S SÉCURITÉ DES SYSTÈMES D’INFORMATION - …1).pdf · LA DIRECTION AUDIT OU CONTRÔLE INTERNE 2014 10 % 20 % 30 % 40 % 50 % 2012 2010 2008 LA DIRECTION DES SYSTÈMES D’INFORMATION

SYN

THÈS

E DE

S AT

ELIE

RS-2

016

SÉCU

RITÉ

DES

SYS

TÈM

ES D

’INFO

RMAT

ION

SÉCURITÉ DES SYSTÈMES

D’INFORMATIONSYNTHÈSE DES ATELIERS

2016

Couverture LB SSI .indd Toutes les pages 26/01/2016 10:50



2016

La sécurité des SI est le travail de chacun. D’autant plus à l’ère de l’hyper-connectivité (Cloud, BYOD, IOT…) et de menaces insidieuses de plus en plus sophistiquées. Cette nouvelle donne transforme en profondeur le métier du RSSI, dont le rôle n’est plus tant de viser la sécurité totale que de participer à son échelle à l’effort global de prévention, de détection et de limitation des risques affectant l’organisation.

D’avril 2015 à janvier 2016, cinq ateliers de travail ont été l’occasion d’explorer autant de facettes de cette transformation : L’évolution des rôles du DSI et du RSSI, Les enjeux de sécurité de la transformation digitale, L’efficacité du SOC en question, La sécurité des données liées au Cloud, à l’IOT et au BYOD, La mise en place d’une démarche partagée de des risques.

PRÉAMBULE

Le recueil reprend ce découpage en proposant cinq grands chapitres, chacun contenant à la suite, une réflexion a priori sur le sujet, une interview d’un RSSI pour nous éclairer de visions et d’initiatives innovantes, un compte-rendu des échanges tenus lors de l’atelier permettant de mesurer les avancées de chacun.

L’EBG tient à remercier l’ensemble des participants aux interviews et aux ateliers, dont l’ouverture au partage d’expériences a fait grandir une réflexion commune sur le sujet de la sécurité des SI à l’ère digitale, et dont le présent ouvrage constitue un recueil à date. Merci également à nos partenaires d’IBM et de PwC et à nos amis du CESIN, pour avoir permis la tenue de cette Commission, et atelier après atelier, animé et fait vivre les échanges de leurs regards avisés.

Bonne lecture !

P.08

P.14

CHAPITRE 1 :L’ÉVOLUTION DES RÔLES RESPECTIFS DU DSI ET DU RSSI

SYNTHÈSE

ENTRETIEN AVEC JEAN-PIERRE GAGNEPAIN, AIR LIQUIDE

COMPTE-RENDU DE L'ATELIER DU 08.04.2015

CHAPITRE 2 : LES ENJEUX DE SÉCURITÉ DE LA TRANSFORMATION DIGITALE

SYNTHÈSE

ENTRETIEN AVEC SERGE SAGHROUNE, ACCOR


PRÉAMBULEP.02 P.06

P.26

P.12

P.28P.30

P.32

CHAPITRE 3 : QU’EST-CE QU’UN SOC EFFICACE ?

SYNTHÈSE

ENTRETIEN AVEC ALAIN BOUILLÉ, CAISSE DES DEPÔTS ET CESIN


CHAPITRE 4 : COMMENT GARANTIR LA SÉCURITÉ DES DONNÉES LIÉES AU BYOD, À L’IOT ET AU CLOUD ?

SYNTHÈSE

ENTRETIEN AVEC THIERRY AUGER, LAGARDÈRE


CHAPITRE 5 : COMMENT METTRE EN PLACE UNE DÉMARCHE PARTAGÉE DE GESTION DES RISQUES SI ?

SYNTHÈSE

ENTRETIEN AVEC FARID ILLIKOUD, PMU


CONCLUSION

CONTRIBUTEURS

PARTENAIRES

P.42

P.62

P.44P.46

P.48

P.64

P.66

P.68

P.80

P.82P.84

P.86

P.96

P.98

P.104

SOMMAIRE

Avec le mouvement de transformation numérique, la notion de système

d’information change progressivement de nature et devient plus complexe

à délimiter. Corollaire de cette évolution, la sécurité informatique est encore plus

étroitement associée aux risques liés aux activités métiers. Les missions

du DSI et du RSSI sont donc amenées à changer, le contexte requérant

plus que jamais souplesse et proximité vis-à-vis des métiers.

L’évolution des rôles respectifs

du DSI et du RSSI

1.

8

...DE COMMUNICATION(SENSIBILISATION...)

...JURIDIQUES(CHARTE UTILISATEURS, RECHERCHE DE PREUVES...)

OPÉRATIONNELS(GESTION DES DROITS D’ACCÈS, ADMINISTRATION...)

TECHNIQUES(DÉFINITION DES ARCHITECTURES, SUIVI DES PROJETS...)

FONCTIONNELS(POLITIQUE DE SÉCURITÉ, ANALYSE DES RISQUES...)

2014

10 %5 % 15 % 20 % 25 % 30 %

20122010

LA DIRECTIONDES SYSTÈMES D’INFORMATION (DSI)

LA DIRECTION GÉNÉRALE

LA DIRECTION ADMINISTRATIVE ET FINANCIÈRE

LA DIRECTION DES RISQUES

UNE ENTITÉ D’EXPLOITATIONPRODUCTION INFORMATIQUE

LA DIRECTION SÉCURITÉ-SÛRETÉ

AUTRES

NE SAIT PAS

LA DIRECTION AUDIT OU CONTRÔLE INTERNE

2014

10 % 20 % 30 % 40 % 50 %

201220102008

QUEL EST LE RATTACHEMENT HIERARCHIQUE DU RSSI AU SEIN

DE VOTRE ENTREPRISE?

46 %des responsables de la sécurité sont rattachés à la DSI de l’entreprise

L’apparition de nouvelles pratiques informatiques et de nouveaux risques liés au Cloud Computing, au BYOD ou à l’Internet des objets a largement bouleversé le rôle du RSSI au cours des dernières années. Ce référent sécurité de l’entreprise doit faire face à une complexification des problématiques et à un étiolement progressif de son contrôle sur le capital informationnel. Une évolution des tâches qui s’inscrit dans un contexte où se trouve exacerbée la contradiction entre, d’un côté, les exigences de sécurité de la Direction Générale et, de l’autre, les contraintes de budget et de délai. Moins que jamais, la notion de sécurité ne peut être réduite à une question technique ; elle embrasse les problématiques liées à l’organisation, aux processus et peut devenir un levier de compétitivité et de différenciation. La médiatisation de certaines attaques informatiques récentes a contribué à une prise de conscience au sein des directions métiers (risque financier, risque pour l’image…) et cette évolution ouvre la voie à une recherche constructive et sereine de l’équilibre entre business et sécurité, avec un impact sur la répartition des rôles entre RSSI et DSI.

9







AUTRES

NE SAIT PAS


2014

10 % 20 % 30 % 40 % 50 %

201220102008







AUTRES

NE SAIT PAS


2014

10 % 20 % 30 % 40 % 50 %

201220102008







AUTRES

NE SAIT PAS


2014

10 % 20 % 30 % 40 % 50 %

201220102008

Les missions de ce dernier ont elles aussi été marquées par une profonde et soudaine complexification, de par le poids grandissant des innovations technologiques. Il y a encore peu de temps, sa tâche essentielle consistait à s’assurer du bon fonctionnement des infrastructures du quotidien.

Cette tâche purement technique a considérablement évolué vers une mission plus stratégique, placée au cœur même du processus de transformation digitale : le rôle du DSI devient celui d’un "promoteur de l’innovation".

En raison de l’élargissement du rôle du RSSI vers une orchestration globale de la sécurité du patrimoine informationnel, les rattachements peuvent être bien différents en fonction des entreprises. Cette question doit évidemment être abordée à l’aune

Crédits / graphiques : « Menaces informatiques et pratiques de sécurité en France » - Clusif - Edition 2014

du niveau de maturité de l’organisation et de sa surface d’exposition aux risques. Dans une phase de démarrage, le RSSI tend à être rattaché hiérarchiquement à la DSI en vue d’œuvrer au déploiement d’une "conscience sécurité".

L’évolution de son activité vers du « risk management », avec le passage d’une démarche réactive à une gestion proactive voire prédictive, plaide pour un rattachement apportant une visibilité plus grande.

D’après le rapport 2014 du Clusif « Menaces informatiques et pratiques de sécurité en France », les responsables de la sécurité du système d’information sont dans 46 % des cas rattachés à la DSI de l’entreprise. Dans 27 % des cas, le RSSI est rattaché à la Direction Générale (contre 45 % en 2008).

LE DSI DEVIENT UN "PROMOTEUR DE L’INNOVATION"

10

...DE COMMUNICATION(SENSIBILISATION...)

...JURIDIQUES(CHARTE UTILISATEURS, RECHERCHE DE PREUVES...)

OPÉRATIONNELS(GESTION DES DROITS D’ACCÈS, ADMINISTRATION...)

TECHNIQUES(DÉFINITION DES ARCHITECTURES, SUIVI DES PROJETS...)

FONCTIONNELS(POLITIQUE DE SÉCURITÉ, ANALYSE DES RISQUES...)

2014

10 %5 % 15 % 20 % 25 % 30 %

20122010

Crédits / graphiques : « Menaces informatiques et pratiques de sécurité en France » - Clusif - Edition 2014

LE PROFIL DU RSSI De par l’étendue du champ d’action et de responsabilité de la fonction, se lancer dans une définition du rôle du RSSI aboutit bien souvent à l’élaboration du fameux "mouton à cinq pattes" ! "Généraliste de l’informatique", le RSSI se doit d’atteindre l’excellence au plan des connaissances techniques pour, en fonction du degré de sensibilité d’un projet, être en mesure de sélectionner dans le catalogue la solution de sécurisation adéquate.

En tant que coordinateur, il est en outre un communicant capable de lancer des passerelles. La politique de gestion des risques ne peut que s’inscrire dans une démarche collaborative (Direction juridique, Direction financière, Direction des ressources humaines, Direction de la communication).

DANS LE CADRE DES MISSIONS DU RSSI QUEL POURCENTAGE REPRÉSENTE

LE TEMPS CONSACRE AUX ASPECTS...

11

“La politique de gestion

des risques ne peut que

s’inscrire dans une démarche

collaborative.”

12

AIR LIQUIDEJEAN-PIERRE GAGNEPAIN

Vice President Digital Security & Chief Cybersecurity Officer

« De la sécurité informatique à la maîtrise des risques numériques »

Partir des enjeux et non plus de la technique, tel est le défi principal de la sécurité des systèmes d’information, selon Jean-Pierre Gagnepain, VP Digital Security et Chief Cybersecurity Officer du Groupe Air Liquide.

Entretien

QUE CHANGE LE MOUVEMENT DE TRANSFORMATION NUMÉRIQUE DANS LA MANIÈRE D’ABORDER LA SÉCURITÉ ?

« Le numérique imprègne, de façon de plus en plus intime et indissociable, l’ensemble des activités, processus et données de l’entreprise. Il transforme en profondeur la chaîne de valeur sous l’action de trois forces qui se renforcent mutuellement : l’abondance d’applications numériques et d’usages toujours plus innovants ; la montée en puissance des données comme moteur d’optimisation et de création de valeur ; la dématérialisation croissante des processus et activités.En parallèle, la partie "solide" du SI gérée par la fonction IT (data centers, stockage, opérations, développement et maintenance d’applications, …) se trouve elle-même progressivement dématérialisée par l’externalisation croissante dans le cloud et la ré-internalisation sous forme de fonctionnalités prêt-à-l’emploi et de services numériques directement consommables par les utilisateurs.Dans ce contexte il est évident que l’on a atteint les limites du modèle classique de la sécurité comme "sujet technique, du ressort des experts informatiques". Il convient désormais d’inverser

Après sept années à la tête de la DSI, Jean-Pierre Gagnepain est responsable depuis fin 2011 de la Direction de la Sûreté Numérique du Groupe Air Liquide. Diplômé de l’ENSIGC et titulaire d’un Master of Science de Génie Chimique de l’Université de Californie, Jean-Pierre Gagnepain a débuté sa carrière comme ingénieur en raffinerie et a ensuite évolué dans le Groupe Exxon-Mobil, au sein de la Direction des Systèmes d’Information où il a occupé des postes de management de responsabilités croissantes en France et au siège mondial aux Etats-Unis. Ensuite, après cinq ans au sein du Groupe Nortel Networks en tant que DSI de la branche d’activité Réseaux Mobiles, il a rejoint Air Liquide en 2003.

13

le regard et de partir des enjeux métiers, à partir des risques numériques, et des besoins de leur traitement au niveau jugé acceptable pour l’entreprise. Ce qui ne veut pas dire que la sécurité technique disparaît ; elle reste un maillon essentiel et nécessaire, mais de moins en moins suffisant dans une chaîne où les maillons de la responsabilité, des usages, et des comportements individuels et collectifs revêtent une importance croissante. »

QUELS SONT LES IMPACTS SUR LE POSITIONNEMENT DE LA FONCTION RSSI ?

« Comme toute fonction, la fonction de Responsable de la Sécurité Numérique doit être un moyen au service d’une fin. Dans le contexte de transformation numérique ci-dessus, elle doit être le prescripteur de la vision globale des enjeux et du programme stratégique d’action, et l’animateur du système de management pour y parvenir. Elle doit notamment organiser la chaîne des responsabilités en un réseau transverse de rôles clairement définis, incluant l’expression des besoins, la responsabilité opérationnelle de l’atteinte et du maintien du niveau de protection requis, la sécurité des infrastructures et systèmes techniques, les contrôles et l’audit.Son positionnement dans l’entreprise doit être déterminé de façon à lui donner l’indépendance et l’autorité nécessaires à sa mission. Cela la rapproche plus du

Contrôle Général ou de la Maîtrise des Risques, que de la DSI ; sans mentionner la nécessaire séparation des tâches entre son rôle de prescripteur et celui de maîtrise d’œuvre de la fonction IT. »

UN NOUVEL ACTEUR, LE CHIEF DIGITAL OFFICER, APPARAÎT DANS L’ENTREPRISE. COMMENT DOIT S’ORGANISER LE TRIO RSSI-DSI-CDO ?

« En effet on voit apparaître dans un nombre croissant de grandes entreprises la fonction de Chief Digital Officer, qui n’est pas sans rappeler les Directeurs e-business des années 1998-2000 au moment de l’émergence du e-commerce. Si la mission du CDO est d’imaginer et de faciliter dans l’entreprise l’émergence et la réalisation des opportunités du numérique, alors il me semble qu’il y a un lien tout naturel pour la sécurité numérique : celui précisément d’incorporer nativement, par conception, les ingrédients clés pour produire des solutions numériques sûres et qui ne dégradent pas le niveau de sécurité de l’ensemble. Concernant le lien entre CDO et DSI, je vois une complémentarité naturelle à travers le rôle d’architecte et d’intégrateur de la DSI pour mettre en place et opérer les services de collecte, stockage et de "raffinage" des Big Data au service des nouvelles solutions numériques de l’entreprise pilotées par le CDO. »

14

L’évolution des rôles respectifs

du DSI et du RSSI

Workshop n°1Cycle Sécurité des SI

Compte-rendu de l'atelier du 08.04.2015

PARTICIPANTS

Avec l’augmentation des menaces et la transformation numérique dans les entreprises, les missions du DSI et du RSSI sont amenées à évoluer, souvent pour se rapprocher des besoins métiers. De ce fait, leurs rapports et la répartition de leurs rôles ont tendance à changer :

. Quel rattachement du RSSI permet d’avoir la meilleure efficacité ?

. Quel est le fonctionnement idéal pour le trio DSI, RSSI et CDO ?

. Comment gouverner la SSI dans un paysage IT en mutation ?

. Face à la pression des métiers et de la DSI pour des solutions innovantes et face à la baisse des coûts, que doit faire le RSSI ou se comporter pour ne pas être l’empêcheur de tourner en rond ?

