[Brief Cybersécurité] Comment sensibilisez-vous vos dirigeants aux enjeux de cybersécurité ?

Brief de la rédaction Cybersécurité du 15 octobre 2015

"Légitimité, risques, coûts : comment sensibiliser ses dirigeants aux enjeux de cybersécurité ?"

Les problématiques de cybersécurité se diffusent auprès du grand public. Et pour cause, les faits de cybercriminalités intéressent de plus en plus les médias, y compris nationaux. Du « piratage » de sa carte bancaire ou de sa boite mail personnelle, jusqu’aux fausses factures infectées en pièce-jointes d’e-mails professionnels, l’individu se retrouve en première ligne en matière de cybersécurité. A ce titre, les dirigeants d’entreprises sont des individus (presque) comme les autres, pourtant ils ont longtemps été dissuadés de s’intéresser au sujet, vu comme trop technique et complexe. Avec à la clé, un risque accru pour l’entreprise car comment faire naître une culture de la sécurité numérique dans l’entreprise si le top management ne donne pas le bon exemple ?

Le responsable de la sécurité du système d’information peut-il faire changer cela ? Voici l’une des questions qui s’est posée lorsque la rédaction d’Alliancy, le mag a réuni dans ses locaux des représentants de la profession pour discuter du rapport entre les dirigeants et la sécurité numérique. Effets de l’actualité, place dans l’organigramme, coopération avec le DSI, enjeux de « style » de discours et équilibre entre responsabilisation et sanction, ont été au cœur de ces échanges.

Nous avons réunis là quelques-unes des observations des invités de la rédaction et des partenaires qui ont rendu possibles cette discussion.

Photos : Charlie Perreau - @CharliePERREAU

Sandro Lancrin, RSSI de Radio France

« L’actualité a été très forte cette année pour un média. Les attentats de Paris de début janvier ont alerté nos dirigeants sur les enjeux de sécurité physique... l’attaque sur TV5 Monde en avril leur a montré que les mises en garde sur les risques cyber, sur la perte de contrôle sur le système d’information, étaient également bien réelles. En parallèle, mon poste a gagné en transversalité à la faveur de notre réorganisation interne en 2013. J’ai donc acquis plus de légitimité ces dernières années, mais le sujet reste délicat. L’argument financier, du ROI, est difficile à utiliser dans le cadre d’une structure publique. Par contre, le rapport à la loi fonctionne. Les pénalités juridiques, voire les conséquences pénales, peuvent avoir une influence forte sur les managers et les dirigeants, même s’il restera toujours des personnes pour ne pas se sentir concernées. »

Jean-François Louâpre, vice-président du CESIN, RSSI de CNP Assurances

« La place du RSSI dans l’entreprise et le poids relatif du budget sécurité font débat depuis que le poste existe. Mais quels que soient les choix faits par l’entreprise, la sensibilisation, et tout particulièrement celle du top management, sont les facteurs clé d’une démarche de sécurité. Rappeler aux dirigeants que la protection des données de l’entreprise et de ses clients n’est pas un sujet technique mais relève de la gestion de risques est vital. Une intervention externe, telles celles proposées par la DGSI ou l’ANSSI peuvent aider à faire passer le message auprès d’un COMEX. D’autres modes d’intervention permettent également de « faire son effet », il faudra trouver celui le plus adapté à l’entreprise, à son contexte, à sa culture et à la réceptivité de ses dirigeants »

Jean-Claude Laroche, DSI d’EDF – Administrateur du CIGREF

« Avant d’être DSI du groupe EDF, j’ai été simultanément DSI et DRH d’une de nos directions : cette association est très intéressante et bien moins incongrue qu’il n’y paraît, notamment lorsqu’il s’agit d’aborder les questions de sécurité. L’homme, ses habitudes, sa façon de voir le changement sont en effet au cœur du sujet au moment où nos entreprises opèrent leur transformation numérique. Le système d’information n’est pas une entité abstraite à protéger, Il en va en réalité de la responsabilité des utilisateurs, à tous les niveaux.
Cette importance de l’individu et de son comportement est au premier plan. C’est d’ailleurs l’une des raisons pour laquelle le CIGREF a lancé la «Hack Academy, une campagne de sensibilisation du grand public », sur une tonalité ludique et humoristique, mais avec un objectif de marquer les esprits sur les gestes de base à accomplir… ce qui vaut aussi pour les collaborateurs dans les entreprises. »

Loïc Guézo, Evangéliste sécurité de l’information pour l’Europe du Sud, Trend Micro

« L’individu est clairement la cible dans l’entreprise. C’est à son niveau que se joue l’intégration d’une culture cyber… qu’il soit dirigeant ou simple collaborateur. Aujourd’hui, on voit des entrées dans le système d’information se faire sans aucune subtilité. Les attaquants insistent à outrance sur quelques personnes dans l’organigramme, en multipliant spam, phishing, social engineering… Au bout d’un moment, ils parviennent à entrer : il ne suffit que d’une fois, d’un moment d’inattention pour permettre la première étape d’une propagation bien plus importante. Que l’on soit directeur général ou secrétaire, la menace est là. Communiquer, éviter la centralisation à l’excès, favoriser une vision globale, est donc plus que jamais important. La médiatisation du sujet cybersécurité est l’occasion de faire passer ces messages clés au plus haut niveau. »

