Alliancy a accueilli dans ses locaux RSSI et experts de la sécurité pour un riche échange autour des axes de travail urgents pour les entreprises dans les mois à venir.
Du côté des acteurs du marché, un sujet brûlant : la gestion équilibrée de l’externalisation, qu’elle soit envisagée au travers du cloud ou au niveau des compétences que l’entreprise a à sa disposition. Chez les responsables sécurité, plusieurs grands axes retiennent l’attention. D’abord, l’amélioration de la gouvernance et du pilotage, tant pour permettre aux comex de mieux s’emparer du sujet, qu’aux RSSI d’être associés aux démarches d’innovation. Ensuite, les évolutions nécessaires pour s’adapter à un système d’information devenu « hybride », avec des focus sur le cloud et la gestion des identités notamment. Enfin, l’anticipation sur les sujets pour lesquels il n’existe pas encore de réponses claires : quels espoirs pour la sécurité de l’IoT ? Comment faire du RGPD une opportunité plutôt qu’une souffrance ? Ou encore, comment aligner ses usages et processus dans un contexte où la cyber-assurance devient une réalité plus commune ?
Gilles Berthelot – RSSI Groupe SNCF
« Pendant des années les RSSI ont eu l’impression de jouer les Cassandre, mais les faits nous ont donné raison. La sensibilisation du Comex est donc beaucoup moins un sujet que par le passé. A la SNCF, chaque membre du Comex s’occupe personnellement d’un type de risque, parmi ceux-ci, deux concernent expressément la sécurité du système d’information, ce n’est pas anodin. Les autres sujets à traiter sont encore nombreux : comment gère-t-on une sécurité « hybride » quand le SI lui-même est devenu hybride avec le cloud ? Comment mieux gérer l’obsolescence et la dette technique omniprésente d’un point de vue sécurité ? Ou encore, comment peut-on pousser à du security by design alors que l’IoT se déploie partout ? »
Mounir Chaabane, RSSI consultant - Volkswagen
« Voilà des années que l’on évoque encore et encore la sensibilisation des collaborateurs comme une priorité dans nos organisations. La vérité c’est que par bien des façons, l’utilisateur a été délaissé voir accusé de tous les maux, il y a donc surtout une urgence à se remettre en question à ce niveau… Mais le seul objectif de sensibilisation ne suffit pas non plus. Il faut passer à un stade supérieur. Aujourd’hui comment peut-on passer à de l’éducation, de la formation, à grande échelle dans les organisations ? Comment « impliquer » les individus et comment en faire un levier de valeur et de protection pour une organisation ? »
Adoté Chilloh, Adjoint DSI - ROSSI et Chef du Service Support et Production – Bibliothèque Nationale De France
« En ayant passé plus de 20 ans à la BNF, j’ai pu assister à l’évolution du système d’information entre la façon dont il avait été pensé au départ, son utilisation réelle, et l’évolution parallèle de la vision de la sécurité informatique qui y est associée. Pour un établissement publique comme la nôtre, l'arrivée de cadres réglementaires comme la PSSIE et la RGPD est un des points qui m’a le plus marqué dans le domaine de la sécurité des SI. Elle va permettre aux décideurs de pouvoir s’appuyer sur un cadre commun normatif bien défini. Elle va sans doute aider à définir les priorités dans le domaine de la gestion de la SSI pour des organisations qui ont un héritage comme la nôtre. »
Mahmoud Denfer, Global Information Security Officer - Vallourec
« L’un des points de vigilance à avoir pour un RSSI aujourd’hui vient des changements majeurs qui se jouent dans les relations avec les fournisseurs et la nature des contrats passés. C’est une remarque valable pour l'entreprise en général, mais avec des effets de bord potentiels très importants pour identifier les responsabilités en cas de risques liés à la sécurité du système d’information. Sur les sujets humains et technologiques, j’aimerais par ailleurs pouvoir me projeter un peu plus sur les apports du digital en la matière. Typiquement, est-ce que les avancées en matière d’intelligence artificielle peuvent nous aider à automatiser certaines tâches et prendre des décisions rapides et efficaces afin de permettre aux equipes sécurité de se concentrer sur des actions de fonds pour soulager les tensions en termes de recrutements et de compétences à disposition ? »
Charles Gengembre, Responsable BU Sécurité & Réseau - SCC