. Le RSSI lanceur d’alerte en matière de cybersecurité ?

Fabrice De Labareyre, Associé, PwCANIMATEUR

PROGRAMME

. SOLVAY, Jacques-Benoit Le Bris, CIO

. DBF, Franck Touanen, DSI

. IBM, Nicolas Atger, Responsable Marché Sécurité IBM

. NEXITY, Eric Cresson, Responsable Sécurité du Système d'Information

. STANHOME/YVES ROCHER, Cédric Missoffe, DSI/RSSI

. AG2R LA MONDIALE, Emmanuel Garnier, Directeur de la Sécurité des SI

. GECINA, Fabrice Ruchaud, DSI

. THALES SERVICES, Jean-Alain Galibert, Directeur des Systèmes d'Information

. ALLIANZ WORLDWIDE PARTNERS, Frédéric Jesupret, RSSI

. SODEXO, Philippe Netzer-Joly, IAM & Security Operational Services Director

. BOUYGUES TELECOM, Franck Druet, Responsable de Département IT

. LASER, Philippe Canetos, DSI/RSSI

. BRAND & CONSUMER TECHNOLOGIES, Marc Feuillet, Responsable Qualité & RSSI

JACQUES-BENOIT LE BRISSOLVAY

« Je m'occupe en même temps de la partie Digital et de la partie Informatique, tout en animant la partie Sécurité. Les entreprises mènent énormément d'actions sur les sujets de la fraude, de la sécurité pure et de la compliance… Un des sujets qui me préoccupe, dans le cadre de l'ANSSI, est celui de la mise en conformité avec toutes les normes de chacun des pays. Si toutes les zones créent leurs propres régulations sur ce que l'on nomme un "risque" ou un "dysfonctionnement", se posera la question de la gestion dans un format européen, voire mondial. »

FRANCK TOUANENDBF

« Depuis quatre ans, nous avons adopté une structure assez classique avec la nomination d'un RSSI, rattaché directement au DSI. Notre société s'étant largement déployée à l'international, nos contraintes de sécurité informatique sont donc de plus en plus fortes. En sus, nos clients et nos prospects se montrent eux-mêmes de plus en plus exigeants, à tel point que la capacité à traiter les problématiques de sécurité informatique est devenue un argument d'avant-vente ; déployer la sécurité informatique nécessite des efforts techniques significatifs et des budgets conséquents, et cela sans que les enjeux soient toujours perçus au bon niveau par les directions générales. Il faut pourtant bien atteindre les objectifs de sécurité sans forcément avoir toujours les moyens adéquats pour faire aboutir ces projets. »

PRÉSENTATION DES PARTICIPANTS

16

NICOLAS ATGERIBM

« Je suis responsable du marché Sécurité pour IBM. Ce sujet est très étroitement lié à la question de la maturité du marché. Il s'agit pour nous de mieux accompagner les RSSI dans leurs missions : conseil, optimisation de l'architecture sécurité, vue unifiée, réduction des coûts, mise en œuvre et éventuellement gestion de la sécurité de l'entreprise, ce que nous faisons déjà pour plus de 4 000 clients dans le monde. »

ERIC CRESSONNEXITY

« Le sujet de la transformation numérique de l'entreprise m'intéresse particulièrement aujourd'hui. Nos systèmes, qui étaient jusqu'à présent relativement fermés, sont amenés à s'ouvrir progressivement. Comment accompagner ce mouvement sans se mettre en porte-à-faux vis-à-vis de la sécurité, de la réglementation, de la protection des données, etc. ? C'est un double objectif qu'il nous faut atteindre : d'une part, conserver une sécurité la plus fiable possible, de l'autre, ouvrir les services et les données à l'extérieur. »

CÉDRIC MISSOFFESTANHOME/YVES ROCHER

« Stanhome est une filiale du groupe Yves Rocher. Le rôle du DSI chez Stanhome est de faciliter le travail au quotidien des équipes (force de vente de 8500 vendeurs et du staff), en travaillant en mode Agile. Nos objectifs établis pour y arriver sont de :

- S’assurer du bon fonctionnement du RUN

- Mener les projets de transformation- Libérer le pouvoir de la donnée

de l’entreprise par plus de création de valeur. »

EMMANUEL GARNIERAG2R LA MONDIALE

« Le groupe rassemble aujourd'hui 11 000 collaborateurs, à la suite du rapprochement avec Réunica et Systalians. Le positionnement du RSSI et de la DSI est en train d'être repensé. Il s'agit de voir de quelle manière, dans les organisations de grande taille, se répartissent les rôles de chacun en matière de sécurité. »

FABRICE RUCHAUDGECINA

« Depuis trois ans, il n'y a plus de RSSI chez Gecina. Aujourd'hui, il existe un fatras de règles et de normes… Il s'agit pour nous de voir comment des structures de plus grande dimension ont réussi à mener des projets avec un RSSI, et éventuellement une structure autour de celui-ci (et pour quel rattachement?). »

JEAN-ALAIN GALIBERTTHALES SERVICES

« Thales Services est une entité de 4 000 personnes. Notre particularité est de travailler sur deux types d'infrastructures: d'un côté les infrastructures du groupe Thales qui sont très sécurisées avec de nombreuses limitations, et de l'autre

17

les infrastructures appartenant uniquement à Thales Services. Plus de 60 % du chiffre d'affaires de Thales Services est réalisé à l'extérieur du groupe Thales. »

FRÉDÉRIC JESUPRETALLIANZ WORLDWIDE PARTNERS

« J'appartiens à une filiale du groupe Allianz nommée Allianz Global Assistance. Cette entité est présente dans une trentaine de pays avec un certain nombre de régulations propres à chaque zone. Quel représentant de la sécurité doit être présent dans les métiers pour mieux intégrer les contraintes ? »

PHILIPPE NETZER-JOLYSODEXO

« Avec la digitalisation, ce qu'on appelle la "shadow IT" échappe au DSI. Mais doit-elle aussi échapper au RSSI ? Comment avoir un discours très business orienté sur le risque tout en étant rattaché à une DSI (où la légitimité au niveau du business est plus délicate à obtenir) ? »

FRANCK DRUETBOUYGUES TELECOM

« Le déploiement du cloud ou du Big Data est effectué au service des métiers, le tout dans un contexte de diminution des coûts lié à un marché à quatre opérateurs. En tant qu'opérateur télécoms, nous sommes soumis à un nombre incalculable de normes, comme si nous étions un acteur bancaire !

Nous évoluons dans un monde où la sécurité s'applique au global : IT, réseau, business… Il s'agit de mieux appliquer la sécurité au quotidien, afin de la rendre plus concrète. »

PHILIPPE CANETOSLASER

« Laser est une société de 5 000 personnes qui possède Cofinoga, avec une présence sur cinq pays. Je suis rattaché à la DSI, l'avantage de ce mode de fonctionnement étant d'être davantage dans l'opérationnel. »

MARC FEUILLETBRAND & CONSUMER TECHNOLOGIES

« Notre société rassemble 140 salariés et évolue dans tous les domaines liés au traitement des données (presse, caritatif, Big Data, enrichissement de données, etc.) Les questions de sécurité sont absolument primordiales pour nos clients, qui en quelque sorte nous confient leur "fonds de commerce". Nous mettons justement en place tout un écosystème pour gérer la sécurité, avec la nomination d'un RSSI, d'un CDO ou encore d'un correspondant CNIL. Cela correspond à la demande du marché: plus aucun appel d'offres ne se déroule sans que des demandes soient clairement formulées par nos clients en matière de sécurité. »

18

INTRODUCTION

Par Fabrice De Labareyre (PwC)

« Cet atelier a vocation à traiter la question de la répartition des rôles entre le RSSI et la DSI. Cette problématique est aujourd'hui rencontrée par toutes les entreprises. Quand le RSSI est rattaché à la DSI, il est très opérationnel

(tout en amenant des problèmes à son DSI !) Lorsqu'il est à l'extérieur, il n'a pas la main sur les opérations, il peut être arbitre,

mais avec une vision plus limitée…

En outre, le Chief Digital Officer fait son apparition dans les entreprises et commence à mener des actions, parfois au grand dam des DSI qui ne sont

pas informés ou découvrent les projets tardivement sans que les exigences de sécurité aient été toujours étudiées...

Avec la généralisation des technologies dans l'ensemble de l'entreprise, l’interconnexion des systèmes de gestion et industriels, l’Internet des Objets

et l’ouverture des systèmes vers l’extérieur, la sécurité devient un sujet global qui met en évidence l’évolution des rôles du RSSI et du DSI. »

19

JACQUES-BENOIT LE BRIS, SOLVAY

« La première question qui se pose est celle de la maturité de la Direction Générale : est-elle désormais en mesure de comprendre que la sécurité n'est pas un sujet de cost-cutting ? Si ce n'est pas le cas, les RSSI resteront basés dans l'Informatique. Si, au contraire, il y a une telle prise de conscience, ils pourront étendre leurs ailes.

Les RSSI doivent être au plus près du juridique et de la propriété intellectuelle avec une véritable autonomie d'action pour définir et auditer et faire remédier les Risques et les Normes de sécurité résultantes définies par l'entreprise. Les laisser dans l'informatique reviendrait à penser que les outils peuvent nous protéger de tous les risques ce qui n'est plus vrai, nous devons adapter la réponse aux niveaux des risques. »

PHILIPPE NETZER-JOLY, SODEXO

« Je ne suis pas certain que le Juridique soit le meilleur endroit pour placer le RSSI. La Direction des Risques est à mon avis plus appropriée. Se pose ensuite la question des profils RSSI : il faut des profils de haut niveau capables d'amener les sujets jusqu'aux actionnaires. Cela suppose que l'entreprise réponde à cette exigence en termes de rémunération et de pouvoir politique. »


« Il y a chaque jour dans nos entreprises en moyenne plus de 10 risques sévères qui se présentent à nous. Dans ce contexte, la grande question est celle du temps que l'on consacre au traitement de ces risques. Les procédures mises en place (par exemple, lors des changements de code IBAN) doivent être auditées. La réponse au risque ne se situe pas au niveau de l'informatique, elle est dans le processus. En cela, cantonner un RSSI à de l'informatique n'est pas pertinent. »

Quel rattachement hiérarchique du RSSI vous paraît le plus efficace ?

De quelle manière les missions du RSSI évoluent-elles ?

20

FRANCK TOUANEN, DBF

« Bien souvent, les profils RSSI sont d'anciens responsables réseaux télécoms, ayant avant tout une connaissance approfondie des infrastructures de l'entreprise. Avec "l'entreprise étendue", il est encore largement question de "tuyauterie" et le profil du RSSI est finalement assez opérationnel. Dans ce contexte, il est difficile de remonter à un niveau plus abstrait. Il faut savoir "vendre" la gestion du risque aux Directions Générales, concentrées sur le business. Elles ne perçoivent véritablement l'intérêt du RSSI qu'en situation de crise.

Concernant nos clients, le degré d'exigence et les moyens consacrés à la sécurité informatique sont variés. Nos clients les plus exigeants, en général des grands comptes, effectuent des audits complets de nos infrastructures et de nos applications. Cela peut durer plusieurs jours. Il faut également répondre aux contraintes réglementaires, et aux normes/standards de sécurité du marché (ex PSI DSS). Les processus de certification, et surtout de maintien des certifications sont très couteux. Parce que la sécurité informatique est désormais intégrée à l'offre standard, nos clients ne veulent pas payer le surcoût lié à la sécurité. Pour le DSI et le RSSI, il s'agit donc de faire prendre conscience à la Direction Générale que couvrir le risque informatique va coûter de l'argent à l'entreprise. Dans notre domaine d'activité, 80 % des sujets de sécurité informatique que je traite concernent les architectures techniques. »

ERIC CRESSON, NEXITY

« Le rôle du RSSI consiste normalement à manager le risque qui court sur l'information. Les fraudeurs cherchent à générer de la fausse information destinée à tromper les gens. L'informatique est un outil qui manipule de l'information ; la sécurité ne doit pas porter sur l'informatique mais sur l'information. »

JEAN-ALAIN GALIBERT, THALES SERVICES

« Il est important de mener une réflexion en amont pour répondre à trois questions fondamentales : 1/ Qui peuvent être vos agresseurs potentiels ? 2/ Quelles informations peuvent vous être dérobées ?3/ Quel niveau de sophistication les voleurs sont-ils prêts à déployer

pour vous les dérober ?

Les voleurs peuvent emprunter une porte d'entrée qui ne sera pas la porte de sortie. Aujourd'hui, il ne s'agit pas de contrôler le fait que des gens rentrent dans les firewalls, il s'agit de repérer des activités anormales à l'intérieur de votre réseau. Cela nécessite des moyens de contrôle du réseau extrêmement sophistiqués, et des profils à très haut niveau de technicité. Chez Thales, tous les RSSI sont rattachés au DSI, afin que celui-ci soit en mesure de donner des instructions aux "troupes". »

21

Comment évolue la définition du profil du RSSI ?


« Il est capital de créer dans son entreprise une information policy : une cartographie des éléments à protéger (pendant combien de temps ? avec quel type de protection ? etc.) La notion de non-disponibilité de l'information fait partie de l'information policy. Toutes les données sont reprises, avec une actualisation régulière de la cartographie et des règles de protection associées, en fonction de l'évolution des risques dans le temps. »

ERIC CRESSON, NEXITY

« Je suis rattaché à la Direction du Digital et mon vocabulaire est celui de l'informatique. La première étape, à mon arrivée, aura consisté à établir un programme de gouvernance, avec la Direction des risques, le contrôle interne et le correspondant Informatique et Liberté (lui-même rattaché au Juridique). Par exemple, la Direction des risques prend en charge toute la partie continuité métiers. Ainsi, nous sommes parvenus à constituer un groupe de travail réunissant l'ensemble des compétences, afin que chacun puisse communiquer avec le même langage. Ce mode de fonctionnement permet d'aborder le grand défi de la numérisation de l'entreprise. Au final, par rapport à la Direction du Digital, je me positionne plus comme un donneur d'ordre sur les différents projets à déclencher. »

CÉDRIC MISSOFFE, STANHOME/YVES ROCHER

« Dans la définition du rôle du RSSI en général, on peut rapidement créer un "mouton à cinq pattes" qui ait à répondre à toutes les problématiques citées plus haut. Il s'agit plutôt d'avoir une personne qui soit en capacité de s'adresser à différents interlocuteurs, à faire la passerelle. Tous les acteurs de l'entreprise doivent prendre conscience du risque qu'ils portent. Le lien ne doit pas forcément être hiérarchique avec les équipes qui vont mettre en place les protections, le rôle est davantage celui d'un coordinateur (avec suffisamment de légitimité pour s'assurer que les plans d'actions sont bien mis en place et suivis). »

22

EMMANUEL GARNIER, AG2R LA MONDIALE

« J'ai le sentiment que le terme "RSSI" est devenu en quelque sorte un mot-valise. Il y a ceux qui sont managers du risque, ceux qui se concentrent sur la sécurisation des infrastructures, etc. Ce mot recouvre une réalité très large. Il faudrait proposer une (ou plusieurs) autre(s) terminologie(s). »

JEAN-ALAIN GALIBERT, THALES SERVICES

« Il faut tout de même que la personne soit parfaitement au point sur les techniques de sécurisation informatique. Les profils doivent être extrêmement techniques pour, en fonction du projet et de son degré de sensibilité, sélectionner dans le catalogue la solution la plus adaptée. »

MARC FEUILLET BRAND & CONSUMER TECHNOLOGIES

« Souvent, le responsable sécurité de l'infrastructure intervient trop en aval face aux problématiques qui se posent. Aussi, nous commençons à intégrer les contraintes de sécurité dès les normes de développement. »

PHILIPPE CANETOS, LASER

« Si on agit en ne faisant que des "actions commando" auprès de la Direction Générale pour "vendre" un risque (souvent basé sur l'actualité), cela ne fonctionne pas. Une analyse de risques doit être menée, et le RSSI est chargé de déterminer la méthode à appliquer. Le responsable technique va savoir ce qu'il convient d'implémenter dans les projets, mais il doit tout de même avoir des guides sur les "incontournables". Trop imposer, cela conduit à déresponsabiliser l'entité opérationnelle (c'est typiquement le modèle anglo-saxon). Le modèle latin se propose de poser les grands principes et, ensuite, de laisser une certaine autonomie aux équipes. C'est dans le maintien en condition opérationnelle des nombreux équipements et dans la revue régulière des différentes règles (firewalls, patch management, habilitations…) que nous devons être des intermédiaires. »

PHILIPPE NETZER-JOLY, SODEXO

« Si le RSSI est très fonctionnel, il faut qu'il y ait son pendant sur la partie opérationnelle au sein de la DSI. Au final, le binôme ainsi constitué doit travailler en parfaite harmonie. »

23

Un risque prend de plus en plus de dimension, c'est le "risque d'image". Comment parvenir à le valoriser ?