Benoit Grunemwald, directeur commercial et marketing ESET France

« Les principaux évènements de cybersécurité : conférences, salons, ... sont très bien pour se projeter, prendre du recul sur l’état global de la menace et l'avenir… mais il ne faut pas sous-estimer le caractère très opérationnel, concret, et tous les tracas du quotidien, qui constituent le travail d’un RSSI. C’est un des aspects qui rend difficile la discussion avec le top management et le dirigeant. La capacité à faire le lien entre les grandes orientations, le discours stratégique, les menaces sur les aspects business, et le fait d’écoper, d’évaluer les rustines et les faiblesses au jour le jour, est critique pour parvenir à diffuser plus largement une culture de la sécurité au-delà des experts. Cela fait des années que l’on dit qu’il faut éduquer, éduquer et encore éduquer les collaborateurs, et les changements d’usages sont très lents… Alors, peut-être qu’à l’avenir, comme l’ANSSI l’a souligné concernant les PME, le Cloud aidera en faisant un peu moins reposer sur les épaules des individus cette charge de la sécurité. »

Quelques enseignements de cette rencontre

Malgré certains effets de bords, notamment le fait de se concentrer potentiellement sur des problèmes de « niches », la médiatisation des affaires de cybercriminalité facilite les prises de conscience, notamment parmi les personnes ayant de fortes responsabilités.
Rattaché pour environ 60% d’entre eux au DSI, plutôt qu’à une direction du risque, de la sureté ou même à la direction générale, il apparaît malgré tout que la position du RSSI dans l’entreprise est sans doute moins importante que sa façon de présenter les problématiques, d’adapter son discours et sa tactique de sensibilisation selon ses interlocuteurs, afin de se départir de son étiquette de pur technicien.

En l’occurrence, travailler sur le lien entre DSI et RSSI parait fondamental pour que le sujet cybersécurité soit inclus plus intuitivement dans la transformation numérique progressive de l’entreprise et de ses services, au cœur des enjeux actuels pour la DSI qui cherche elle-aussi à changer son rôle dans l'organisation.

La responsabilisation par la sanction, notamment telle que prônée récemment par Paul Beckman, CISO du Departement of Homeland Security américain, bien que d’apparence séduisante parait difficile à mettre en place et à faire correspondre à la culture d’entreprise française. De plus la soumission du dirigeant à de telle pratique est par nature problématique.

Pourtant, la responsabilisation est le pendant naturel de la sensibilisation, notamment quand les approches à base de calcul économique (protéger pour éviter potentiellement de perdre beaucoup) ne font pas florès dans l’entreprise. A ce titre, la mise en avant des risques juridiques, de la responsabilité civile, voire pénale, du dirigeant en cas de sécurisation insuffisante de son entreprise est un levier fort. Le sujet de la divulgation des données personnelles/clients se retrouve là souvent au cœur de l’argumentation.

Une rencontre organisée en partenariat avec :

bandeau-partenaires-brief

Pour télécharger une sélection de nos meilleurs contenus sur la cybersécurité, cliquez ici.

Le brief de la rédaction cybersécurité, une rencontre organisée en partenariat avec :

Le CESIN, club des experts de la sécurité de l’information et du numérique permet de favoriser les échanges entre experts et pouvoirs publics afin d’accompagner les évolutions réglementaires. Il offre un lieu d’échange, de partage d’expérience et de coopération aux experts de la sécurité de l’information et du numérique.

Une rencontre organisée avec le soutien de :

Trend Micro

Trend Micro a pour mission de sécuriser les échanges d’informations numériques. Se fondant sur 26 ans d’expérience, l’entreprise propose des technologies innovantes à destination du grand public, des professionnels et des institutions gouvernementales. Simples à déployer et à gérer, les solutions Trend Micro s’adaptent à un environnement évolutif et permettent de protéger les informations sur les équipements mobiles, les Endpoints, les passerelles, les serveurs et le Cloud. www.trendmicro.fr

ESET

ESET, 5ème éditeur mondial de solutions de cybersécurité est spécialisé dans la conception et le développement de logiciels de sécurité informatique.

Pionnier en matière de détection proactive des menaces, ESET met l’accent depuis 25 ans sur la protection de plus de 100 millions d’utilisateurs actifs à travers le monde sans altérer leur productivité grâce à un moteur antivirus maintes fois primé pour son efficacité et sa légèreté. www.eset.com/fr/business

Check Point Software Technologies Ltd.

« Check Point Software Technologies Ltd, le leader mondial dédié à la sécurité, propose des solutions de pointe qui protègent les entreprises des cyberattaques, avec un taux de blocage inégalé des logiciels malveillants et autres types d’attaques. Check Point propose une architecture de sécurité complète qui défend les réseaux des entreprises et les appareils mobiles, ainsi que l’administration de la sécurité la plus complète et la plus intuitive. Check Point protège plus de 100 000 entreprises de toute taille.» www.checkpoint.com

Photos : Charlie Perreau – @CharliePERREAU

Cookie	Durée	Description
mautic_device_id	1 year	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing. Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id	30 minutes	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie permet de connaître l’origine du visiteur.
mtc_id	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session

Cookie	Durée	Description
YSC	session	Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview	10 minutes	Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat	1 minute	Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
ARRAffinitySameSite	session	No description
attribution_user_id	1 year	No description
cg_uuid	1 year	Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
cilSessionId_e6aa0e1dbf	1 day	No description
cilSessionId_efcc418067	1 day	No description
cilSessionId_ffd7baf9a1	1 day	No description
cookielawinfo-checkbox-others	1 year	No description
PagePeeker		No description
recs_17b347eba0c893c4ff49a469be629e65	past	No description
scid	past	No description
sdx	past	No description
su_sdx	past	No description
su_sid	past	No description
su_user_id	past	No description
thirdparty	1 hour	No description
ubpv	6 months 1 day	No description
ubrs		No description
ubvs	5 months 27 days	No description
ubvt	3 days	No description
UID	2 years	No description

Les rubriques

Alliancy Connect

Contenu

[Brief Cybersécurité] Comment sensibilisez-vous vos dirigeants aux enjeux de cybersécurité ?

Les Briefs de la rédaction