« Au-delà des questions techniques liées à une typologie de menaces, à un risque particulier ou encore aux solutions technologiques, nos clients concentrent principalement leurs questions sur leur capacité à recruter les bonnes compétences afin d’identifier les experts capables d’évoluer avec la transformation digitale. Nous constatons en effet un manque qualitatif et quantitatif de véritables experts en la matière, ce qui pousse les organisations à se poser de plus en plus la question de l’externalisation. »
Edouard Giard, RSI - Crédit Agricole Corporate and Investment Bank
« Le sujet du débat résume très bien à mes yeux l’enjeu actuel auquel nous sommes confrontés. Ma priorité est de savoir arbitrer en permanence entre de multiples sujets… qui s’avèrent tous prioritaires ! Et ensuite de pouvoir expliquer ces choix et engagements avec clarté. Il y a un vrai effort à fournir en termes de niveau de discours pour expliquer les enjeux auprès de la direction. Vu la complexité des situations, tout ce qui peut aider le RSSI à classer ses priorités en connaissance de cause est bon à prendre. »
Loïc Guézo, CyberSecurity Strategist Southern Europe – Trend Micro
« En 2 ans, nous avons vu beaucoup de changements : beaucoup d’entreprises pensaient que le plus dur de la transformation était lié au passage au Cloud. Aujourd’hui, on voit qu’il reste encore de très nombreuses questions autour de cess sujets mais les directions générales mettent une certaine pression, comme par exemple vers Microsoft Office 365. Le SI se transforme et la question de la vision de sa sécurité, en parallèle, est clairement devenue prioritaire. »
Sandro Lancrin, RSSI – Radio France
« L’un de mes principaux challenges se situe aujourd’hui au niveau de la gestion des individus et de leurs égos. Plus généralement, derrière cela, il y a la question du sens que l’on veut donner : à sa stratégie de sécurité bien sûr, mais aussi à sa transformation. Répondre à « pourquoi je me transforme ? » permet souvent de définir avec plus de précision ce que je veux protéger… et donc en tant que RSSI, les combats sur lesquels il est vraiment important de s’engager. »
Jean-François Louapre, co-fondateur - CESIN
« Plus qu’une volonté un peu confuse de mettre en place une « meilleure gouvernance » de la sécurité dans les entreprises, il est devenu très important de définir comment on assure un véritable pilotage, précis, et visant l’efficience. Le métier de RSSI, historiquement perçu comme technique, est aujourd’hui trop souvent le métier des rapports de sécurité suivis finalement par peu de personnes, le niveau de discours n’étant pas là tant en termes de risques que d’enjeux métiers. L’utilisateur est, encore trop souvent, vu comme un problème plutôt que comme le « dernier rempart » alors même que son rôle est prépondérant et renforcé par la numérisation tous azimuts des processus d’entreprise. Une priorité est donc de changer cet état d’esprit. Enfin, force est de constater que pendant des années les efforts ont, très majoritairement, été portés sur la prévention pour réduire les risques. Aujourd’hui, il est urgent de compléter cette approche par une forte capacité de détection et de réaction, et d’adapter en conséquence les démarches de sécurité et leurs engagements dans l’organisation. »
Didier Pawlak, DSI - Pénélope
« Trouver les bons leviers pour améliorer la perception des collaborateurs sur le sujet sécurité est toujours aussi important après toutes ces années. Aujourd’hui la question de la gestion des accès au système d’information me paraît centrale, que ce soit au sein même des murs de l’entreprise ou à partir de terminaux différents, en mobilité. Et cela commence par des sujets malheureusement très simples, comme travailler à ce que des salariés ne laissent pas leurs sessions ouvertes sur leur poste ou à travers leur VPN… Pour le DSI d’une organisation comme la mienne qui n’a pas de RSSI, ce sont déjà des efforts conséquents. »
Pierre-Luc Réfalo, Global Head of Cybersecurity Consulting & GDPR Offer Lead chez Capgemini
« Dans le cadre de notre propre transformation, depuis 2014, nous avons d’une part réuni nos activités Cloud et Cybersécurité sous le même leadership et créé un programme interne « Security & Privacy » rattaché au secrétariat général. Tous ces sujets sont très liés et des facteurs clés de succès pour la transformation digitale des entreprises.