PHILIPPE CANETOS, LASER

« La méthode, ce n'est pas d'imaginer quel serait l'impact d'une donnée qui serait révélée, mais de classifier la donnée présente (avec le schéma classique CID : confidentialité, intégrité, disponibilité). »

FRANCK DRUET, BOUYGUES TELECOM

« En termes d'image, perdre le réseau télécom sur une petite zone durant quatre heures est "admissible" ; la même panne sur la France entière fera l'ouverture du journal télévisé... Ces dimensions sont estimées puis déclinées en exigences en fonction de chaque process. »

« Au final, il n'y a pas un profil de RSSI, mais plusieurs profils. La définition de ce profil dépend du niveau de maturité de l'entreprise ainsi que de sa surface

d'exposition aux risques de cybersécurité. Ainsi, il est préférable de parler de "filière sécurité" des SI, avec des profils techniques opérationnels et

des profils orientés risques pour les entreprises les plus matures.

Néanmoins, le profil orienté risque doit disposer d'une expertise technique, d'une capacité

de communication vers le niveau DG et être un donneur d'ordre avec une capacité de contrôle. Il pourrait être

rattaché à la Direction des risques. »

PAROLE D’EXPERT Fabrice De Labareyre, PwC

24

ENCART JURIDIQUE Me Cathie-Rosalie Joly,

Avocat-Associé, Cabinet ULYS

Quels risques de responsabilité pour les RSSI ? « Au-delà de la responsabilité de la personne morale,

la responsabilité civile et/ou pénale du RSSI pourra être recherchée s’il a commis intentionnellement

une infraction pénale, s’il est bénéficiaire d’une délégation de pouvoir (qui doit respecter des conditions de forme strictes) ou s'il a agi

en dehors des missions confiées dans son contrat de travail. Le fait pour le RSSI de s’être conformé à

un ordre hiérarchique ne le dédouane pas de sa propre responsabilité en cas d’infraction. S’agissant

de la responsabilité civile vis-à-vis des tiers, l’article 1384 C.Civ. dispose que c’est l’employeur qui sera

responsable des dommages causés par ses employés "dans le cadre de leurs fonctions". L’entreprise pourra

toutefois rechercher la responsabilité pécuniaire du RSSI s’il a commis une faute lourde avec intention

de nuire à son employeur. Un encadrement clair des rôles et responsabilités est donc conseillé. »

25

S’il existe autant de définitions de la notion de transformation digitale

qu’il y a d’expériences de numérisation, la prolifération des menaces est

en revanche une réalité qui s’impose crûment à toutes les organisations. Compter sur une maîtrise totale de

la protection du patrimoine informationnel représente désormais

un projet chimérique.

Les enjeux de sécurité de la transformation

digitale

2.

28

48 %de cyberattaques en plus entre 2013 et 2014

Chaque usage nouveau portant en lui-même un risque nouveau, la transformation digitale expose les entreprises à autant d’opportunités de croissance que de menaces numériques. L’esprit de conquête et d’innovation ne peut se déployer sans prise en considération des risques de cybersécurité, alors que les études apportent chaque année leur lot de chiffres alarmistes… Selon PwC1, entre 2013 et 2014, le nombre d’incidents de cybersécurité déclarés à travers le monde a augmenté de 48 %, pour atteindre un total record de 42,8 millions, soit l’équivalent de 117 339 attaques par jour ! Le continent européen apparaît comme le théâtre prisé d’attaques plus organisées et industrialisées que jamais.

L’enjeu majeur consiste ainsi à concilier les exigences de sécurité avec la demande croissante d’agilité liée au business, alors que l’utilisateur final devient de plus en plus autonome dans le maniement de la donnée. Dans cette course effrénée à l’agilité, les organisations sont tentées de confondre vitesse et précipitation en omettant d’impliquer le RSSI dès l’initialisation des projets.

“Il est nécessaire d’adopter une vision globale

des problématiques sécurité et des risques.”

29

CÔTÉ UTILISATEURS, UNE MENACE CONFUSE Les menaces sont partout, aussi bien à l’extérieur qu’à l’intérieur des organisations, avec la progression des violations internes délibérées et accidentelles et des attaques d’ingénierie sociale. Si la récente médiatisation de certaines attaques spectaculaires a fait l’effet d’un électrochoc chez les utilisateurs, la menace reste floue dans leur esprit et des efforts restent à fournir en termes de pédagogie.

Dans l’étude mondiale menée par Dell sur la sécurité informatique (2014)2, 63 % des sondés français notent que leur entreprise a accordé davantage de fonds à la sensibilisation et à la formation du personnel au cours des 12 derniers mois.

Au-delà de la protection du patrimoine de l’entreprise, l’enjeu consiste à asseoir l’utilisateur dans un environnement de confiance afin que l’organisation puisse tirer profit de la transformation numérique.

UNE APPROCHE HOLISTIQUE DE LA SÉCURITÉ « La question n’est plus de savoir si l’entreprise subira une attaque, mais dans quel état de préparation elle se trouvera lorsque cette attaque se produira… », résumera un participant dans l’atelier consacré aux enjeux de sécurité de la transformation digitale.

Face à cette multiplication des menaces, la notion de cybersécurité est sortie de son cadre purement technique pour s’imposer comme un sujet stratégique de gouvernance des organisations et de pilotage de l’avenir impliquant l’ensemble des acteurs. Un défi d’autant plus difficile à appréhender lorsque le contexte (première génération de cloud) participe à la création de silos de données, obstacle majeur à une vision unifiée du patrimoine informationnel.

Pour ne plus être contourné, le RSSI est donc lui aussi "condamné" à l’agilité ; il n’est plus l’homme du "non" mais un facilitateur impliqué en amont des projets de transformation. Puisqu’il est illusoire de chercher à tout protéger, l’objectif consiste à focaliser ses efforts sur les actifs les plus importants, d’où la nécessité d’adopter une vision globale des problématiques sécurité et des risques. En filigrane, apparaît la question centrale, celle de l’indispensable renforcement du lien entre la cybersécurité, l’informatique et les métiers pour la phase de classification, la mise en place de la gouvernance et le pilotage au quotidien.

1. Etude mondiale de PwC, CIO et CSO réalisée en ligne du 27 mars 2014 au 25 mai 2014.2. « Protecting the organization against the unknown - A new generation of threats », Dell 2014.

Entretien

QUE CHANGE LE MOUVEMENT DE TRANSFORMATION DIGITALE DANS LA MANIÈRE DE TRAVAILLER LA SÉCURITÉ ?

« Il convient tout d’abord de s’interroger sur ce que recouvre l’expression “transformation digitale”. S’agit-il d’une nouvelle manière de travailler ou bien d’un changement de process? Il y a en réalité plusieurs transformations digitales.

Au plan des outils, ce qu’il était possible de faire auparavant avec un PC peut être effectué avec une tablette ou un smartphone. Par exemple, recevoir une facture sur son téléphone ne représente pas une véritable nouveauté, mais correspond à une facilitation de la vie quotidienne ; il s’agit d’une simple évolution. Dans le monde informatique, tous les acteurs sont habitués à vivre avec la nouveauté. Ces dernières années ont simplement été marquées par une accélération du rythme, de par l’apparition d’acteurs particulièrement “disruptifs”.

Pour bon nombre d’entreprises, le modèle à suivre est celui du monde des startups. Ce sont justement ces nouvelles manières de travailler qui peuvent poser des problèmes au plan de la sécurité. Au démarrage, une startup

ACCORSERGE SAGHROUNE

Chief Information Security Officer

« Adapter notre langage et notre réflexion aux réalités économiques »

Serge Saghroune, Chief Information Security Officer du groupe Accor et ancien Vice-Président du Clusif, insiste sur le caractère multiforme de la notion de « transformation digitale ».

Serge Saghroune a débuté sa carrière comme ingénieur logiciel puis, chef de projet développement. Fin 1992, Serge est entré chez Bull comme chef de projet sécurité télécoms et est devenu par la suite Responsable Sécurité Télécoms. En 1995, il a été nommé RSSI du groupe Bull. C’est en 1998 que Serge a intégré le groupe Accor, qui a pour volonté de créer un SI mondial. Il crée en 2000 le département sécurité informatique. En 2015, Serge dirige la sécurité du système d’information mondial du groupe Accor.

30

fonctionne sur le modèle du “quick-and-dirty”, ce qui n’est pas applicable à une grande entreprise. À trop vouloir imiter les startups, on a tendance à faire des choix contre-nature... »

QUELS SONT LES IMPACTS SUR LES MISSIONS DU RSSI ?

« Dans ce contexte, les basiques de notre métier vont perdurer : la mission du RSSI est et restera celle d’une vigie. Il s’agit de signaler les risques, et la tâche s’arrête là. Ainsi, la notion de responsabilité, qui figure dans l’intitulé du poste de RSSI, est quelque peu galvaudée. Au final, la responsabilité revient à un membre du comité exécutif, voire au PDG.

Les stratégies d’entreprise doivent être définies au plus haut niveau ; nous participons simplement aux éléments de réflexion, mais ne représentons en aucun cas un poste de décideur. Ce n’est pas le ministre de l’Intérieur qui définit la politique d’un Etat !

Ensuite, notre mission consiste à faire en sorte que les décisions prises soient bel et bien appliquées. C’est lors de cette phase que la notion de responsabilité du RSSI entre en jeu. Pour autant, la conduite du business implique inévitablement de prendre des risques. A cet égard, je milite pour la création, au côté du RSSI, d’un “comité des risques” qui soit à même de les assumer sur un projet particulier. Auparavant, lorsque

les risques étaient mineurs, le pouvoir du RSSI consistait à dire “non”. Cette époque est révolue, le RSSI devant souvent dire “oui” ; mais jusqu’où peut-on supporter l’accélération, tout en maintenant une qualité de sécurité ?

Au final, la transformation digitale contraint le RSSI à adapter son langage et sa réflexion aux réalités économiques du moment. Il ne s’agit pas d’éradiquer le risque, mais au moins de le contenir, de l’atténuer. »

VOUS INSISTEZ SUR L’EFFICACITÉ DU LEVIER COMPLIANCE POUR AGIR EN MATIÈRE DE SÉCURITÉ…

« C’est le principe de la peur du gendarme. Même si on parvient à démontrer très concrètement que les risques sont présents, les utilisateurs continueront à percevoir la sécurité comme un empêcheur de tourner en rond... En revanche, si des géants comme Visa ou Mastercard imposent de respecter certaines règles sous peine de supprimer la possibilité d’utiliser les cartes bancaires, la réaction est autrement plus vive ! Le responsable de la sécurité doit profiter de ce levier : si le risque est encore perçu comme très théorique, sortir la carte compliance peut se révéler extrêmement efficace.

Les demandes de compliance, quelles qu’elles soient, contribuent indéniablement à faire progresser la protection des entreprises, à condition de bien savoir les utiliser pour faire de la sécurité. »

31

Les enjeux de sécurité de la transformation

digitale



32

PARTICIPANTS

L’environnement des entreprises est de plus en plus digital, interconnecté, collaboratif et global. Cette nouvelle donne, riche en opportunités, l’est aussi en menaces... Les entreprises font en effet face à des attaques de plus en plus fréquentes et de plus en plus dangereuses. Les attaquants profitent de l‘ouverture des SI pour exploiter au mieux les vulnérabilités et utilisent les nouvelles ressources du Cloud et du Big Data pour décupler la puissance de leurs attaques. La Sécurité des SI étant un catalyseur clé de la transformation digitale, sans confiance digitale, pas de transformation digitale ! . Comment l’entreprise doit-elle s’ouvrir et favoriser les flux sans compromettre sa stabilité et ses clients?

. Comment faire évoluer les politiques de sécurité pour accompagner et garantir la fluidité des données ?

. Quel(s) outil(s) pour réduire les interstices entre les silos et rendre le système moins vulnérable dans sa globalité ?

. Comment couvrir depuis le risque humain jusqu’aux failles des réseaux en passant par les vulnérabilités des infrastructures et des applications ?

. Comment décliner la stratégie de cybersécurité en profondeur, tout en concentrant ses moyens sur les actifs les plus importants de l’entreprise ?

. Comment augmenter le lien entre la cybersécurité, l’informatique et les métiers ?

ANIMATEURS

PROGRAMME

. YSEOP, Emmanuel Vignon, CTO

. ACCOR, Serge Saghroune, Chief Information Security Officer

. MINISTERE DE L'INTERIEUR, Sylvie Sanchis, Chef de la BEFTI

. Le Responsable des opérations IS/IT d’une grande société du secteur agroalimentaire

. ALLIANZ GLOBAL ASSISTANCE, Frédéric Jesupret, RSSI

. Le RSSI d’un grand groupe dans le secteur des CPG

. ORANGE FRANCE, Olivier Bornet, Directeur SI Relation Client

. MAPPY, Cyril Morcrette, Directeur Technique

. M6, Francis Niochaut, RSSI

. OMNICOM MEDIA GROUP, Vincent Cadoret, DSI

. Le Group Chief Information Security Officer d’une grande maison de Luxe

Fabrice De Labareyre, Associé, PwCSihem Valentino, Security Portfolio & Marketing Leader,IBM

EMMANUEL VIGNON YSEOP

« Yseop est un éditeur de logiciels qui a plusieurs business models : d'un côté l'installation du software chez nos clients, et de l'autre le modèle SaaS. Il s'agit d'avoir une approche assez pragmatique de la question de la sécurité des données : toutes les données présentes dans l'entreprise méritent-elles d'avoir le même traitement en matière de sécurité ? »

SERGE SAGHROUNE ACCOR

« La transformation digitale implique de multiples changements, il s'agit ici de voir quelles peuvent être les bonnes pratiques au sein des différentes entreprises. »

SYLVIE SANCHIS MINISTERE DE L'INTERIEUR

« Je suis commissaire de police à la Direction de la police judiciaire de Paris. Depuis le premier trimestre de 2015, je suis le chef de la Brigade d'enquêtes sur les fraudes aux technologies de l'information (BEFTI). »

LE RESPONSABLE DES OPÉRATIONS IS/IT D’UNE GRANDE SOCIÉTÉ DU SECTEUR AGROALIMENTAIRE

« Nous avons énormément de prérequis et de standards sur la sécurité. Un certain nombre de données sont placées dans le cloud, avec évidemment des enjeux extrêmement forts en termes d'image de marque. »


34

FRÉDÉRIC JESUPRET ALLIANZ GLOBAL ASSISTANCE

« Nous sommes présents dans une trentaine de pays dans le monde, avec un processus de digitalisation qui se déploie dans notre cœur de métiers, avec notamment l'arrivée des objets connectés. »

LE RSSI D’UN GRAND GROUPE DANS LE SECTEUR DES CPG

« Notre groupe a une forte ambition digitale, avec de nombreux projets dans ce domaine. Ce développement fait apparaître un certain nombre d'enjeux en termes d'image de marque, il doit donc s'accompagner d'efforts en matière de sécurité. »

