Gérard Leymarie, CISO du Groupe Europ Assistance a participé durant l’été au petit déjeuner organisé par Alliancy et Verizon sur le thème « Cybersécurité des entreprises : Comment s’adapter en intégrant les enseignements de deux années de crises ? ». Il revient sur les changements récents les plus notables, avec un focus particulier sur l’évolution de la relation entre les experts cyber et les acteurs métiers dans l’organisation.
Alliancy. La coopération autour de la cybersécurité change-t-elle pour le mieux au sein des entreprises ?
Gérard Leymarie. Nous avons une chance, c’est que les comex et plus généralement les cadres dirigeants, sont aujourd’hui conscient des problèmes. Ils ont par exemple compris les impacts que pouvaient avoir les ransomwares, que ce soit sur le business ou en termes d’images, de réglementation… C’est une opportunité : il nous faut rendre la cybersécurité plus simple. Pendant longtemps, la sécurité a rendu les processus plus complexes, en empilant des solutions et des règles… et quand plus rien ne fonctionnait, les métiers ne voulaient plus entendre parler de cyber. Les experts cybersécurité doivent réapprendre à parler pour coopérer avec tout le monde dans l’entreprise.
Quand on entend l’expression en vogue « stratégie zero trust » par exemple, on est clairement dans ces travers. Alors que derrière ce terme, il s’agit de revenir à des fondamentaux, du bon sens de la sécurité, comme a pu le prouver la crise pandémique : verrouiller les stations de travail, mettre des VPN pour permettre le télétravail, contrôler les flux… C’était des choix pragmatiques, qui fonctionnaient, sans tomber dans des grands délires d’architectures de sécurité portés par du marketing.
A lire aussi : Chez SNCF Connect & Tech, les directeurs UX et technologies parlent de la sécurité d’une seule voix
On imagine que la médiatisation des attaques et l’omniprésence de ces terminologies un peu ésotériques peuvent faire peur aux dirigeants métiers ; est-ce toujours approprié ?
Gérard Leymarie. Faire peur ne fait pas avancer les choses. Je pense qu’il faut expliquer, tout simplement. Il est naturel que des dirigeants s’inquiètent, in fine, par rapport à la situation. Mais en termes d’éléments de langages, quand on doit dialoguer avec des comex, des directeurs financiers… il faut avant tout les aider à comprendre l’état des lieux que nous faisons. Il y a dix ou quinze ans, c’était cet argument de la peur qu’on ressortait toujours et ça ne fonctionnait déjà pas ! On n’en serait pas là si cela avait vraiment fait avancer massivement la maturité des entreprises en France. C’est l’une des priorités de l’évolution de notre métier de CISO pour les mois à venir : nous ne devons pas nous limiter à l’IT, nous devons pouvoir parler naturellement avec l’ensemble des métiers. C’est ce qui permettra de créer une cohésion globale et une adhésion collective qui sera de nature à rassurer.
Quels sont vos priorités pour les mois à venir ?
Gérard Leymarie. J’ai plusieurs grands ensembles d’action concrètes. Je mène par exemple une lutte contre l’obsolescence et l’exposition numérique. J’ai également engagé un nouvel effort sur la capacité de sauvegarde et de restauration, notamment en ayant toujours une forme de backup offline. Par ailleurs, je fais un focus actuellement sur notre capacité à identifier et évaluer la criticité des systèmes. Souvent les entreprises soupçonnent ce que sont ou non des systèmes critiques pour l’entreprise, mais il faut acquérir cette visibilité en partant du regard métier, fonctionnel, bien au-delà du périmètre IT. Ce qui explique cette importance de la relation avec les métiers et mon insistance sur la simplicité et le vocabulaire commun à utiliser.
Le CISO ne doit pas rester dans son bureau ! Il faut être auprès des gens en permanence, discuter et comprendre les problématiques quotidiennes des opérationnels. Je suis fondamentalement convaincu que la bonne coopération passe par le fait de s’intéresser honnêtement au métier de chacun dans l’entreprise. C’est ce qui fait évoluer notre langage, notre état d’esprit… et c’est ce qui permet de proposer des solutions, de bien prioriser, de réorienter les efforts sur ce qui compte vraiment. Surtout dans une période où l’on est sous forte contrainte, vu le peu de ressources de sécurité disponible sur le marché. Quand ce lien métier est effectif, entrainer le comex est d’ailleurs ensuite beaucoup plus simple.