Comment replacer l’humain au cœur de la sécurité ?

Pour son dîner intitulé « Au-delà des menaces et de la technologie, comment replacer l’humain au cœur de la sécurité ? », la rédaction d’Alliancy a accueilli une dizaine d’invités dans ses locaux pour échanger sur l’évolution de la sécurité vers un sujet métier. « Placer l’humain au centre est essentiel mais pour quel bénéfice ? », a demandé Sylvain Fievet, directeur de publication, avant d’aborder le changement de culture au sein des entreprises et la place de la donnée dans ce processus.

photos (c) Guillaume Ombreux

Éric Blanchot, DSI – Véolia Recyclage et Valorisation des déchets France

« La sécurité n’est pas un sujet technique réservé aux experts, elle fait partie de la vie de tous les jours. Quand on part en vacances, on ne laisse pas une pancarte sur sa porte indiquant l’emplacement des clés ! Alors en entreprise, on ne laisse pas des informations à la vue de tous. L’humain est, en ce sens, à la fois le poison et l’antidote. Il est donc nécessaire de responsabiliser les gens pour que les bonnes habitudes deviennent des acquis. Pour moi, la solution pour améliorer la sécurité est de l’associer à un sujet fondamental pour l’entreprise, chez Veolia nous l’avons lié à la sécurité physique. »

Bernard Cardebat, Directeur Cybersécurité – Enedis

« L’humain est à la fois une partie du problème et de sa solution. A date, les malveillants l’ont mieux intégré et ont pris l’avantage sur les défenseurs. Pour être efficaces, les nouvelles approches de sécurité intelligentes, ne peuvent plus se limiter à un empilement de couches technologiques. D’une manière générale, au lieu de culpabiliser les collaborateurs, il est préférable de comprendre leurs schémas mentaux, d’anticiper sur leurs réactions naturelles et de mettre en place des sécurités intelligentes qu’elles soient , passives ou actives. Ainsi, quand une personne reçoit un mail attractif, copie quasi conforme d’un email licite attendu, il est naturel et humain de l’ouvrir. La technologie doit alors prendre le relai en détectant, alertant et bloquant l’agression. Pour autant, le développement de la culture cybersécurité à l’échelle de l’entreprise, quel que soit le métier, le niveau de responsabilité et l’appétence aux technologies innovantes, demeure un enjeu primordial. Le développement de schémas mentaux adaptés à l’évolution du contexte d’emploi et de la menace peut redonner l’avantage au défenseur."

Mounir Chaabane, RSSI Consultant – Volkswagen

« Je constate lors de mes interventions en entreprise que de nombreux collaborateurs ne se posent généralement pas la question de la sécurité dans leur activité au quotidien. Il faut avouer que les outils ne sont pas forcément accessibles et qu’ils considèrent que ce n’est pas leur métier. Mais il faut arrêter de dire que les problèmes de sécurité ne concernent que la DSI car ils relèvent de l’informatique. Le thème doit aussi être mis aux mains de la DRH et du marketing. En 2018, une maturité numérique a été suffisamment acquise pour ne plus parler de sensibilisation et passer à l’étape supérieure. L’idée de tests serait une piste. Le TOEFL® par exemple est une initiative qui a été adoptée dans les écoles, ne pourrait-on pas imaginer un test similaire pour le monde numérique ? »

Nicolas Fischbach, Global CTO - Forcepoint

« L’humain joue un rôle essentiel dans la protection des données car il a un filtre supplémentaire dans l’analyse du contexte que la machine n’aura jamais. De son côté l’employeur doit contribuer à diminuer la friction autour des contrôles afin de favoriser la productivité. Et pour une entreprise, continuellement réévaluer la sensibilisation de ses collaborateurs est devenue une démarche de qualité qui finit par transformer les risques en profit »

Un dîner organisé en partenariat avec Forcepoint

Pour approfondir le sujet, nous vous invitons à télécharger l'ebook "RETHINKING DATA SECURITY WITH A RISK-ADAPTIVE APPROACH" en suivant ce lien

Chez Forcepoint nous développons le "Cybersecurity of One", un état d'esprit où pour protéger les informations et les individus il faut bien comprendre 2 facteurs :
- Usage de la data par les individus : comment, quand et pourquoi ils accèdent à cette data
- Les flux de données : où et quand les données sont censées voyager et comment elles sont traitées ou analysées.

Human Centric Cybersecurity
Notre mission est de réinventer la cybersécurité en créant des systèmes intransigeants qui comprennent les comportements et les motivations des individus qui interagissent avec les données partout dans le monde.