OLIVIER BORNET ORANGE FRANCE

« Les événements survenus en début d'année 2014 nous ont rappelé les exigences de sécurité. De par la présence médiatique d'Orange, cette question représente un enjeu considérable. Dans le virage de la digitalisation, Orange se doit d'être dans l'excellence en termes de relation client sur les nouveaux canaux, et donc en termes de sécurité. »

CYRIL MORCRETTE MAPPY

« Aujourd'hui, le business model de Mappy se transforme, notamment en proposant une visibilité de plus en plus importante aux commerces. Il s'agit donc de se transformer, sans que la sécurité soit perçue comme une contrainte pour l'évolution du business. »

FRANCIS NIOCHAUT M6

« Nous avons été marqués par l'attaque qui a récemment touché la chaîne TV5 Monde. En tant que diffuseur, le sujet qui consiste à améliorer notre sécurité a ainsi pris davantage d'importance. »

SIHEM VALENTINO IBM

« IBM a créé il y a quelques mois une entité entièrement dédiée à la sécurité. Ce sujet est devenu, par la force des choses, stratégique à la fois pour nous IBM, nos clients et nos partenaires. Il s'agit de partager notre expérience interne et notre expertise dans ce domaine avec eux. D'ailleurs, c'est dans cet esprit que nous leur avons ouvert notre base de données X-Force Exchange qui est une plateforme cloud de partage de renseignements sur tous types de menaces, qui permet aux utilisateurs de se renseigner rapidement sur les dernières menaces de sécurité à l'échelle mondiale et de collaborer avec leurs pairs pour s'échanger des renseignements et des solutions exploitables et enrichir cette base par leurs propres expériences. »

35

LE GROUP CHIEF INFORMATION SECURITY OFFICER D’UNE GRANDE MAISON DE LUXE

« Il s'agit de procéder comme par le passé, avec une matrice de risques et une priorisation des actions. Maintenant, qu'a changé l'émergence du digital ? Chaque usage nouveau apporte un niveau de risque différent. L'enjeu consiste à convaincre le management qu'il faudra engager des actions pour réduire ces risques. Il y a deux fondamentaux sur la question de la sécurité : 1/ Protéger les informations 2/ Installer autour de l'utilisateur un environnement de confiance. »

OLIVIER BORNET, ORANGE FRANCE

« Les failles successives qu'a connues Orange au cours du premier semestre 2014 ont fait l'effet d'un électrochoc. Aujourd'hui, plus personne ne remet en cause les efforts faits sur la sécurité. Toutefois, il y a encore de la méconnaissance de la part des utilisateurs, la menace n'est pas encore totalement claire. Il s'agit de les sensibiliser davantage, car au cours des derniers mois, c'est la nature de la menace qui a changé. Il y a encore dix-huit mois, le "gentil hacker" opérait dans son coin pour réaliser un exploit personnel. Aujourd'hui, la menace est bien plus organisée et industrialisée. De plus, ces risques sont désormais bien connus du grand public, et dorénavant l'enjeu en termes d'image est devenu bien plus important. »

FRANCIS NIOCHAUT, M6

« Les attaques récentes chez TV5 Monde sont bien présentes dans les esprits et permettent de justifier les efforts faits sur la sécurité. »

Peut-on affirmer que la médiatisation de certaines attaques particulièrement marquantes

a donné lieu à une prise de conscience durable sur les enjeux de sécurité ?

36


« Le digital implique de renforcer la protection contre les intrusions. C'est le principal changement qu'a impliqué le digital. Avec les mésaventures qu'ont connues des entreprises comme Orange ou Sony Pictures, il y a eu une véritable prise de conscience des Directions Générales sur le sujet. Aujourd'hui, plus aucune Direction Générale ne peut ignorer que l'entreprise peut subir un énorme coup dur en cas d'incident informatique. La cybersécurité fait maintenant partie des sujets pris à bras-le-corps par les Directions Générales. Nous excluons le mot "sensibilisation" de notre vocabulaire. Il ne s'agit plus de sensibiliser, mais de former, d'informer et de sanctionner ceux qui ne respectent pas les règles. »

Que change la notion de transformation digitale dans la manière

de travailler la sécurité ?

CYRIL MORCRETTE, MAPPY

« Au sein du groupe Solocal, les RSSI sont encore trop solitaires... Il n'y a malheureusement pas encore eu de prise de conscience forte sur le sujet de la sécurité. Les utilisateurs se croient à l'abri, pensent que les problèmes "n'arrivent qu'aux autres…" Avec les contraintes budgétaires, la sécurité est encore perçue comme des contraintes, qui bloquent les projets. Les développeurs sont souvent les premiers à contourner les règles de sécurité élémentaires pour faire avancer les projets sans toujours prendre conscience des risques. Il s'agit d'inverser la mécanique en essayant d'impliquer les développeurs dans la sécurité. Par exemple, dans l’organisation d’hackathons où il s'agit de dénicher des failles de sécurité, et où ceux qui y parviennent se trouvent récompensés. C'est en créant des projets de sécurité que l'on peut avancer sur le sujet, et non en imposant des contraintes qui semblent tombées du ciel. »

VINCENT CADORET, OMNICOM MEDIA GROUP

« Il y a une tendance forte dans nos métiers : l'agilité. L'utilisateur final devient en effet de plus en plus autonome autour de la donnée (self service BI, construction de tableaux de bord, etc.) Dès lors, comment peut-on parvenir à concilier les exigences de sécurité avec cette demande croissance d'agilité liée au business ? »

37

SERGE SAGHROUNE, ACCOR

« Le digital, c'est de l'informatique avec de nouvelles pratiques, plus agiles et parfois plus désordonnée. Dans ce contexte, les développeurs sont les personnes les moins à même de répondre aux exigences de sécurité ! Chez nous, chaque fois que nous allons mettre des données à l'extérieur, nous procédons en interne à un test d'intrusion chez le partenaire, quel qu'il soit. Les organisations ont tendance à se tourner vers les solutions les plus connues et toutes faites. La nature des développeurs d'aujourd'hui fait qu'ils ne peuvent pas se soucier de sécurité. »


« En cas d'expérience malheureuse, il y a une prise de conscience, mais la vigilance s'estompe bien rapidement… Dans ce contexte, je pense que la question de la compliance peut représenter un excellent levier pour agir en matière de sécurité. Les Directions Générales, si elles n'ont pas peur de la sécurité, craignent la compliance. Nous n'avons aucun mal à obtenir des budgets pour la mise en conformité CNIL ! Il s'agit alors de s’appuyer sur la normalisation pour faire de la sécurité. »


« On travaille maintenant de plus en plus en "mode agile" pour imiter les startups, et dans ces projets sprints, les acteurs de la sécurité ne sont pas les plus impliqués, car ils sont perçus comme des freins. »


« Ne peut-on pas plutôt s'appuyer sur la force de travail que représentent les développeurs ? Il y a un vrai levier qui s'offre à nous en les mobilisant sur les sujets de sécurité. La sécurité fait partie de leur état de l'art, de leur performance. »


« La population des développeurs est en effet une population difficile. Ils veulent montrer qu'ils sont toujours plus malins que les RSSI et tenteront de contourner les règles. »

38

EMMANUEL VIGNON, YSEOP

« Sait-on, d'un point de vue économique, combien a coûté l'attaque subie par Orange en 2014 ? Il est essentiel pour une entreprise de savoir combien coûterait une attaque. Je ne crois pas au fait que la compliance puisse représenter un levier pertinent en vue d'impliquer les utilisateurs en matière de sécurité. En revanche, je pense que la notion d'analyse de risques est plus adéquate pour justifier cette présence de la sécurité. »


« L'impact en termes d'image de marque a été mesuré. Il est apparu que c'est avec la seconde attaque qu'elle s'est dégradée de manière visible à travers les études et les sondages, alors que le grand public s'était montré tolérant sur la première attaque, car nous disposions d'un capital-confiance important. »


« La sécurité ne doit en aucun cas conduire le business. Le business a décidé qu'il fallait engager des plans digitaux, il nous faut nous y adapter et ne pas bloquer ces stratégies sous prétexte que les menaces s'accroissent. Néanmoins, on ne peut dire "oui" à tout, il y a forcément des moments où il faudra s'opposer… »


« Ces analyses de risques deviennent bien plus compliquées dans le monde de la cybersécurité. »

Avec l'accélération du top management sur les sujets liés au développement du digital,

comment est perçue votre voix au sein de l'entreprise ?

39

LE GROUP CHIEF INFORMATION SECURITY OFFICER D’UNE GRANDE MAISON DE LUXE

« Notre rôle ne doit pas être négatif. L'approche par les risques est pertinente : "Vous pourrez faire tel projet, mais face à ce risque, il conviendra de mettre en place des actions pour le réduire." Notre mission consiste à aider, grâce à notre expérience en la matière, à mettre en évidence les risques. »


« Les petites entreprises, les startups, ne sont pas en capacité de nous accompagner, à cause des contraintes de sécurité. Lorsqu'elles nous fournissent une solution, elles ne comprennent même pas les questionnaires de sécurité que notre groupe leur soumet... Ainsi, nous sommes malheureusement amenés à privilégier les grosses entreprises. »


« Les petites sociétés ne sont évidemment pas encore à un niveau d'excellence au plan de la sécurité, et cela est tout à fait compréhensible. Mais elles veulent apprendre, et si on se donne la peine de les y aider, on peut obtenir d'excellents résultats. Elles présentent le mérite d'être bien plus réactives que des grosses structures lorsque des failles sont identifiées… Dans certains cas, on doit faire porter un risque au business, lorsque l'application ne concerne que lui. En revanche, il devient bien plus difficile de tenir cette stratégie lorsque cela concerne les infrastructures (exemple d'un patch). Il s'agit de parvenir à installer une gouvernance digne de ce nom. »

40



« Attention au renforcement des obligations à venir.Les exigences imposées aux entreprises en termes de sécurité sont multiples : qualité des informations financières, protection des données personnelles,

réglementation du travail, réglementations sectorielles… La transformation digitale augmente considérablement

les risques, obligeant l’Europe à adapter sa réglementation. Le projet de règlement sur les données

personnelles en cours de finalisation vient ainsi consolider l’obligation de sécurité, imposer la nomination d’un Délégué à la Protection

des Données, généraliser l’obligation de notification des fuites de données, et instaurer des amendes

pouvant aller jusqu’à 20 000 000 EUR ou 4 % du chiffre d’affaire. A venir également le projet de directive

sécurité des réseaux et systèmes d’information (SRI) qui obligera les opérateurs qui fournissent des "services

essentiels" (énergie, transports, banque, santé) ainsi que les moteurs de recherche et les services cloud,

à prendre des mesures de sécurité appropriées et à notifier les incidents de sécurité

aux autorités nationales. »

41

Alors que la prise de conscience sur le caractère inévitable des attaques

a globalement eu lieu au sein des organisations, les RSSI se doivent

d’emporter l’adhésion de la Direction Générale pour la mise en place

d’un centre opérationnel de sécurité. Au-delà de la question

des investissements nécessaires, la conception, le déploiement et

le maintien en condition de ce dispositif renvoient directement à des enjeux RH

et à la notion de conduite du changement.

Qu’est-ce qu’un SOC efficace ?

3.

44

170jours en moyenne pour détecter une intrusion

LE NOMBRE D’ATTAQUES A PROGRESSÉ DE 144 % AU COURS DES QUATRE DERNIÈRES ANNÉES La question n’est pas de savoir si votre entreprise va être attaquée, mais quand elle le sera et surtout, si elle ne l’a pas déjà été… Dans un contexte de spectaculaire prolifération des attaques, qu’elles soient qualifiées de "persistantes avancées" (Advanced Persistent Threats) ou liées à la cybercriminalité traditionnelle, la question du Security Operation Center (SOC) est plus que jamais d’actualité.

Selon les plus récentes enquêtes, le nombre d’attaques réussies par entreprise a augmenté de 144 % au cours des quatre dernières années. Et le délai de résolution des problèmes issus des cyberattaques a progressé de 221 % au cours de la même période… Alors que les intrusions sont détectées au bout de 170 jours en moyenne, la mésaventure connue par Sony fin 2014 montre que certaines peuvent se déployer sur une plus longue période…

Une coopération entre les équipes techniques

et les équipes métiers est fondamentale.

45

UN PROJET DE DIMENSION STRATÉGIQUE Dans l’optique de garantir la continuité des activités métiers tout en composant avec les contraintes liées à la situation d’hyperconnectivité, le SOC est pour les équipes sécurité l’équivalent d’une tour de contrôle dédiée à la supervision et à l’administration de la sécurité. Etant entendu qu’il est impossible de couvrir l’ensemble des activités de l’organisation, il s’agira d’identifier les niveaux de risques ainsi que les principales menaces à combattre.

La mise en place d’un centre opérationnel de sécurité représente un projet de dimension stratégique qui a des conséquences sur l’ensemble des pans de l’entreprise ; en cela, le RSSI doit emporter l’adhésion de la Direction Générale afin d’obtenir les investissements nécessaires, et chaque département doit participer à la mise en œuvre du projet à travers des retours d’expérience ou des dashboards métiers.

Pour les Opérateurs d’importance vitale, le Security Operation Center doit également satisfaire les exigences de la Loi de programmation militaire 2014-2019, notamment au plan des notifications d’incidents aux autorités compétentes.

LA TECHNOLOGIE NE FAIT PAS TOUT Présentés bien souvent aux grandes entreprises comme des solutions miracles, ces centres sont pourtant caractérisés par un niveau de maturité peu flatteur, selon une récente étude menée par HP1. 87 % des SOC étudiés au cours de cette enquête n’atteignent pas le niveau recommandé par le modèle bâti par Carnegie Mellon (CMMI).

En outre, la multiplication des fournisseurs, des architectures et des options d’hébergement représente un obstacle à l’obtention d’une vue unifiée des cyberattaques, et donc à la mise en place d’un SOC efficace…

S’il est une certitude, c’est que la technologie ne fait pas tout ; ces dispositifs pâtissent d’un déficit de compétences : « Recruter des profils dotés des compétences appropriées peut nécessiter des mois et se conclut bien souvent par un constat d’échec, c’est pourquoi de nombreuses entreprises ont mis en place des programmes de formation pour leurs analystes », résume l’étude publiée par HP.

Ces équipes doivent connaître les actifs de l’entreprise ainsi que les informations sensibles qu’il s’agit de protéger. Que l’entreprise ait fait le choix de l’internalisation ou de l’externalisation du SOC, la notion de coopération entre les équipes techniques et les équipes métiers se révèle donc fondamentale.

1. « State of security Operations 2015 - Report of capabilities and maturity of cyber defense organizations business white paper », HP 2015.

Entretien

QUELLES SONT LES BONNES PRATIQUES À SUIVRE ET LES ÉCUEILS À ÉVITER DANS LA MISE EN PLACE D’UN SOC ?

« Tout d’abord, la première des bonnes pratiques, c’est d’avoir un SOC ! Il ne faut pas craindre l’outsourcing, mais comme dans toutes les situations, il est capital de bien comprendre ce que l’on externalise. Il ne faut pas se focaliser sur l’outil, qui représente une question totalement secondaire. La première étape consiste à définir ce que l’on désire faire avec un SOC, en s’intéressant aux process métiers.

Dans la mise en place d’un SOC, l’une des principales difficultés réside dans la question des ressources humaines : lourdeur des processus de recrutement et de formation, instabilité du personnel… Ce point tend malheureusement à être sous-estimé par certains acteurs qui voient, de fait, leur projet échouer. Au final, il me semble que la démarche la plus cohérente soit celle qui mêle internalisation et externalisation : il s’agit de faire opérer le SOC par un personnel externe tout en gardant la maîtrise de la totalité du dispositif. »CAISSE DES DÉPÔTS

ALAIN BOUILLÉDirecteur de la Sécurité

des Systèmes d’InformationEt Président du CESIN

« Le RSSI du XXIe siècle sera placé au cœur des process métiers »

Directeur de la Sécurité des Systèmes d’Information du groupe Caisse des Dépôts et Président du CESIN, Alain Bouillé analyse pour nous les profondes mutations qui touchent l’activité du RSSI dans un contexte de transformation digitale.

