16/11 – Workshop « Coopération CIO-CISO »

Peut-on éviter de retourner aux vieux réflexes de la confrontation entre DSI et RSSI ? Après des années de remise en question, les organisations qui ne jurent plus que par la sécurité par design et la résilience numérique, doivent s’assurer d’inscrire la relation entre ces deux acteurs clés dans une forme de pérennité.

En effet, avec les transformations de l’agilité, la virtualisation, la cloudification… la production informatique dans les entreprises a fait sa mue. Intégrer le facteur sécurité est une question transverse, loin d’être seulement technologique. L’intégration se pense au niveau des solutions, du réseau, mais aussi de la culture de l’entreprise. Et sur ce dernier point, le duo DSI-RSSI est forcément au centre du jeu… à condition que le comité exécutif soit convaincu que des objectifs communs et une évolution de la gouvernance sont de nature à changer la donne.

A l’occasion du workshop Alliancy « Les défis d’un nouveau monde » organisé en partenariat avec Verizon, nos invités, DSI et RSSI ont témoigné entre-autre, de la relation concrète CIO-CISO dans leur entreprise et de l’utilité d’une possible intégration du RSSI dans la DSI : quelles sont les pratiques, les choix organisationnels et les nouveaux partis-pris qui assurent une bonne coopération DSI-RSSI à l’ère du DevOps et du cloud ? Qu’est-ce qui permet à cette coopération de survivre aux nouvelles réalités du SI, du réseau et des innovations technologiques dont l’entreprise s’empare ?

Rony Bejjani, Group CIO – Akka Technologies

« Le RSSI monte en puissance dans les entreprises, comme une chrysalide qui se transforme en papillon ou un « Mister No » qui devient « business enabler ». Le tandem qu’il forme avec les directeurs des systèmes d’information permet d’atteindre les objectifs globaux de la DSI. »

Stéphane Gérome, Directeur de la Gouvernance DSI – Carrefour

« La thématique sécurité monte en puissance chez Carrefour depuis plus de 10 ans. Dans le même temps, nous assistons à une prise de conscience de la diversification des risques (intrusions pour malveillance - ramsomwares, dénis de service, vol de données internes, vol de données de nos clients...). Dans l'évaluation des risques cyber, les enjeux de pertes financières directes sont désormais combinés avec les risques réputationnels. Le niveau de maturité au sein de l'Entreprise permet à la DSI de maintenir voire accroître son niveau d'investissement dans le domaine de la cyber sécurité, avec un niveau de justification raisonnable et raisonné... »

Stephane Czernik, Deputy CISO – IPSEN

« Depuis un an et demi, nous sommes détachés de la DSI et nous reportons au département Risques. Nous disposons donc d’une totale indépendance, mais nous travaillons en étroite collaboration avec le DSI. Le RSSI aide le DSI à obtenir des budgets supplémentaires quand c’est nécessaire. Il est aussi le responsable de la sécurité physique. »

Frédéric Novello, DSI – SNCF Transilien

« Nous disposons de plusieurs RSSI dans le groupe et nous mettons particulièrement l’accent sur la définition et le déploiement d’une gouvernance globale, transversale à toute l’organisation afin de s’assurer qu’une intrusion dans le SI d’une société ne se propage à l’ensemble. »

Marc Chousterman, Principal Cybersecurity Architect – Verizon

« Un time-to-market tendu peut être à l’origine de développements accélérés oublieux des bonnes pratiques de sécurité. L’action de la RSSI peut alors générer des frictions avec la DSI. Mais la prise de conscience des Comex tend progressivement à gommer ces antagonismes. »

Nous remercions nos invités pour leur présence à cet échange et pour s’être prêtés au jeu du partage, ainsi que notre partenaire, qui a permis son organisation.

Une rencontre organisée avec le soutien de Verizon :

Verizon est l’un des principaux fournisseurs mondiaux de solutions de Communications. Nous associons notre expertise à l’un des réseaux IP offrant le plus de connexions dans le monde pour fournir des solutions largement primées dans le domaine des communications d’entreprises, de l’infogérance, de la sécurité des informations et des réseaux. Les solutions de Verizon adaptées à tous les secteurs de l’industrie, sont basées sur des plateformes sécurisées de mobilité, de Cloud, de réseautage stratégique, d’Internet des objets et de Communications Avancées, permettant de multiplier les potentiels d’innovation, d’investissement et de modernisation commerciale, pour accompagner les entreprises dans leur Transformation Digitale. enterprise.verizon.com/fr-fr/

Peut-on éviter de retourner aux vieux réflexes de la confrontation entre DSI et RSSI dans les entreprises ? Après des années de remise en question, les organisations qui ne jurent plus que par la sécurité par design et la résilience numérique, doivent s’assurer d’inscrire la relation entre ces deux acteurs clés dans une forme de pérennité.

