaire au bon interlocuteur au bon moment. La clé pour créer une dynamique de sécurité fut d'exposer en amont la cybersécurité dans le langage des décideurs, en la reliant aux impacts sur les opérations aéroportuaires, et en aval, dans celui des équipes de réalisation, en l'intégrant comme une tâche du projet.»
Sylvain Thiry, Group IT Infrastructure CISO, Société Générale
« L’un des pièges de la terminologie sécurité by design est qu’elle laisse l’impression qu’il est possible de prévenir de façon absolue les problèmes. Il est bien entendu important de penser la sécurité dès l’origine des projets, mais nous devons aussi nous mettre dans une posture de résilience by design en ayant l’humilité de reconnaître que nos entreprises sont toutes faillibles.
Au-delà des mots à la mode, faits pour être mis sur de belles plaquettes, notre défi est surtout celui de la dimension humaine de la sécurité. Un secteur comme le nôtre consacre évidemment des moyens importants à la cybersécurité, mais la réalité est que les moyens humains, les talents vraiment capables d’intégrer un fonctionnement DevSecOps par exemple, sont rares et difficiles à fidéliser. Nous avons recruté 100 personnes en une année : pour y parvenir la promesse et le travail d’attractivité doivent être très forts.»
Florence Esselin, conseiller expert numérique et cybersécurité, adjointe au chef de la mission numérique de la gendarmerie nationale, cabinet du directeur général de la gendarmerie nationale.
« De nombreuses organisations remettent au cœur de leurs préoccupations le sujet de la sécurité by design : il est donc important de faire connaître qu’il y a déjà des exemples de réussite et des modèles éprouvés !
La gendarmerie a fait par le passé des choix stratégiques pertinents qui apportent toujours sécurité et résilience – comme le modèle d’architecture du poste de travail Linux Gendbuntu, qui depuis dix ans, tout en évoluant, garantit un parc homogène et systématiquement à jour. La transformation numérique de la gendarmerie peut compter sur un fort investissement de ses effectifs actifs et de réserve dans la sécurité du numérique.
Dans des contextes où les ressources sont très contraintes et l’expertise rare, il est impératif d’être agile et de rechercher la simplicité pour faire participer le plus d’acteurs possible à l’effort de sécurité. Des méthodes comme Ebios Risk Manager peuvent être d’excellents moyens pour impliquer dès la conception des acteurs comme des chefs de projet fonctionnel ou des utilisateurs avertis. La confiance en l’humain dans une organisation dont les agents se sentent impliqués est une des clés de la résilience.»
Jacky Galicher, DSI et RSSI de l'Académie de Versailles
« Au sein de l’Académie de Versailles, ce sont 130 000 tablettes pour les lycéens qui seront mises à disposition des lycées et 50 000 pour les collégiens afin de favoriser l’apprentissage. L’enjeu de protection, avant même que l’outil soit entre les mains de l’élève, est très important, mais c’est aussi un sujet politique, auquel les parents d’élèves et les élus sont extrêmement attentifs.
L’Education Nationale n’est pas une entreprise et malgré les risques, alors que près d’une attaque sur trois dans le monde vise un élève, la question de la sécurité - fut-elle « by design » - est souvent vu comme une entorse au principe de liberté. Dans ce contexte, le fait de cumuler comme je le fais les responsabilités de DSI et de RSSI est une force, pour permettre de lier le sujet aux investissements réalisés et garantir l’objectif de transparence.»