Alain Bouillé est le Directeur de la Sécurité des Systèmes d’Information du Groupe Caisse des Dépôts. Il est en charge de l’élaboration de la politique de sécurité du groupe, de la coordination et du pilotage de sa mise en œuvre dans les entités du groupe et du contrôle de son efficacité. Jusqu’en 2001, Alain Bouillé était RSSI du groupe La Poste où il exerçait des fonctions similaires. Il a auparavant été en charge du programme sécurité du système d’information chez JPMorgan pour les régions Europe et Afrique. Alain Bouillé préside depuis juillet 2012 le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) regroupant plus de 200 RSSI de grandes entreprises.

46

COMMENT LA CYBERSÉCURITÉ PEUT-ELLE ÊTRE UN CATALYSEUR DE LA TRANSFORMATION DIGITALE ?

« La notion de transformation digitale n’est pas un effet de mode, mais bel et bien une réalité qui s’impose progressivement à toutes les entreprises.

Depuis trois ans, une révolution est en marche, de par la nécessité de se rapprocher des attentes des clients et de dématérialiser un certain nombre de processus. Une telle évolution ne peut que contribuer à compliquer la vie du RSSI : c’est la fin de l’ère où l’on pensait avoir la maîtrise sur le patrimoine informationnel et sur sa protection.

Dès lors, il s’agit de faire des choix, car il est illusoire de chercher à tout protéger. S’il est une certitude, c’est que la transformation digitale ne pourra se faire sans sécurité, sinon les acteurs malintentionnés ne tarderont pas à s’en apercevoir ! Cet impératif a été globalement intégré par les organisations, le RSSI étant de plus en plus fortement connecté aux stratégies de l’entreprise. »

DANS CE CONTEXTE, COMMENT ÉVOLUE LA DÉFINITION DU PROFIL DU RSSI ?

« À l’image de ce qu’il s’est passé pour les DSI il y a quelques années, j’estime qu’un changement d’intitulé

de poste s’impose. Aujourd’hui, notre tâche va bien au-delà de l’informatique et du système d’information, puisque l’enjeu principal concerne la protection de la donnée. Le RSSI du XXIe siècle sera en charge de la sécurité au sens digital du terme, une sécurité qui soit harmonieusement intégrée : le RSSI devra être placé au cœur des process métiers.

Au plan organisationnel, la transformation numérique fait entrer un nouvel acteur, qui est le Chief Digital Officer. Ce dernier peut être amené à faire de l’ombre au DSI, qui tend à être confiné au SI classique. Au milieu de tout ça, se trouve le RSSI, qui n’a pas (encore) de concurrence, mais qui doit s’adapter à cette configuration nouvelle pour être un "apporteur de solutions" dans ce mouvement de digitalisation. »

SELON LES DERNIÈRES ÉTUDES DU CESIN, PLUS DE 60 % DES RSSI SONT RATTACHÉS À LA DSI EN FRANCE. COMMENT CETTE TENDANCE VA-T-ELLE ÉVOLUER ?

« Le tandem RSSI-DSI va perdurer, mais la tendance dans les grands groupes va vers une sortie du RSSI du giron du DSI. Il me semble à terme plus cohérent que le RSSI soit rattaché à un membre du comité exécutif. Il est plus sain que le Comex ait quelqu’un sur qui se reposer face aux risques de cybercriminalité. D’autant que les menaces ne vont pas aller en diminuant, chaque nouvelle génération d’innovations apportant avec elle son lot de risques. »

47

Qu’est-ce qu’un SOC efficace ?



48

PARTICIPANTS

Les attaques (APT) font partie de la vie des entreprises et il est illusoire de penser que l'on peut en être à l'abri… Quelles que soient les protections mises en place, un attaquant décidé et disposant de moyens sera capable d'entrer dans les systèmes. La question n'est pas de savoir si l'on sera attaqué, mais comment faire face en détectant l'attaque et en agissant pour la confiner. Les SOC et les CERT deviennent alors des moyens incontournables.

. Que peut-on en attendre ?

. Comment les mettre en place ?

. Quelles compétences sont nécessaires pour qu'ils soient efficaces ?

. Que faut-il surveiller ?

. Quels reportings d'activité et indicateurs ?

Fabrice De Labareyre, Associé, PwCYann Fareau, Pratice Leader Security Consulting, IBM

ANIMATEURS

PROGRAMME

. MINISTERE DE L'EDUCATION NATIONALE, Benoît Moreau, RSSI

. C.C.I. DE BASTIA ET DE LA HAUTE CORSE, Dominique Berti, Directeur Informatique

. Le Responsable des opérations IS/IT d’une grande société du secteur agroalimentaire

. BLUESOLUTIONS, Nicolas Gaudin, RSSI

. RADIO CLASSIQUE/LES ECHOS, Eric Lenfant, Responsable informatique digital chargé de projets API et R&D

. BACKELITE, Cyril Siman, Directeur technique

. ARMAND THIERY, Grégory Adrot, RSSI

. SUEZ ENVIRONNEMENT, Pierre-Jean Bloquet, RSSI Groupe

. ORANGE FRANCE, David Coccolo, Responsable Département QoS et Sécurité

. ANSSI, Matthieu Hentzien, Chargé de Mission au Bureau Politique Industrielle et Assistance

. RENAULT, Mariana Vasilache, Chef de projet SOC

. MUTEX, Mostafa Laaroussi, RSI

49

BENOÎT MOREAU, MINISTÈRE DE L'ÉDUCATION NATIONALE

« L'enjeu principal concerne le réseau reliant toutes les académies (soit 30 DSI) ainsi que le réseau reliant l'ensemble des entités de recherche et les universités. Il s'agit de monter des fonctions de SOC, avec une approche "non-officielle" : le SOC apporte-t-il des éléments pour permettre de réévaluer les moyens nécessaires dans un second temps ? »

DOMINIQUE BERTI, C.C.I. DE BASTIA ET DE LA HAUTE CORSE

« En tant qu'établissement public, nous sommes soumis à la politique de sécurisation des systèmes d'information de l'Etat. Un certain nombre d'outils permettent de nous alerter. Il convient désormais de trouver une solution pour centraliser l'ensemble de ces alarmes, afin de gagner en efficacité. »


« Il y a environ deux ans et demi, le groupe nous a imposé de revoir l'ensemble de nos solutions cloud. »

NICOLAS GAUDIN BLUESOLUTIONS

« BlueSolutions est une entité du groupe Bolloré, regroupant plusieurs sociétés du groupe, dont la société Polyconseil en charge des systèmes d’information et de la maîtrise


50

d’ouvrage. Nos solutions mettent en œuvre des services et des produits tirant parti du stockage de l'énergie électrique au moyen des batteries LMP Bolloré. Autolib' est un des services phares développés par BlueSolutions. Il y a un an, une analyse de risques puis un audit de sécurité ont mis en évidence le fait que la question de la sécurité, bien que prise en compte, n'était pas toujours traitée de façon pertinente, notamment concernant la rapidité de détection des incidents. »

ERIC LENFANT RADIO CLASSIQUE

« Depuis les attaques subies par TV5 Monde, les médias se posent de nombreuses questions sur la sécurité. Quelles sont les contraintes induites par le SOC ? Est-ce réellement efficace ? Est-ce véritablement adapté à l'univers des médias ? »

CYRIL SIMAN BACKELITE

« Nous sommes une petite structure rassemblant 140 collaborateurs. La notion de sécurité prend de plus en plus de poids, du fait de la croissance que nous connaissons. Pour l'heure, les SI sont encore complètement distincts. »

GRÉGORY ADROT ARMAND THIERY

« Nous nous interrogeons sur la possibilité de mettre en place une structure plus cohérente pour la gestion de la sécurité. A ce jour, un grand

nombre d'outils nous permettent de remonter des informations sur nos systèmes, la difficulté réside dans une centralisation efficace et qui nous permettrait de réduire la charge d’analyse et de traitement. Il s'agit donc de faire évoluer l’existant pour rationaliser ces tâches et ainsi ne plus surcharger les équipes IT. »

PIERRE-JEAN BLOQUET SUEZ ENVIRONNEMENT

« Nous sommes en pleine situation de restructuration, avec une démarche de "désimbrication" par rapport aux services que nous fournissait jusqu'à présent GDF Suez. Dans ce contexte, nous reprenons la partie réseau et infrastructure internationale. Nous nous interrogeons sur la possibilité de mettre en place un SIEM et un SOC pour superviser l'ensemble de l'infrastructure du groupe. En parallèle, nous nous orientons de plus en plus vers le cloud. La question de l'interfaçage d'une solution de SIEM et de SOC vis-à-vis des solutions cloud est un point qui m'intéresse particulièrement. »

DAVID COCCOLO ORANGE FRANCE

« Je suis en charge du Département Qualité de service et Sécurité, et je m'occupe notamment des applications online de notre portail (espace client et boutique Orange.fr). La sécurité est pour nous devenue un enjeu majeur. Nous offrons de plus en plus de services à nos clients, mais la problématique de la sécurité représente un facteur de progrès et un atout concurrentiel. Un SOC est déployé sur différentes briques

51

(réseau, applicatif...) ou nous travaillons sur de l’amélioration continue sur la supervision sécurité en étroite collaboration avec tous les acteurs sécurité, équipes SI (Run, Build) et les entités opérationnelles afin de rendre le SOC intégré à notre organisation. »

MATTHIEU HENTZIEN ANSSI

« L'ANSSI influe sur le métier des SOC via la mise en application de l'article 22 de la loi de programmation militaire. Ce dispositif législatif incite les OIV à protéger leur système d'importance vitale avec des systèmes de détection d'événements qualifiés opérés sur le territoire national par des prestataires qualifiés de détection d'incidents de sécurité. Afin d'accompagner les OIV dans la mise en œuvre de la loi de Programmation militaire, L'ANSSI a produit et publié un référentiel métier destiné à qualifier les prestataires de détection d'incidents de sécurité (PDIS). Nous avons démarré une phase expérimentale de qualification, avec un nombre restreint de prestataires et d'organismes d'évaluation. Le référentiel PDIS a été conçu de manière collégiale avec un panel de prestataires et d'utilisateurs. Il est librement accessible sur le site Internet de l'ANSSI. Il aborde essentiellement l'activité des SOC à travers deux aspects: la robustesse du SI du prestataire qualifié et la qualité de la prestation de détection d'incidents de sécurité. »

MARIANA VASILACHE RENAULT

« Renault a pris la décision de mettre en place un SOC cette année. Nous avons commencé le projet en nous concentrant sur la partie infrastructures, avant d'aborder la partie applications dans un deuxième temps. »

MOSTAFA LAAROUSSI MUTEX

« Je suis RSI de la société d'assurance Mutex. Il s'agit ici de prendre connaissance des différentes expériences sur la mise en place des SOC. »

52

INTRODUCTION

Par Fabrice De Labareyre (PwC)

« La question du SOC constitue un sujet d'actualité, compte tenu de la prolifération des ATP. Tout le monde a conscience

qu'aujourd'hui les attaques sont inévitables... Les enjeux sont évidemment plus ou moins importants en fonction des entreprises. Les dispositifs de protection et

de détection doivent donc être adaptés aux enjeux et aux moyens de l'organisation.

Les entreprises qui ont transformé des NOC en SOC ont constaté que la valeur ajoutée était faible.

La technologie ne fait pas tout. Elle n'est pertinente que si, derrière, se trouvent des Hommes compétents… »

53

Quelles sont les bonnes pratiques à suivre dans la mise en place d’un SOC ?

BENOÎT MOREAU MINISTÈRE DE L'ÉDUCATION NATIONALE

« La première question qui se pose à nous est la suivante : qu'est-ce qu'un bon SOC ? Aujourd'hui, dans la mise en place des systèmes de sécurité, il faut, autant qu'il est possible, se débarrasser de l'humain (détection, mise à jour...) afin de tendre vers l'automatisation. À partir du moment où l'on ne peut plus "sortir" l'humain, il convient de bâtir un outil qui soit là pour venir en aide à l'humain sans s'y substituer.

Un bon outil doit s’inscrire dans la logique OODA : Observer (problématique en termes d'outils), Orienter (connaître le contexte), Décider (problématique organisationnelle), Agir (problématique technique). Tous les éléments qui ne répondent pas à ces quatre grands principes doivent systématiquement disparaître. La notion de sensibilisation des métiers à l'usage est absolument fondamentale. Il faut se mettre d'accord : que peut-on faire ? que ne peut-on pas faire ? qui décide ? Le SOC, le NOC et le CERT représentent trois temps de réaction bien différents. »


« Le contexte métier n'est pas forcément maîtrisé par le prestataire. Il y a donc toujours besoin d'un échelon interne pour faire le lien. La priorité, au regard de notre niveau de maturité, consiste à comprendre ce qu'il se passe : la vision de la DSI avec ce que l'on a réellement branché est-elle conforme ? »

« Pour disposer d’un SOC efficace il convient de connaître les informations

sensibles et donc les actifs de l'entreprise à protéger. Il faut également savoir comment les attaquants procèdent. La chaîne de commandement et de

pilotage des incidents doit être adaptée. La problématique principale d’un SOC concerne donc la capacité des équipes à analyser les signaux faibles, à prendre des décisions et à avoir le bon niveau de

discernement pour entreprendre les bonnes actions face à la situation rencontrée. Les plus petites entreprises n'ont pas

toujours les moyens de disposer en interne de telles compétences. »


54

« Contre qui et contre quoi veut-on se protéger ? Il est capital de se poser cette question, qui peut

paraître simpliste de prime abord. La réponse va vous permettre de vous fixer un cap et de naviguer au sein

de votre stratégie d'évolution. Se pose aussi la question de l'identification des acteurs de confiance. Certaines

grandes entreprises évoluent dans un contexte mondial et, pour se prémunir contre les attaques

des organisations criminelles, il faut collaborer avec des acteurs situés bien au-delà des frontières

françaises.Nous avons commencé à travailler sur les indicateurs.

Il est essentiel d'avoir une approche qui soit qualitative et pragmatique pour vous fournir des

paliers d'évolution. Le dernier enjeu majeur concerne la question de la valorisation de votre SOC. Pour ce

faire, quels sont les indicateurs que vous allez partager au point de vue opérationnel et vis-à-vis de votre

management ? Il faut donc passer du stade de la simple information technique à celui de la définition

d'un préjudice pour l'entreprise. »

PAROLE D’EXPERT Yann Fareau, IBM

PIERRE-JEAN BLOQUET, SUEZ ENVIRONNEMENT

« Nous sommes en train de commencer un appel d'offres. Il y a différents niveaux, avec tout d'abord une partie collecte : une première instance permet d'effectuer du monitoring. Ensuite, vient la partie analyse et corrélation de différents éléments. Ma problématique, c'est que cette analyse a besoin d'une connaissance du client. L'externalisation empêche cette fusion avec la partie métier. De quelle manière faire le lien pour que l'on puisse travailler avec des prestataires qui n'ont pas cette connaissance-là ? De plus, les règles mises actuellement en place ne seront pas celles qui seront en vigueur dans six mois… »

MARIANA VASILACHE, RENAULT

« Nous nous concentrons pour l'instant sur la partie infrastructure. On se construit progressivement une expérience à ce niveau avec une baseline, avant de passer dans un second temps à la partie applications. »

Quels sont les prérequis à respecter ?