En effet, avec les transformations de l’agilité, la virtualisation, la cloudification… la production informatique dans les entreprises a de toute façon fait sa mue. Il suffit de regarder aujourd’hui, les vitesses de développement visées par les organisations (qu’elles se dotent ou non de digital factories) et le changement de périmètre majeur qui étend leur SI à une partie d’internet, pour se rendre compte que cette mue doit absolument intégrer le facteur sécurité. Les experts bénéficient d’ailleurs aujourd’hui de plus de recul sur le sujet et ont fait émerger des modèles, à l’image du Secure Access Service Edge (SASE) défini par Gartner en 2019, qui prennent en compte cette intégration différente de la sécurité.

En la matière, la maturité reste variable. Et d’un appel d’offre à un autre, on voit régulièrement un retour aux pratiques du passé, qui font de la sécurité le nice-to-have ajouté au forceps, au dernier moment… Surtout quand le sujet du réseau entre dans la boucle et qu’il faut faire « plus efficace pour moins cher » !
Or, intégrer le facteur sécurité est une question transverse, loin d’être seulement technologique. L’intégration se pense au niveau des solutions, du réseau, mais aussi de la culture de l’entreprise. Et sur ce dernier point, le duo DSI-RSSI est forcément au centre du jeu… à condition que le comité exécutif soit convaincu que des objectifs communs et une évolution de la gouvernance sont de nature à changer la donne.

Avec ce nouveau workshop, Alliancy et son partenaire Verizon, proposent aux DSI de témoigner de la transformation de leur posture sécurité et de leur relation avec les RSSI.

Quelles sont les pratiques, les choix organisationnels et les nouveaux partis-pris qui assurent une bonne coopération DSI-RSSI à l’ère du DevOps et du cloud ?
Qu’est-ce qui permet à cette coopération de survivre aux nouvelles réalités du SI, du réseau et des innovations technologiques dont l’entreprise s’empare ?

Cet échange a permis de coconstruire une synthèse mettant en avant les pratiques les plus efficaces et les challenges à relever, qui sera publiée dans un guide dédié.

Un échange du cycle “SI et transformation”

————
A qui s’adresse cette rencontre :

Cet échange s’adresse aux DSI et RSSI des grandes entreprises.

———–
Un workshop organisé en partenariat avec

Verizon est l’un des principaux fournisseurs mondiaux de solutions de Communications. Nous associons notre expertise à l’un des réseaux IP offrant le plus de connexions dans le monde pour fournir des solutions largement primées dans le domaine des communications d’entreprises, de l’infogérance, de la sécurité des informations et des réseaux. Les solutions de Verizon adaptées à tous les secteurs de l’industrie, sont basées sur des plateformes sécurisées de mobilité, de Cloud, de réseautage stratégique, d’Internet des objets et de Communications Avancées, permettant de multiplier les potentiels d’innovation, d’investissement et de modernisation commerciale, pour accompagner les entreprises dans leur Transformation Digitale. verizon.com/business/fr-fr/

————–
Les workshop d’Alliancy – Qu’est-ce que c’est ?

Face à la crise les entreprises se sont adaptées rapidement pour répondre aux nouveaux besoins de leurs collaborateurs, clients et partenaires. Et un nouveau chapitre de transformation s’ouvre pour elles.

Il nous emble particulièrement important de proposer des moments d’échanges d’expériences, de débat et de collaboration, notamment pour les leaders technologiques qui font face à de grands défis.

Il s’agit de se poser un moment et de prendre le temps de l’échange autour d’une question précise, pour confronter les pratiques, enrichir des scénarios d’action et co-construire ensemble des réponses à partager ensuite avec la communauté en digital ou en présentiel.

Un guide sera préparé par la rédaction à l’issu de chaque rencontre, pour partager les pratiques et les pistes qui auront émergées de ces échanges.

Cette rencontre se déroule en présentiel, à la rédaction d’Alliancy et en petit comité (8 à 10 personnes).

Cookie	Durée	Description
mautic_device_id	1 year	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing. Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id	30 minutes	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie permet de connaître l’origine du visiteur.
mtc_id	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session

Cookie	Durée	Description
YSC	session	Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview	10 minutes	Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat	1 minute	Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
ARRAffinitySameSite	session	No description
attribution_user_id	1 year	No description
cg_uuid	1 year	Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
cilSessionId_e6aa0e1dbf	1 day	No description
cilSessionId_efcc418067	1 day	No description
cilSessionId_ffd7baf9a1	1 day	No description
cookielawinfo-checkbox-others	1 year	No description
PagePeeker		No description
recs_17b347eba0c893c4ff49a469be629e65	past	No description
scid	past	No description
sdx	past	No description
su_sdx	past	No description
su_sid	past	No description
su_user_id	past	No description
thirdparty	1 hour	No description
ubpv	6 months 1 day	No description
ubrs		No description
ubvs	5 months 27 days	No description
ubvt	3 days	No description
UID	2 years	No description

Les rubriques

Alliancy Connect

Contenu

Retour sur le workshop « DevSecOps, SI ouverts, réseaux en mutation… Comment la coopération CIO-CISO va-t-elle traverser les challenges des années à venir ? »

Les Dîners de la rédaction