Pour ne rien manquer de la transformation digitale

Abonnez-vous au Digest
Recherche
Comment associer les métiers aux démarches de sécurité ? Comment concilier les contraintes du time to market et les impératifs de sécurité ? Ce sont quelques-unes des questions auxquelles ont répondu plusieurs experts, réunis à Lille à l’occasion de la 9e édition du Forum International de la Cybersécurité (FIC), le 25 janvier 2017.

 

La notion de propriété des risques est-elle démodée ? Pierre-Luc Refalo, Directeur du pôle conseil stratégique en cybersécurité de Capgemini, joue les provocateurs. Pour lui, le schéma qui veut qu’un porteur de risque soit désigné pour chaque actif de l’entreprise, ne peut plus s’appliquer aux environnements actuels :

« Nous sommes confrontés à une digitalisation qui fait que l’on partage et que l’on échange. C’est très difficile de dire que l’on est propriétaire de quelque chose. »

A l’heure où les hackers s’intéressent toujours davantage aux maillons faibles, de plus en plus de métiers sont concernés par la cybersécurité, ajoute Philippe Leroy. Face à ces nouvelles vulnérabilités, qui faut-il sensibiliser ou former ?  « Il ne faut pas considérer que la sécurité est uniquement l’affaire de la DSI, poursuit le Directeur du développement de l’offre cyber de Thales. Tous les directeurs d’applications métiers sont concernés, doivent rendre compte de leurs risques particuliers et, face à la crise, doivent pouvoir travailler avec la direction des systèmes d’information. »

Avec le digital, la notion de propriété des risques perd son sens

« Le monde digital complexifie la notion de propriété des risques, explique Sébastien Richard, citant un exemple qu’il connaît bien, celui des , une coopérative d’épargne et de crédit québécoise dont il est conseiller en innovation. Notre organisation est décentralisée, nous essayons donc de parler de risques mutualisés, de façon à ce que chaque gestionnaire de caisse soit aussi gestionnaire de risque. Ainsi, si une caisse fait l’objet d’une fraude, c’est tout le mouvement qui paie, puisque les fonds sont partagés, et que le risque est réparti. »

Au sein de la coopérative d’épargne, le Chief information security officer (CISO) va régulièrement former les dirigeants. « Nous partons du principe qu’un expert en cybersécurité connaît notre organisation et sait l’orienter », poursuit Sébastien Richard. Et, pour développer les compétences, c’est la formation interne qui est privilégiée : « Nous avons, par exemple, organisé un think tank sur la blockchain, initié et mis en place par un collaborateur de l’IT, identifié comme ressource sur le sujet. »

Et, pour convaincre les dirigeants, il faut être didactique.

« On doit rester simple, note Ante Gulam, RSSI de MetaPack. Souvent, les dirigeants ne parlent que de chiffres. Pour leur expliquer pourquoi telle ou telle procédure est si onéreuse, on doit les mobiliser au plus tôt. »

Quand les acquis permettent de porter l’innovation

Faut-il tout réinventer ? « On ne va pas tout mettre à la poubelle, rassure Pierre-Luc Refalo. Il faut s’appuyer sur les acquis pour apporter des approches innovantes. » Lorsqu’il est arrivé chez Capgemini, il a interviewé soixante-dix dirigeants métiers sur les risques majeurs pour les datas et le système d’information du groupe, mais aussi sur les process mis en place pour répondre à ces risques et sur les actions prioritaires à lancer.

Il en est sorti un ensemble de 64 règles, aujourd’hui rendues obligatoires dans tout le groupe, et un changement fondamental de politique : chaque dirigeant d’entité métier est désormais membre d’un comité de sécurité interne et peut ainsi suivre l’ensemble des actions.

De nouveaux défis avec l’IoT

Avec l’IoT, ce sont de nouveaux risques qui apparaissent : vol, sabotage, surveillance. « Jusqu’ici, la sécurité n’a pas été suffisamment prise en compte, remarque Philippe Leroy. Aujourd’hui, les voitures connectées peuvent être hackées : on peut prendre le contrôle à distance car il n’y a pas de processus de sécurité. »

« Comment spécifier la sécurité de ces objets quand on ne sait pas quelle forme la menace prendra demain ? » continue l’expert. La sécurité est-elle donc dans les mains des prescripteurs ? Pas vraiment : « Non seulement cela nécessite de l’investissement, mais en plus, seuls les gens formés à la sécurité peuvent en parler, les prescripteurs non ! »