55

« En matière de sécurité, le ROI n'existe pas réellement. C'est au départ une dépense contre une menace réelle probable. La question qui se pose est de

savoir si l'effort porté sur la sécurité n'est finalement pas supérieur au préjudice que l'on pourrait subir ? Cependant certains préjudices sont incalculables

comme par exemple l’atteinte à l’image. »

« Le SOC doit s'insérer de manière fluide dans une situation de gestion

de crise. Il doit fournir tous les éléments pour permettre

aux dirigeants de prendre la décision la plus pertinente. »



MOSTAFA LAAROUSSI, MUTEX

« Dès lors, il faut plus raisonner en termes de conformité réglementaire que d'évaluation économique. Dans le secteur de la banque/assurance, la Banque de France et les autorités poussent les acteurs à investir dans la sécurité. »

NICOLAS GAUDIN, BLUESOLUTIONS

« Grosso modo, en plus de la nécessité de conformité réglementaire, les dirigeants sont aussi sensibilisés au fait qu'ils doivent impérativement garder le contrôle (de leurs systèmes d'information, de la communication, de leur activité en général). »

56

PIERRE-JEAN BLOQUET, SUEZ ENVIRONNEMENT

« GDF Suez a un SOC qui a été long et coûteux à mettre en place. Un certain nombre de remontées nous informent régulièrement sur les risques et les comportements anormaux. Avec les étapes SIEM et SOC, le nombre d'alertes est assez phénoménal... Les alertes "réelles" remontées vers le SOC sont bien moins nombreuses. La tâche la plus importante a donc consisté à ne conserver que les informations vraiment pertinentes, pour être en capacité de les traiter convenablement avec les circuits appropriés. »


« On pense surtout au SOC lorsque l'incident est là. Néanmoins, il faut insister sur le fait que le SOC peut également agir dans une démarche préventive, avec la détection de comportements permettant d'identifier une vulnérabilité et d'agir avant l'attaque. »


« Au début, on mettait en place des outils pour des questions de performance et de construction. Pour la valorisation du SOC, il convient de mettre en avant le fait qu'il détecte autre chose que les attaques. Le SOC est un merveilleux outil de "troubleshooting" avec la DSI. Tant que l'élément n'est pas qualifié comme étant une attaque, il reste un incident en cours de qualification. À cet instant, la DSI est souvent très heureuse d'intervenir pour analyser les flux. »

DOMINIQUE BERTI C.C.I. DE BASTIA ET DE LA HAUTE CORSE

« Quand j'ai commencé à effectuer de l'analyse de comportements sur mon système d'information, ce n'était pas pour savoir si j'avais été attaqué. L'objectif consistait à améliorer le SI et à identifier les investissements les plus appropriés pour gagner en efficacité. Aujourd'hui, les tendances sont à la virtualisation, la mutualisation, le partage de notre information sur le Big Data et la délocalisation du SI... Dans ce contexte où la notion d'ouverture est privilégiée, on se rend compte que si demain nous sommes attaqués, c'est toute l'entreprise qui sera mise à mal. Ainsi, nous sommes confrontés à une ambivalence: suivre les tendances et être capable de repartir de zéro pour repenser un système sécurisé à l'intérieur de l'entreprise. D'un côté, pour être efficace il faut faire preuve de rapidité et posséder les compétences en interne, et de l'autre mettre en place un pilotage automatique depuis l'extérieur en cas d'attaque sans maîtriser la composante temporelle. »

57


« La mise en place d'un SOC va forcément permettre de voir davantage de choses suspectes dans un SI. Les anomalies qui seront alors remontées par les équipes de sécurité (par exemple, des différences de configuration entre environnements de pré-production et de production) vont nécessairement engendrer un coût opérationnel au niveau de la DSI que cette dernière n'aura pas forcément la capacité d'absorber dans son dimensionnement initial. Il faut donc aussi prendre en compte ce coût induit dans le chiffrage d'un SOC. »

MATTHIEU HENTZIEN, ANSSI

« Avant d'aborder le travail de production du référentiel PDIS, l'ANSSI a procédé à un état des lieux macroscopique de l'activité MSSP (Managed Security Services Providers) sur le territoire français. Notamment afin de comprendre pourquoi le marché des MSSP était aussi florissant aux Etats-Unis alors que comparativement en France il reste très peu développé. Outre-Atlantique, le marché MSSP est fortement dynamisé par la conformité aux multiples réglementations Cyber. L'ANSSI espère qu'en France, la loi de programmation militaire donne la bonne impulsion à cette activité sur le territoire qui est essentielle pour faire face à la menace actuelle.

Dans un second temps l'ANSSI a rencontré une dizaine de SOC du secteur privé sur le territoire afin d'échanger sur les pratiques métier. Nous avons été souvent déçus par le niveau de la prestation de détection d'incident. Par exemple, nous avons pu constater la faible capacité d'étonnement des opérateurs de SOC,

« Les retours par rapport à l'ensemble des SOC que nous sommes amenés à gérer pour nos clients font état d'une

moyenne de deux alertes par semaine méritant une investigation. C'est un élément à prendre en compte, car bien souvent

la perception du problème est biaisée (en s'attendant à quelques incidents "occasionnels"). Par ailleurs, les études menées en

2014 affirment que le coût moyen d'un vol de donnée est de l'ordre de 130 dollars par information.

Enfin, il apparaît que les Français sont les plus "rancuniers" vis-à-vis d'une entreprise qui a été hackée... Une société piratée va subir une perte de clients bien plus forte que dans les autres

pays. A cela s'ajoutent les complexités liées aux évolutions de la réglementation européenne sur la déclaration des incidents

de sécurité. On ne peut utiliser la mise en conformité comme seul levier de transformation sur la sécurité ;

cela reviendrait à avouer que nous avons échoué dans notre mission d'éducation

et de justification. »

PAROLE D’EXPERT Yann Fareau, IBM

58

une qualité pourtant indispensable face aux schémas d'attaque actuels. Il y a en France une excellente expertise de l'offensif Cyber (tests d'intrusion) mais nous avons des progrès à faire sur l'investigation et la supervision cyber en général. Par ailleurs on peut aussi déplorer une tendance à la dégradation dans le temps des relations prestataire / commanditaire, ce qui contribue à l'image négative de l'activité de détection d'un SOC. »

« Lorsqu'elle crée une communauté de prestataires qualifiés, l'ANSSI vise à reverser sa connaissance de la menace à cette communauté et par capillarité à leurs donneurs d'ordre. »

MATTHIEU HENTZIEN, ANSSI

« Dans le référentiel, nous exigeons que le prestataire PDIS se surveille lui-même, c'est-à-dire qu'il ait son propre dispositif de détection interne. Nous avons constaté au sein de certains SOC des architectures "à risques" avec par exemple une mutualisation des architectures infogérance / détection / autres services. Ces pratiques sont aujourd'hui inadaptées. »

GRÉGORY ADROT, ARMAND THIERY

« Le fournisseur de SOC doit être capable de se remettre en question. Il est dans son intérêt de communiquer auprès de ses clients, même s'il n'a pas l'obligation légale de le faire. Lorsqu’un contrat est conclu, une clause doit spécifier que si le SOC est compromis, le client doit en être informé dans un délai très court. »

« Le SOC doit être audité. Pour avoir défini et mis en œuvre un modèle de maturité permettant de tester

la capacité de réaction des SOC, on constate de grandes disparités… Le SOC devrait être évalué

au moins tous les ans. Cette démarche permet également d’apprécier la qualité des investissements. »


59


« Le terme "évaluer" peut paraître déplaisant et certains lui préfèrent la notion d'entraînement. Une telle démarche permet d'entraîner les équipes à chercher, à appeler l'autorité, etc. Le résultat de l'entraînement est une forme d'évaluation. »

« Pour internaliser un SOC, il faut évidemment disposer

de moyens associés… Seuls les grands groupes peuvent

s'y atteler. Néanmoins, que l'on soit dans un contexte d'internalisation ou d'extermination, la notion de coopération entre les équipes

techniques et les équipes métier est absolument fondamentale. »


60



« Comment mettre en œuvre un SOC efficace à l’heure de la dépérimètrisation du SI ?

L’un des enjeux d’efficacité du SOC est de se doter des moyens d’agir et d’interagir rapidement avec et sur l’intégralité des systèmes qui constituent

le SI étendu de l’entreprise (serveurs, ICS/SCADA, ordinateurs et téléphones portables, Cloud, cartes à puce, montres connectées, GPS, IoT, ...), afin de

permettre à l’entreprise de protéger son patrimoine informationnel, de respecter ses obligations en termes

de sécurisation et de traçabilité notamment, de se doter de moyens de détection et de réponse aux incidents,

de gérer les identifiants d’accès, de constituer des dossiers de preuves numériques… Il convient

en conséquence de vérifier les PSSI et PCA respectifs applicables, de prévoir des dispositions contractuelles

adaptées garantissant les possibilités de tests de pénétration, d’analyse inforensique, de collecte

des données, d’effacement des données à distance, de blocage des accès, de coopération… »

61

L’émergence du "Bring Your Own Device", l’utilisation des services cloud

et demain la prolifération des objets connectés contribuent à l’étiolement

du contrôle des équipes de sécurité sur le patrimoine informationnel. La réponse

nécessite la mise en place d’une stratégie globale pour anticiper

les besoins métiers et prévenir les risques liés à ces usages nouveaux.

Comment garantir la sécurité des données liées au BYOD,

à l’IOT et au Cloud ?

4.

64

41 %des actifs utilisent leurs équipements personnels dans le cadre professionnel

Au cours des dernières années, les devices mobiles ont massivement investi l’environnement professionnel. Dans sa dernière étude sur les menaces informatiques et les pratiques de sécurité1, le Club de la Sécurité de l’Information Français (CLUSIF) note qu’en 2014, 41 % des actifs utilisent leurs équipements personnels dans le cadre professionnel, contre 32 % en 2012 (51 % pour les catégories socio-professionnelles supérieures, contre 48 % en 2012).

Selon les analyses d’Enterprise Management Associates (EMA)2, en 2016, 85 % des smartphones présents dans l’entreprise devraient être achetés par les employés eux-mêmes. Meilleure connaissance de l’outil, environnement plus flexible et attractif, productivité accrue... Fort de ces avantages, combinés à la disparition de l’écart de performance entre devices personnels et terminaux professionnels, le BYOD a pénétré les entreprises à l’initiative des utilisateurs finaux et s’est déployé de manière non contrôlée au sein des organisations, alors que des données confidentielles sont consultées et manipulées… Sources potentielles de virus en tous genres, ces terminaux sont, en outre, susceptibles d’entraîner une saturation des connexions Wi-Fi et des serveurs.

Taux d’équipement des salariés en supports mobiles

LAPTOP 29 %

Personnels

71 %58 %

57 %

TABLET

SMARTPHONE42 %

43 %

Fournis par l'entreprise

65

Dans ce contexte, et au-delà des enjeux juridiques et sociaux, les DSI ont été contraints d’étendre leur assistance aux environnements BYOD ; ils doivent composer avec une multitude de problématiques de sécurité des données ainsi qu’avec l’hétérogénéité des parcs informatiques.

Selon l’étude mondiale menée par Dell sur la sécurité informatique (2014)3, 57 % de décideurs IT considèrent que la démocratisation du BYOD représente l’une des principales préoccupations de sécurité pour les cinq années à venir.

LA SÉCURITÉ DANS LE CLOUD, UNE QUESTION NÉBULEUSE Pour les entreprises, les interrogations autour des notions de sécurité et de confidentialité des données représentent le frein principal à l’adoption du cloud. Premier enjeu : la capacité à identifier les données sensibles de l’entreprise ainsi que leur niveau d’exposition aux attaques. Le Cloud Computing contribue à faire bouger les lignes dans la conduite de la relation client/fournisseur entre les DSI et les Directions métier. Si ces dernières voient leur autonomie accrue avec le SaaS, le rôle des DSI reprend

sa dimension stratégique pour encadrer, administrer et piloter le nuage. À cette complexité liée au cloud et à l’environnement BYOD, vient s’ajouter une nouvelle "bête noire" : l’objet connecté. Une invasion (26 milliards d’objets connectés à l’horizon 2020, selon Gartner) qui vient elle aussi chahuter la sécurité de l’entreprise avec une extension significative de la surface d’exposition aux attaques.

LA RÉPONSE SERA GLOBALE OU NE SERA PAS Face à ces défis, c’est la dimension holistique de la réponse qui en déterminera sa qualité ; la mise en place d’une stratégie de sécurité à l’échelle de l’entreprise s’impose. L’implication en amont de toutes les branches de l’organisation fait figure de condition indispensable en vue d’anticiper les besoins métiers et de comprendre leurs conséquences techniques.

1. « Menaces informatiques et pratiques de sécurité en France » - Rapport 2014, CLUSIF, 20142. « Enterprise Mobility & BYOD: Four Biggest Challenges—And How to Solve Them », Frontrange, 20143. « Protecting the organization against the unknown - A new generation of threats », Dell 2014

Une stratégie de sécurité à l’échelle de

l’entreprise s’impose.

66

Entretien

Thierry Auger, 51 ans, diplômé de l’école centrale d’électronique, a débuté sa carrière à la Société Européenne de Propulsion (Propulseurs du lanceur Ariane) avant de rejoindre le département de traitement d’images de Matra (1989-1995) comme responsable technique sur les stations d’acquisition et de traitement des données satellites. Il a ensuite été responsable d’activités SI au sein de filiales de Matra Hautes Technologies puis d’EADS Defense and Security. En 2001, il a rejoint le département Systèmes d’Information du groupe Lagardère comme responsable des infrastructures et de la sécurité de l’information. En 2009, il a été nommé DSI adjoint.

COMMENT VOUS POSITIONNEZ-VOUS SUR LA PRATIQUE DU « BRING YOUR OWN DEVICE » ?

« Avec la transformation digitale, l’enjeu principal consiste à sortir de la sécurité dite "sanitaire" pour aller en direction d’une sécurité tournée vers les besoins métiers. Les implémentations BYOD qui ont pu être réalisées chez Lagardère ont été très cadrées et couvrent uniquement pour des parcs assez réduits qui répondent aux spécifications de la politique de sécurité. Il s’est notamment agi de collaborer étroitement avec les Ressources Humaines ou le service Juridique afin de mettre en place des chartes d’utilisation destinées à rappeler de manière explicite toutes les règles du jeu. »

COMMENT ÉVALUER ET PRÉVENIR LES RISQUES LIÉS AUX USAGES DU CLOUD ?

« Le premier enjeu concerne la notion de surveillance. Même s’il n’y a pas eu de décision de la part du DSI ou du RSSI, il y a des métiers qui ont déjà franchi le pas pour implémenter des solutions cloud. Dès lors, la priorité consiste à

« Bien structurer le contrat avant d’aller plus loin technologiquement »

BYOD, Cloud, Internet des Objets… Thierry Auger nous livre ses bonnes pratiques pour que la sécurité des SI puisse accompagner, voire servir l’innovation au sein de l’entreprise.

LAGARDERETHIERRY AUGER

Directeur adjoint des Systèmes d’InformationResponsable de la Sécurité des Systèmes d’Information

66

67

bien "remapper" la situation actuelle afin d’avoir une certaine visibilité sur ce que l’on appelle le "shadow IT". Ensuite, il convient d’effectuer une sélection de solutions pertinentes pour les métiers, et de les encadrer juridiquement en intervenant en amont sur les contrats.

Pour le DSI et le RSSI, cette approche consiste à analyser la technologie en question afin de s’assurer qu’elle réponde à un besoin pouvant se substituer à une solution historique « on-premise ». De quelle manière pourra-t-on l’encadrer contractuellement, vis-à-vis notamment de la conformité à la législation applicable ? Dès que l’on parvient à structurer le contrat de manière cohérente, il est possible d’aller plus loin technologiquement et de déployer.

On sort des frontières de l’entreprise pour poser du contenu sur des univers qui ne nous appartiennent pas. Mais on ne va pas se battre sur le fait de savoir où sont situées les données, quelles personnes y accèdent… Il s’agit en revanche de se focaliser sur la capacité à protéger l’accès et les contenus pour s’assurer qu’il n’y ait pas de risque, quels que soient les intervenants.