Thuyen Pham, RSSI du Groupe Barriere
« Le groupe Barrière a entamé sa transformation il y a un peu plus de 18 mois. Dans ce contexte, il est valorisant de voir que la majorité des 7000 collaborateurs en viennent à se poser d’eux-mêmes la question de la sécurité des nouvelles pratiques et des nouveaux outils. Le fait qu’ils se tournent proactivement vers le RSSI fait aussi partie de cette culture de sécurité by design qui doit être généralisée. C’est un enjeu de mindset et de confiance, mais aussi de clarté : je vois à quel point le terme « agilité » peut être galvaudé au sein des projets. Tout le monde en parle mais personne n’entend exactement le même sens dans le détail. C’est définitivement problématique alors que la sécurité se transforment elle-même pour s’insérer dans ces pratiques agiles. »
Colonel Eric Alardet, Sous-directeur de la Sécurité Numérique du Ministère de la Défense
« Le ministère regroupe près de 2000 systèmes d’information différents et par nature, c’est une cible majeure d’attaque. En effet, nous représentons fortement l’image de la France et sa crédibilité. Dans ce contexte, nous n’avons pas à faire à une simple concurrence, mais à des adversaires organisés aux compétences parfois étatiques. Notre mission régalienne fait que le sujet de la cybersécurité est évidemment servi par des moyens adéquats et profite d’une culture de la gestion des risques permanente. Deux défis persistent : la transformation autour de fonctionnement en mode agile au sein des équipes et les enjeux de recrutement. Quand on entend les difficultés RH auxquelles sont confrontées des grandes entreprises, en termes de niveaux de salaires et de turnovers, nous comprenons bien que le sujet déjà très préoccupant va être exacerbé pour nous dans les années à venir. Et cela, même si nous entretenons d’excellents liens avec les écoles et leurs étudiants et que nos métiers s’appuient sur de véritables vocations à servir son pays.»
Gérard Leymarie, Group Chief Information Security Officer d'ELIOR group
« Le groupe Elior est le 4e employeur de l’Hexagone. Nous nourrissons 5 millions de personnes chaque jour et en conséquence, nous sommes devenus un opérateur de services essentiels (OSE) du point de vue de l’Etat pour donner suite à l’entrée dans le droit français de la directive NIS.
Après 11 années dans le privé puis 8 années passées au sein de l’Anssi, je suis revenu depuis plus d’un an dans le secteur privé et je constate que les mentalités sur la sécurité sont encore trop souvent arc-boutées sur des faux-combats. Par exemple, il faut solder le sujet du legacy : il y en aura toujours dans les entreprises et tout ce que nous créons aujourd’hui sera en toute logique le legacy de demain, même s’il sera différent, notamment sous l’influence de l’Internet of Things.
En tant que RSSI nous devons accepter cette réalité et changer nos fonctionnements. En effet, si nous convergeons tous vers l’importance de l’éducation et de l’acculturation à la sécurité, je pense que nous ne parlons pas encore le même langage entre nous et avec le reste de l’entreprise. Ce fossé risque de se creuser alors que nos organisations attirent des jeunes talents qui travaillent sur des technologies que nous ne connaissons même pas et qui, de leur côté, n’ont absolument pas en tête ce que peut être une PSSI ! »
Alain Bouillé, Vice-Président du CESIN
« La vie des RSSI s’est prodigieusement complexifiée en quelques années. Par le passé, le prisme de lecture était assez simple, avec un interlocuteur souvent unique en la personne du DSI. Mais la montée en puissance du digital, souvent incarné par un CDO qui est devient de fait un « presque » deuxième DSI, a ajouté un nouvel univers. Celui-ci livre les projets certes plus vite, mais on se rend compte que cela se fait souvent en dépit de toute préoccupation de sécurité, là où cela devrait être justement l’occasion inverse.
Entre les deux univers, lorsqu’ils ne sont pas regroupés sous la seule houlette du DSI, c’est souvent un dialogue de façade qui s’est établi, l’un se sentant dépossédé d’une partie plus ou moins importante de ses prérogatives tandis que l’autre trouvant que « l’ancien monde » ne va jamais assez vite à son gout. Le RSSI se retrouve du coup balloté entre les deux univers avec des démarches forcément très agiles d’un côté et plus traditionnelles de l’autre. Pour s’en sortir, celui-ci a besoin de pouvoir prioriser, d’accéder à de nouveaux indicateurs, de de développer son agilité dans l’acquisition de solutions innovantes. Et il doit apprendre tout aussi agilement s’en séparer le cas échéant pour éviter les accumulations de technologies sans aucun sens.