Pour plus d'informations, rendez-vous sur : https://www.forcepoint.com/

Nous remercions pour leur présence à ce dîner :

- Éric Blanchot, DSI – Veolia Recyclage et Valorisation des déchets France
- Bernard Cardebat, Directeur Cybersécurité – Enedis
- Mounir Chaabane, RSSI Consultant – Volkswagen
- Nicolas Fischbach, Global CTO - Forcepoint
- Emmanuel Hery, Responsable de pôle Sécurité et Audit, Groupe Randstad France
- Laurent Lecroq, Regional Sales Director - Forcepoint
- Marc Mencel, DSI – Nexter Group
- Stéphane Nappo, ‎Responsable Sécurité de la branche bancaire internationale d'un grand groupe Français
- Stéphane Tournadre, RSSI – Servier
- Sébastien Valsemey, Responsable de la Sécurité des Systèmes d'Information – Médiamétrie
- Nicolas Vielliard, RSSI NewCorp – Engie

Ce que la rédaction a retenu
Catherine Moal, Rédactrice en chef d'Alliancy :

1. Il ne faut pas confondre l’humain et l’individu. Ce qui est fondamental, c’est le schéma mental, les valeurs !
2. Les schémas mentaux évoluent, même s’il est « humain » de cliquer sur un mail du CE (qui cacherait un malware).
3. Aujourd’hui, la machine doit être à notre service et non plus l’inverse. Il faut l’apprentissage qui permet de passer des signaux aux réflexes.
4. On fait des formations en parlant de la sécurité à la maison, en parlant aux collaborateurs des risques pour leurs enfants.
5. L’intimité numérique doit se comprendre au même niveau que l’intimité physique
6. Il faut enlever le sujet des mains de la DSI et le mettre à la DRH ou à la communication
7. Le sujet de la sécurité doit remonter au Comex et disposer d’un RSSI influenceur
8. Le RSSI peut et doit s’adresser à l’ensemble des collaborateurs. Il doit faire passer la sécurité comme un enjeu business
9. Quand la culture cyber irrigue une entreprise, le Comex demande des métriques. Au RSSI de rendre des comptes sur le niveau de sécurité.
10. L’humain est le plus gros problème en matière de sécurité, mais le plus petit investissement. Il ne faut pourtant pas se priver de ce facteur de sécurité.
11. On ne pourra pas courir derrière la technologie. Il faut se protéger en surveillant les comportements. Leur analyse peut diminuer les risques.
12. L’humain fait partie de la chaine de valeur. On va vers la personnalisation de la sécurité. Il faut s’adapter aux différents profils.

Nicolas Vielliard, RSSI NewCorp – Engie

« Je ne suis pas là pour transformer les collaborateurs en experts de la sécurité. Ils ont néanmoins un regard que l’on n’a pas, et ce sont eux en première ligne de certaines attaques. Quand ils reçoivent un email étrange, il faut qu’ils en soient conscients et qu’ils nous remontent l’information. Nous avons ainsi développé, en interne, un outil permettant à chacun d’avoir une idée du niveau de sensibilité d’une donnée, mais aussi un jeu pour les sensibiliser au sujet. À mes yeux, il n’y a que l’humain qui soit capable de résoudre certains problèmes de sécurité, et c'est sur lui qu'il est indispensable de s'appuyer. »

Retour sur le dîner de la rédaction du 12 avril 2018 : Comment dépasser la sensibilisation traditionnelle pour favoriser l’émergence d’une véritable « culture sécurité » dans l’entreprise ? Comment faire en sorte que la cybersécurité soit vue comme une alliée par les collaborateurs, plutôt qu’une souffrance impliquant de contourner les règles ? Comment éviter que l’impératif de compréhension du comportement des utilisateurs soit assimilé à de la surveillance ?

Un dîner organisé avec le soutien de Forcepoint

Cookie	Durée	Description
mautic_device_id	1 year	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing. Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id	30 minutes	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie permet de connaître l’origine du visiteur.
mtc_id	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session

Cookie	Durée	Description
YSC	session	Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview	10 minutes	Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat	1 minute	Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
ARRAffinitySameSite	session	No description
attribution_user_id	1 year	No description
cg_uuid	1 year	Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
cilSessionId_e6aa0e1dbf	1 day	No description
cilSessionId_efcc418067	1 day	No description
cilSessionId_ffd7baf9a1	1 day	No description
cookielawinfo-checkbox-others	1 year	No description
PagePeeker		No description
recs_17b347eba0c893c4ff49a469be629e65	past	No description
scid	past	No description
sdx	past	No description
su_sdx	past	No description
su_sid	past	No description
su_user_id	past	No description
thirdparty	1 hour	No description
ubpv	6 months 1 day	No description
ubrs		No description
ubvs	5 months 27 days	No description
ubvt	3 days	No description
UID	2 years	No description

Les rubriques

Alliancy Connect

Contenu

Comment replacer l’humain au cœur de la sécurité ?

Les Dîners de la rédaction