La solution réside alors dans le chiffrement des données (sans se fier au chiffrement du partenaire) et dans la gestion du secret associé. À partir du moment où une solution est sécurisée et implémentée, on ferme tout le reste pour éviter que des processus parallèles se mettent en place. »

L’INVASION IMMINENTE DES OBJETS CONNECTÉS SUSCITE-T-ELLE DES CRAINTES ?

« Les objets connectés représentent une nouvelle illustration de la difficulté croissante à suivre l’évolution de la donnée. La frontière bouge en permanence. Les générateurs, ou bien les porteurs de données peuvent être situés n’importe où et sont en mesure de traiter du contenu n’importe quand. Dans ce contexte, il faut s’assurer que tout ce qui se rapporte aux données de l’entreprise ne peut être compromis ni détourné. »

67

Comment garantir la sécurité des données

liées au BYOD, à l’IOT et au Cloud ?



68

PARTICIPANTS

BYOD, Cloud, Internet of Things : la mise en place de ces technologies de manière sécurisée ne peut se faire sans une approche holistique de la sécurité.

Au-delà des défis techniques, il importe de comprendre les enjeux de ces dispositifs pour les Directions métiers. C’est à cette condition que la sécurité des SI pourra accompagner, voire servir l’innovation dans l’entreprise.

. Comment anticiper les besoins métier ? Accès aux données, mobilité, capteurs (Internet of Things), ...

. Comment évaluer et prévenir les risques liés à ces nouvelles technologies ?

. Comment, en somme, mettre en place une véritable stratégie de sécurité à l’échelle de l’entreprise ?

Fabrice De Labareyre, Associé, PwCPierre Fedou, Business Development Executive, IBM

ANIMATEURS

PROGRAMME

. GROUPE PASTEUR MUTUALITE, Henrik Joulin, Chief Information Security & IT Compliance Officer

. GENERALI, Jean-Paul Joanany, RSSI


. GFI, Dimitri Druelle, Directeur des Opérations Sécurité

. L’OREAL, Sophie Martel, EMEA IT Risk Manager

. XEROX, François Cretté, CIL-RSSI

. LA POSTE, Denis Weiss, Program Manager - Connected Objects and Services

. Le Responsable IT d'une entreprise de services

. M6, Francis Niochaut, RSSI

HENRIK JOULIN GROUPE PASTEUR MUTUALITÉ

« Après 9 ans passés dans un grand groupe bancaire sur les aspects sécurité des systèmes d’information, continuité des activités et protection des données à caractère personnel, j’ai intégré, en tant que Responsable du pôle sécurité et conformité IT, le groupe Pasteur Mutualité (groupe mutualiste d'assurance de premier plan administré par des professionnels de santé pour les professionnels de santé). »

JEAN-PAUL JOANANY GENERALI

« Ayant commencé une carrière en 1986 dans l’aéronautique au sein du groupe Thales, sur les simulateurs de vol d’avions, j’ai rejoint en 1999 la société Cashware (spin-off du groupe Thales) pour le développement de solutions de sécurisation des transactions financières sur Internet. En 2003, je fais mes débuts dans le secteur des Assurances, en intégrant Aviva France en qualité d’Architecte des Systèmes d’Information, puis Generali France en 2010, tout d’abord comme Urbaniste des Systèmes d’Information, et depuis 2012 en tant que Responsable de la Sécurité des Systèmes d’Information. »


70

MOSTAFA LAAROUSSI MUTEX

« Je suis RSI de la société d'assurance Mutex. Il s'agit ici de prendre connaissance des différentes expériences sur la mise en place des SOC. »

DIMITRI DRUELLE GFI

« Garant de la sécurité et de la continuité du Système d’Information de Gfi informatique, j'assure la définition et la mise en œuvre opérationnelle de la politique sécurité du groupe. »

SOPHIE MARTEL L’OREAL

« Consultante sécurité et experte cybermenaces, j’ai rejoint L’Oréal début 2015 pour renforcer l’équipe sécurité en place, au vu des nouveaux enjeux. »

FRANÇOIS CRETTÉ XEROX

« Je suis Responsable Sécurité des Systèmes d’Information et Correspondant Informatique et Libertés de la filiale française de Xerox. »

PIERRE FEDOU IBM

« Je suis Ingénieur de formation. Je suis rentré a IBM en 1981 et j'ai tenu plusieurs positions dans les ventes, le marketing et à la DRH aussi bien en France qu’en Europe. J'ai créé à partir de 1996 l'unité Software au sein d’IBM et participé au développement de l'unité Software au niveau EMEA. En 2004, j'ai choisi d'orienter ma carrière vers des fonctions RH pour l'Europe du Sud, de manager des projets de transformation à IBM et enfin de participer au développement en France de l'unité Sécurité Services et Software. »

71

Sous la pression du marché, de nombreuses applications mobiles sont développées rapidement et ne sont pas testées...

Comment assurer la sécurité maximale du device mobile sans pour autant rendre la vie de l'utilisateur impossible ?

Quelles procédures avez-vous mis en place en cas de vol ou de perte du périphérique ?

FRANÇOIS CRETTÉ, XEROX

« Nous considérons que les données confidentielles ne doivent pas être situées dans le cloud, mais doivent impérativement rester dans l'informatique interne. Ce qui est sur le smartphone est crypté. Auparavant, avec ActiveSync, nous offrions un service supplémentaire en cas de vol avec l'effacement à distance de l'intégralité du téléphone. Désormais, nous se supprimons à distance que les données professionnelles. De même, si on se dirige vers Office 365, nous n’y placerons pas n’importe quelles données. »

SOPHIE MARTEL, L’ORÉAL

« En termes de monitoring, certaines solutions ne sont pas vraiment optimales. Nous recherchons par ailleurs une solution qui soit consistante entre les différents systèmes d'exploitation, terminaux mobiles compris. Notre ambition est de proposer une solution de file sharing collaboratif avancé, dans un environnement sécurisé ; voyons jusqu'où aller en ce sens avec Office 365, tout en ayant bien conscience de ses limites. »

DIMITRI DRUELLE, GFI

« Nous menons en ce moment une étude pour intégrer une solution de chiffrement souverain dans notre messagerie cloud. Ainsi les clefs de chiffrement seront maîtrisées par nous-mêmes tout en bénéficiant de « l'usabilité » de la solution de cloud. En cas de vol ou de perte d’un périphérique, le contenu des données reste inaccessible. »

72

HENRIK JOULIN, GROUPE PASTEUR MUTUALITÉ

« Microsoft met en avant la solution Azur Premium, avec un annuaire permettant de faire de la gestion des droits... Mais le dispositif reste assez limité en termes de pilotage, tableaux de bord, travail sur les traces… Des solutions tierces permettent d'analyser certains logs en temps réel et d’émettre des alertes vers les utilisateurs, d'autres proposent des boîtiers externes de chiffrement mais plus globalement, toutes ces solutions "cloud" contribuent à nous faire perdre la main sur l'administration technique, transformant les administrateurs en utilisateurs (changement de prisme). Ce type de solution revient également à confier à Microsoft (dans le cas d’AZUR) ou aux autres acteurs nos données, nous obligeant de définir des règles de confidentialité, de classification, des cartographies, d’anticiper la réversibilité qui devient compliquée une fois les solutions massivement adoptées (volumétrie, développements spécifiques autour de sharepoint, des CRM…), les risques liées à l’hébergement des données (où sont-elles, qui peut y accéder…). »

JEAN-PAUL JOANANY, GENERALI

« Il n'y a pas de raison que les applications mobiles soient plus (ou moins !) sécurisées que les autres. Nous avons sécurisé la chaîne de production de nos propres applications (scan de codes et mise en place de bonnes pratiques) mais nous ne sommes pas à l'abri des risques liés aux applications téléchargées par les utilisateurs. Il convient de voir avec la RH jusqu'où il est possible d'aller afin d’analyser ces applications. La solution consisterait peut-être à mettre en place un catalogue d’applications que l’utilisateur pourra télécharger le cas échéant. »

FRANÇOIS CRETTÉ, XEROX

« Il convient d’établir une différence entre, d'un côté, l'accès à une plateforme Internet depuis son smartphone ou son PC (c'est somme toute de la navigation), et de l'autre l'application métier pure et dure. Pour ceux qui ont accès aux applications, le smartphone est considéré comme exclusivement professionnel (l’appli professionnelle ne fonctionnant d’ailleurs que sur un seul et unique modèle de téléphone !) .»

Comment assurer la sécurisation des développements applicatifs sur mobile ?

73


« C'est donc la problématique du "shadow IT" qui revient sur le devant de la scène : les utilisateurs identifient des applications leur permettant (selon eux) de gagner en productivité. L'enjeu est d'avoir une visibilité sur ce phénomène, ce qui représente pour nous une tâche supplémentaire. Les solutions de Mobile Device Management sont à l’origine utilisées par des personnes dédiées à la gestion de parcs, elles n'ont pas forcément à l'esprit les problèmes liés à la sécurité. Le grand risque du MDM, c'est le no man's land en termes d'administration… »

SOPHIE MARTEL, L’ORÉAL

« Par rapport au "shadow IT", l'enjeu consiste à mettre dans les mains des utilisateurs un outil qui soit très intéressant au plan de l’ergonomie, qui fasse donc que l'employé n'ait aucune envie ni aucune raison d'aller chercher son bonheur ailleurs. »

« IBM a récemment mené une étude auprès de grandes entreprises

mondiales : il apparaît qu'un tiers des employés téléchargent

les données de l'entreprise dans des applications de cloud externe,

sans contrôle. Selon une autre étude menée avec Ipsos, plus de la moitié

des membres de la génération Y utilisent les services cloud

au travail. »

PAROLE D’EXPERT Pierre Fedou, IBM

74

LE RESPONSABLE IT D'UNE ENTREPRISE DE SERVICES

« Certains de nos clients nous poussent à ne pas utiliser des services de type cloud sur les données qui les concernent. Pour certaines études internes portant, par exemple, sur la satisfaction des employés, les entreprises peuvent nous confier des informations très confidentielles, comme l'organigramme détaillé. Le fait de se détourner des outils standards pour avoir recours à des solutions spécifiques a inévitablement un impact sur le coût de ces études. »


« Dès que l'on évoque la conformité par rapport à l'ACPR ou au commissaire aux comptes, il n'y a pas de débat… Mais pour le reste, nous restons dans une espèce de zone grise. »


« Clairement, la population qu'il est le plus difficile de sensibiliser est celle des développeurs. Ils considèrent que la sécurité n'est pas leur problème. Il est impossible d'expliquer à un développeur qu'il ne sera pas administrateur de son poste de travail. »

Ces nouveaux usages poussent à adopter une approche de sécurité basée non plus sur

de la conformité pure, mais sur le risque. Voyez-vous cette tendance arriver dans vos entreprises ?

« PwC va bientôt publier une enquête portant sur un panel de 10 000 clients du monde entier.

Il apparaît que 91 % des répondants ont adopté une approche orientée

risques pour la cybersécurité. »


75

Quelle politique adopter vis-à-vis du cloud ?

LE RESPONSABLE IT D'UNE ENTREPRISE DE SERVICES

« La question qui m'intéresse particulièrement est celle qui concerne les collaborateurs quittant l'entreprise, avec la problématique liée à la conservation des données qui étaient les leurs. Aujourd'hui, l'utilisateur a recours à OneDrive sur Office 365, et quand il part, des questions se posent dans une organisation multinationale avec des effectifs nombreux. »

DENIS WEISS, LA POSTE

« Il y a une vraie problématique autour de la formation de l'ensemble des utilisateurs. La véritable faille de sécurité, c'est l'utilisateur. Et cela est de plus en plus vrai, car ce dernier peut trouver partout des outils toujours plus simples d'utilisation. »


« Dans les processus de sortie, la solution peut venir de la mise en œuvre d'un "solde de tout compte numérique", avec un service à délivrer aux utilisateurs qui quittent l'entreprise. Aujourd'hui, ce sont plutôt les managers qui pour des besoins de continuité de service réclament un accès aux données de leurs collaborateurs ayant quitté l’entreprise, mais les membres de la génération Y manifesteront la volonté de récupérer leurs données. » « Je rencontre des difficultés pour identifier les profils des administrateurs sécurité. Le métier a évolué et ce sont de nouvelles compétences IT qui n'ont pas été très bien identifiées.Les métiers de la sécurité opérationnelle changent, et les membres de ces équipes tendent à devenir des "pousse-boutons", les outils étant devenus suffisamment "simples" pour un usage quasi automatique. En revanche, pour les tests d'intrusion, les gens doivent avoir une connaissance du métier, ce qui est intéressant pour rechercher des bonnes données sur les applications. »

« Tout le monde, un jour où l'autre, s'est fait piéger par un e-mail de phishing. L'enjeu consiste

à mettre en place des méthodes de formation et de surveiller

les postes de travail en permanence par de l'analytique. »


76

HENRIK JOULIN GROUPE PASTEUR MUTUALITÉ

« Nous n'en sommes qu'aux prémices sur les objets connectés. Avant, le périmètre à sécuriser était relativement connu (systèmes industriels, postes de travail, etc.) alors que désormais, tout peut être connecté (frigo, cafetière...) et par tout le monde. L’ère de la sécurité de type bastion est révolue. La communication et la sensibilisation sont ainsi de plus en plus nécessaires afin d’instaurer des réflexes utilisateurs et des échanges entre les fonctions de conformité, de sécurité et les métiers. »

DENIS WEISS, LA POSTE

« Dans le contexte de l'Internet of Things, être à l'intérieur de l'entreprise ou être sur le cloud, c'est pareil. C'est le jour où cette prise de conscience sera effective que l'on pourra tirer les bonnes conclusions. La sécurisation n'est plus dans les murs, nous n'évoluons plus dans une logique de bastion. »

DIMITRI DRUELLE, GFI

« Se pose en filigrane la question du positionnement du RSSI dans l'entreprise, afin d'avoir le budget et une vision du "shadow IT". Pour qu'il soit en mesure de défendre des plans stratégiques, il faut que le RSSI se rapproche de plus en plus du ComEx. Les plus récentes études ont montré qu'au moins 60 % des RSSI étaient rattachés à la DSI en France. »

Comment aborder la question de la sécurité par rapport à l’Internet

des Objets ?

« C'est un changement de paradigme, puisque tout est ouvert. Dans ce contexte,

la question qui se pose est-celle-ci: comment être certain que vous avez les Hommes, les outils et les méthodologies pour corréler les événements

qui surviennent ? C'est une nouvelle manière d'envisager la cohérence du système tout entier,

nous abordons la sécurité à la manière d’un système immunitaire qui réagit à un incident. »


77



« Ne pas oublier l’homme derrière la technologie.L’extension du périmètre du SI, via les objets

connectés, les accès distants, le télétravail, le cloud… impliquent le respect de différentes réglementations pour assurer la sécurité des données et également limiter les risques de responsabilité de l’entreprise (réglementation données personnelles, obligation

de sécurité et de notification des fuites de données, respect des droits de propriété intellectuelle;

responsabilité et pouvoir de contrôle de l’entreprise, droit du travail…). Il convient donc de ne pas omettre

les obligations imposées à l’employeur s’agissant notamment du respect de la durée légale du travail, des risques de discrimination entre salariés et de l’épineuse

question du respect de la vie privée des salariés. L’adaptation de la charte informatique, du règlement intérieur et du contrat de travail ne doit donc pas être oubliée, de même que la consultation des organes de

représentation du personnel et la déclaration des traitements de données. »

78

79

Face à la prolifération de menaces toujours plus complexes et insidieuses,

la phase d’abolition des silos est rendue plus que jamais nécessaire

afin de traiter efficacement les questions de sécurité. L’enjeu consiste alors à

organiser la mise en place d’une démarche partagée de la gestion

des risques SI.

Comment mettre en place une démarche partagée de

gestion des risques SI ?

5.

82

La démarche de gestion

des risques liés au système

d'information doit être

transverse.