Car dans ce domaine les choses se sont éminemment compliquées avec une sécurité qui est devenue hybride : celle du legacy qu’il faut maintenir coute que coute, celle des services du cloud que vous payez dans les droits d’usage que vous vous en serviez ou non et celle que vous devez acquérir pour vous protéger des risques que vous n’aviez pas quand vous étiez on premises. De beaux jours en perspective pour les éditeurs de solution de sécurité ! »
Pierre Ardichvili, Network and Security Sales Director, Southern Europe, VMware
Comment résumer ce qui fait la sécurité by design ? Pierre Ardichvili, Network and Security Sales Director, Southern Europe de VMware a partagé sa vision : « A l’heure où l’un des principaux axes de transformation des entreprises réside dans le déploiement de nouvelles applications, la sécurité doit être pensée au bon niveau et être résolument dynamique, adaptative. En la matière, il lui faut donc plusieurs caractéristiques complémentaires : d’abord, qu’elle permette de réduire au maximum la surface d’attaque (en allant jusqu’au container ou à la VM si nécessaire). Également avoir la compréhension du fonctionnement et des interactions des applications elles-mêmes et de leurs composants (par exemple : les microservices), pour protéger « à la source » ; ensuite, une obligation de proactivité qui peut être atteinte en se concentrant par exemple sur les comportements attendus de l’application (et agir de façon appropriée si on observe une déviation par rapport à ce comportement), et enfin une volonté d’aborder le sujet dès le départ du projet et non une fois l’application déployée. »
Eric Marin, directeur technique de VMware France
Eric Marin, directeur technique de VMware France a complété : « Dans cet optique, un des axes principaux est la capacité de collaboration des acteurs de la sécurité dans une logique de DevSecOps. Or, quand on échange avec des grandes entreprises, on se rend compte qu’elles mettent surtout en avant le fait d’avoir déjà plusieurs dizaines de solutions de sécurité… Et on doit donc s’interroger : n’est-ce pas se tromper de combat que de mener cette course à l’armement ? »
Un dîner organisé avec le soutien de VMware et Intel
VMware, leader mondial des infrastructures de virtualisation et de cloud, propose des solutions logicielles aux entreprises pour entrer pleinement dans l’ère du cloud. Les clients s’appuient sur VMware pour changer la façon dont ils conçoivent, livrent et consomment les ressources informatiques selon leurs besoins spécifiques et de façon évolutive.
Pour en savoir plus : https://www.vmware.com/fr.html et www.intel.fr
Nous remercions nos invités pour leur présence à ce dîner-débat et pour s’être prêtés au jeu des échanges et du partage, ainsi que nos partenaires : VMWare et Intel, qui ont permis l’organisation de ce dîner.
En écho à son crédo « travailler ensemble pour innover plus vite », la rédaction d'Alliancy a créé les diners de la rédaction. Ce sont des soirées d’échanges, de débats et de prospectives qui réunissent 10 à 15 invités, les dirigeants qui construisent, jour après jour, la révolution numérique de leur entreprise. L’objectif : se rencontrer, partager ses problématiques, s’inspirer et réfléchir ensemble aux grands défis auxquels ils font face.
Retour sur le dîner de la rédaction du 2 juillet : « Security by design : comment les organisations dépassent les blocages organisationnels et techniques ? »
Le fait de parler de sécurité dès la conception des projets ne suffit cependant pas pour la mettre en œuvre. Il existe en effet des blocages profonds, organisationnels et techniques, qui laissent de nombreuses entreprises au stade des bonnes intentions. En effet, la « Security by design » n’existe pas dans une bulle, surtout alors que les services et systèmes d’information concernés évoluent dans un contexte de transformation mouvementée et d’environnements plus ouverts et fluides.
Un dîner organisé en partenariat avec VMware et Intel
VMware, leader mondial des infrastructures de virtualisation et de cloud, propose des solutions logicielles aux entreprises pour entrer pleinement dans l’ère du cloud. Les clients s’appuient sur VMware pour changer la façon dont ils conçoivent, livrent et consomment les ressources informatiques selon leurs besoins spécifiques et de façon évolutive..
Pour en savoir plus : https://www.vmware.com/fr.html / www.intel.fr