Une gouvernance plus transverse alliant le business, la technologie et la conformité est devenue essentielle. C’est d’autant plus important que la question du coût de la sécurité reste délicate : les entreprises dépensent-elles trop, pas assez ou plus certainement mal pour protéger leurs actifs critiques ? Ne doit-on pas enfin mettre en place une véritable fonction de Digital Risk Officer ? »
Guillaume Savornin, Directeur Général - CNPP
« Si l’on doit seulement retenir quelques points parmi les très nombreux sujets prioritaires à traiter, je dirais qu’il est important de se poser des questions en matière de gouvernance et de management des risques dans les organisations. Une meilleure compréhension des évolutions réglementaires très fortes qui nous affectent tous va clairement dans ce sens également. »
Didier Schreiber, Directeur Marketing, Europe du Sud - Zscaler
« Deux réalités changent la donne et les priorités des entreprises de notre point de vue : le caractère de plus en plus crédible et répandu de systèmes d’informations pensé « full-cloud » et des usages nomades à tous les étages des organisations, quels que soient les responsabilités des collaborateurs. Ce contexte interroge les anciennes priorités des acteurs : avoir une stratégie de sécurité compatible avec une stratégie cloud-first ou full-cloud ne s’improvise pas.»
Merci à l’ensemble de nos invités de s’être prêté au jeu à nos côtés :
- Gilles Berthelot – RSSI Groupe SNCF
- Mounir Chaabane, RSSI consultant chez Volkswagen
- Adoté Chilloh, Adjoint DSI – ROSSI et Chef du Service Support et Production – Bibliothèque Nationale de France
- Mahmoud Denfer, Global Information Security Officer – Vallourec
- Charles Gengembre, Responsable BU Sécurité & Réseau – SCC
- Edouard Giard, RSI – Crédit Agricole Corporate and Investment Bank
- Loïc Guézo, CyberSecurity Strategist Southern Europe – Trend Micro
- Sandro Lancrin, RSSI – Radio France
- Jean-François Louâpre, co-fondateur – Cesin
- Didier Pawlak, DSI – Pénélope
- Pierre-Luc Réfalo, Global Head of Cybersecurity Consulting & GDPR Offer Lead chez Capgemini
- Guillaume Savornin, Directeur Général – CNPP
- Didier Schreiber, Directeur Marketing, Europe du Sud – Zscaler
Les rencontres « Le numérique en pratique » ont pour objectif de décrypter les leviers de réussite des projets en entreprise, lever le voile sur les freins à leur mise en œuvre, aligner les discours aux réalités du terrain, … en bref parler vrai – sans langue de bois – entre clients et prestataires du numérique.
Nous attendons de ces échanges qu’ils fassent émerger des conseils, les priorités, les axes de travail communs, en écho à notre démarche « Le numérique en pratique » – un programme partenarial mis en œuvre par la rédaction qui se concrétisera au 1er trimestre par un recueil – destiné aux directions générales – répondant aux questions : « Comment je me transforme et avec qui ? ». Un livret Sécurité, extrait en avant-première de ce recueil est d’ores et déjà disponible >
A voir aussi :