La question de la sécurité des systèmes d’information tend à ne plus être abordée sous l’angle de la conformité pure, mais à travers une approche en termes de risques. "Le RSSI est d’abord et avant tout un risk manager", rappelle Farid Illikoud, RSSI chez PMU. L’ouverture des systèmes, le développement des usages en mobilité et la professionnalisation des attaques contribuent en effet à l’émergence de risques de plus en plus diffus et portés par des acteurs multiples. Ces risques liés au système d’information sont par définition transverses à l’entreprise. Dès lors, la démarche de gestion des risques doit elle aussi être transverse, avec la mise en place d’une organisation spécifique et l’utilisation d’outils partagés. L’enjeu principal consiste alors à briser les silos entre les différents acteurs de la gestion des risques SI afin de renforcer la capacité à identifier, évaluer et traiter. Préalable à toute priorisation, à tout investissement et à toute communication, la phase d’analyse de risques doit donc s’effectuer de manière collaborative. « Une bonne analyse de risque doit tenir sur un Post-It ! » résume un des participants à l’atelier. Il existe de nombreux modèles de cartographie standardisés, l’enjeu étant de les considérer comme de simples cadres qu’il s’agira d’adapter aux spécificités de son entreprise.

83

De plus, ces initiatives de gestion des risques ne doivent pas laisser place, chez l’utilisateur final, au sentiment selon lequel le risque est systématiquement refusé par les équipes sécurité. Ce serait oublier que le business nécessite, par essence, l’atteinte d’un équilibre acceptable entre gains escomptés et pertes potentielles.

COMMUNIQUER Historiquement, la place du RSSI dans le dispositif de communication interne est restée minime, de par la nature de son rattachement hiérarchique notamment. Dorénavant, alors que la sécurité est devenue un véritable levier de compétitivité et de différenciation, le RSSI se doit de communiquer auprès de tous les acteurs de l’entreprise, afin de développer cette culture de gestion des risques SI et d’accompagner le métier vers la prise de conscience nécessaire à une pleine responsabilisation. La mise en avant du parallèle entre vie professionnelle et vie personnelle peut en cela représenter un précieux levier pour favoriser l’adoption des bonnes pratiques. D’autant que la mise en avant du fameux "risque d’image" semble peu convaincante, de par la difficulté à calculer son potentiel impact financier.

DES CORRESPONDANTS SÉCURITÉ AU "RISK OWNER" Ce contexte plaide pour la nécessité de désigner des relais dans les Directions métiers. Une approche relativement innovante semble faire son apparition au sein des organisations. Il s’agit d’identifier, à partir de la cartographie des risques, des "risk owners" au sein de chaque département métier de l’entreprise, dans le but de leur confier une responsabilité sur le traitement d’un risque et sur son suivi dans le temps.

84

Entretien

Farid est Responsable de la Sécurité et de la Conformité pour le PMU. Après une première expérience dans le domaine des Risques et de la Sécurité à la Poste, Farid a rejoint le PMU en 2013 pour prendre en charge la partie Conformité (ARJEL, CNIL, CAC, etc.) et Risques IT. Depuis 2014, Farid est le RSSI du PMU en charge d’une équipe d’une dizaine de collaborateurs. Depuis un an, il est également en charge du programme de Gouvernance de la donnée. Farid est diplômé de l’INT Management (04) et a réalisé sa dernière année d’études en se spécialisant dans l’IT aux Etats-Unis.

COMMENT LE RSSI DOIT-IL SE POSITIONNER POUR SENSIBILISER TOUTES LES PARTIES PRENANTES AUX RISQUES EXISTANTS ET INTERVENIR EN AMONT ?

« Le RSSI doit impérativement être perçu comme un facilitateur du business. Au PMU, nous parvenons à nous intégrer à l’ensemble des instances de gouvernance, afin d’avoir une vue complète de ce qui se déroule dans l’entreprise. Un important travail de collaboration est en permanence mené avec les Juristes ainsi qu’avec les Achats : dès qu’un appel d’offres est lancé, la sécurité est systématiquement impliquée ; elle est ainsi en mesure d’ajouter des clauses de sécurité tout en étant partie prenante dans le choix d’une solution/prestation.

Pour pouvoir se situer en amont sur tous les projets, le RSSI doit avant tout se faire connaître ! En cela, il doit mener un véritable "travail de diplomate" : consacrer du temps aux Directions de l’entreprise, comprendre leurs enjeux business, et leurs contraintes se révèle indispensable pour être en mesure d’apporter les solutions adaptées. Il en est de même avec les équipes IT : les moments d’échanges sont clés pour

PMUFARID ILLIKOUD

RSSI - Responsable Sécurité et Conformité

« Le RSSI doit mener un vrai travail de diplomate »Farid Illikoud, RSSI chez PMU, détaille pour nous sa méthode pour placer la question des risques SI en amont des projets métiers.

84

85

appréhender les contraintes de leur métier (les développeurs peuvent par exemple connaître des difficultés sur un poste de travail sécurisé). La sécurité doit essentiellement être perçue comme un "apporteur de solutions". L’enjeu consiste à adopter une vision très pragmatique. Cela passe par une capacité à adopter une agilité dans la perception des modèles de sécurité. Certains d’entre eux, qui ont été élaborés il y a quelques années, ne peuvent plus s’appliquer dans l’environnement actuel de la transformation digitale. Ainsi, le RSSI doit être capable de se remettre en cause, condition indispensable pour gagner la confiance et emporter l’adhésion des correspondants internes. »

COMMENT PARVENIR À INTÉGRER L’ANALYSE DE RISQUES EN AMONT DES PROJETS MÉTIERS ?

« Le RSSI est aujourd’hui d’abord et avant tout un "risk manager". Il doit s'appuyer sur les standards tout en les vulgarisant, en créant des modèles d'analyse de risques rapides, simples et compréhensibles par le plus grand nombre.

Les phases d’analyse de risques et de classification de la donnée ne peuvent être abordées sans les métiers. Propriétaires de la donnée, eux seuls peuvent juger de la criticité du patrimoine informationnel : en cas de fuite d'informations, est-il critique de perdre telle ou telle donnée ? Quel serait l’impact pour l’entreprise ? »

SUR QUEL AXE DE COMMUNICATION FAUT-IL S’APPUYER ?

« Il convient de délaisser le ton dramatisant. L'axe de communication que nous privilégions, c'est "l’effet miroir" entre vie personnelle et vie professionnelle : si vous ne sécurisez pas votre boîte mail personnelle, vous vous exposez à la perte de vos photos de famille ou de vos accès aux comptes bancaires ; pourquoi courir des risques similaires dans le milieu professionnel ? C’est ainsi que l’on parvient à marquer durablement les esprits et à faire évoluer l'utilisateur dans ses pratiques. Les actions de sensibilisation passent également par des newsletters sur l’actualité de la cybersécurité, ou par des campagnes de faux phishing destinées à nous assurer de l’appropriation des bonnes pratiques.

Du côté du RSSI, plus que jamais, il convient de systématiser les temps de veille et se tenir informé en permanence. Le monde du digital avance très rapidement, les menaces évoluent, et il faut éviter que les métiers ou l’IT aient un coup d’avance sur les nouvelles technologies ou méthodes de travail.

En synthèse, la posture du RSSI dans la transformation digitale porte 3 composantes :- Digital business and innovation enabler

– Facilitateur de l’innovation et du développement du business digital

- Digital risks manager – Gestionnaire des risques numériques/digitaux

- Customer confidence contributor – Co-Créateur/contributeur de la confiance client. »

85

Comment mettre en place une démarche

partagée de gestion des risques SI ?



86

PARTICIPANTS

Comment placer la question des risques SI au centre de l’entreprise ? . Quelle communication pour sensibiliser toutes les parties prenantes aux risques existants ?

. Comment intégrer l’analyse des risques SI en amont des projets métiers ?

. Comment construire une cartographie partagée des risques (avec les CIO, CDO, DSI…) ?

Comment développer ses pratiques de risk management ?. Quelles méthodes pour dresser une cartographie dynamique des risques ?

. Qu'apportent les programmes d’analyse actuels ? (aide à la priorisation, veille sur les dernières menaces, accès à des plateformes Big Data…)

. Peut-on anticiper efficacement les réponses aux attaques ? (par un PRI ou un PCA certifié…)

Pierre Fedou, Business Development Executive, IBMDavid Batut, Sales Leader, Data Security, IBM

ANIMATEURS

PROGRAMME

. LOUIS VUITTON, Fabrice Bru, Directeur Sécurité des Systèmes d'Information

. L'OREAL, Sophie Martel, EMEA IT Risk Manager

. L'OREAL, Frédéric Charpentier, RSSI Digital

. Le RSSI d'un grand groupe industriel français

. CORIOLIS TELECOM, Rémy Gaudic, DSI


La mise en place d'une cartographie se révèle précieuse pour communiquer auprès de la Direction Générale et du business afin d'opérer une priorisation. Il existe de

nombreuses méthodologies de cartographie. Sur quel type de modèle avez-vous choisi de vous appuyer ?

LE RSSI D'UN GRAND GROUPE INDUSTRIEL FRANÇAIS

« Nous avons décidé de créer notre cartographie, sans pour autant réinventer la roue, puisqu'on se base sur les standards ISO 27005 et MEHARI. Notre spécificité industrielle nous oblige à adapter ce modèle vis-à-vis de nos métiers. Face aux risques métiers au sens large, le risque informatique a assez peu de poids. La décision a été prise de faire une analyse de risque spécifique, orientée SI. Au final, la difficulté principale réside dans le fait d'aller solliciter les métiers à un risque informatique qui est certes grandissant, mais bien difficile à évaluer. »


« Nous n'en sommes encore qu'aux prémices de la digitalisation. L'émergence de l'Internet des Objets peut en cela représenter un vecteur intéressant. Aujourd’hui, il s’agit juste d’un frémissement mais non encore identifié comme un risque informatique suffisant. Nous avons une approche des risques basés sur la safety, mais ces leviers ne concernent pas l'informatique. »

SOPHIE MARTEL, L'ORÉAL

« Décliner les scénarios de risques sur un impact business est peut-être difficile dans certains secteurs. Chez L'Oréal (industrie, retail et R&D), le SI est un support de l'activité. »

FABRICE BRU, LOUIS VUITTON

« Le plus difficile, c'est de trouver le sponsor, la petite entité au sein de l'entreprise qui a une certaine appétence pour le risque. Cela rejoint la question de la sensibilisation en interne. »

88


« Sauf qu'avec le système de pénalités à venir dans le cadre des nouvelles lois liées à la cyberdéfense, le ROI peut être immédiatement lisible. Quand vous aurez l'obligation de déclarer les incidents à une entité centrale et une pénalité de 4 % du chiffre d'affaires mondial en jeu par attaque subie, le ROI sera flagrant... »


« Je ne crois pas du tout à la notion de retour sur investissement pour la sécurité. Pour calculer le ROI, bien souvent, on indique combien cela coûterait de tout remettre en l'état. »


« C'est l'approche par la conformité qui peut se révéler la plus intéressante. Tout ce qui concerne le retour sur investissement de la sécurité semble inopérant. »


« Aujourd'hui, l'un de mes principaux leviers concerne la réglementation : respect des licences ou protection des données à caractère personnel. Je ne dispose pas des leviers provenant de la loi sur la sécurité financière. »

« J'ai en tête l'exemple d'un RSSI qui communique à la Direction Générale plutôt

des données opérationnelles. La mise en concurrence des business units sur leur propre capacité à aider à la mise en œuvre opérationnelle peut susciter des réactions positives. Au final, ce dispositif a contribué à générer une saine émulation. L'approche

sur le ROI est nettement plus difficile à mettre en place, car la Sécurité est avant tout perçue

comme un centre de coûts... »


89


« Encore faut-il que la loi soit appliquée. Lorsque l'on regarde les décisions de justice prises pour les accès non autorisés à un système d'information, on peut comprendre que les personnes malintentionnées ne soient pas tellement découragées... Sur l'analyse de risques, j'ai toujours eu du mal à répondre à cette question posée par la Direction Générale : « Quel est l'intérêt de faire des analyses de risques alors que nous sommes une entreprise privée dont le métier consiste justement à prendre des risques ? »


« Dans ma précédente entreprise, nous avions mis en place une méthodologie d'analyse de risques qui reposait sur une seule question : "Qu'est-ce qui vous empêche de dormir ?" Au fur et à mesure des discussions, on parvient à sortir une cartographie avec une adhésion complète et immédiate. »


« On peut répondre que l'analyse de risques peut justement contribuer à maîtriser le coût de cette gestion du risque. Si on ne le connaît pas, on peut rapidement dépenser une somme supérieure à ce que le risque nous coûterait... »

FRÉDÉRIC CHARPENTIER, L'ORÉAL

« L'analyse de risque permet également de placer toutes les informations sur la table pour, dans un second temps, décider de prendre le risque ou non. Au moins, la décision est prise en connaissance de cause. La base factuelle a ainsi le mérite d'être posée. »

90


« Toutes les sociétés du CAC 40 sont exposées à un risque d'image. Mais la question qui se pose est celle de la traduction de ce risque. Au début des années 2000, une entreprise de luxe s'est faite "défacée" son site Web parce qu'elle vendait des produits à fourrure. L'impact image pour elle a été assez minime. Désormais, nous évoluons dans un environnement multicanal. Du coup, l’image va être plus impactée si le client se trouve en magasin face à un conseiller peu aimable que s'il constate que le site a été "défacé". Globalement, les clients estiment que notre métier n'est pas de faire de la sécurité. »


« Tant que les clients pourront continuer à passer une commande en ligne et auront la garantie qu'il n'y pas de risque sur le paiement et la protection de leurs données personnelles, l'essentiel est là... On tolérera davantage que le site Web soit "défacé" plutôt qu'une transaction bancaire soit détournée. »


« Je ne parviens pas à comprendre comment on peut calculer l'impact financier du risque d'image... Je ne dis pas qu'il n'y pas d'impact, mais cela me semble bien trop subjectif. Je préfère me concentrer sur l'opérationnel. Qu'importe si un site vitrine se fait "défacer". En revanche, que le site institutionnel puisse faire l'objet d'une quelconque attaque est autrement plus problématique. Le risque d'image, on l'a tous. Mais comme on ne sait pas le quantifier ni l'évaluer, on le survend. »


« On parle de risque d'image depuis des années. Mais il suffit de prendre des exemples concrets : l'action Sony n'a pas bougé malgré les événements de 2015 ; Juniper est toujours là malgré le piratage de firewall... Au final, je reste assez peu convaincu par la notion de risque d'image. »

Les notions de réputation, de risque d'image ne sont donc pas valorisées par les métiers ?


« Je pense au contraire que, dans les marques à forte connotation émotionnelle (love brands) comme Apple ou L’Oréal, les clients attendent autant l'excellence en point de vente physique que sur le site Internet. »

91


« Nous avons des exemples de produits cosmétiques dont les ventes se sont arrêtées net dans certains pays suite à un "défacement" à connotation hacktiviste sur le site institutionnel local. Le doute s'est installé dans les esprits et il a fallu attendre plus de six mois pour que les ventes repartent. Dans ces cas-là, la quantification est évidente. Les impacts sont d'autant plus grands que l'on touche à l'émotionnel. »


« Il est en effet très précieux de présenter des scénarios réalistes avec des exemples concrets et particulièrement parlants. »


« Une telle mésaventure peut se produire suite à un "défacement", mais il peut également être déclenché par un événement totalement externe : campagne de désinformation, "tweet" négatif d'une personnalité influente, etc. »


« Pour chaque catégorie de risque, il est important d'identifier des sponsors. Pour les risques d'image, le sponsor doit être la Direction de la Communication. »


« Malheureusement, il faut peut-être accepter que le risque se concrétise au moins une fois pour que les populations soient sensibilisées. Cela permet de tordre enfin le cou à l'éternelle réponse : "Il y a certes des vulnérabilités, mais nous n'avons jamais eu de problème, donc pourquoi les traiter ?" »


« Certes, mais le Directeur de la Communication ne connaît pas les risques auxquels il peut être confronté. Il ne peut imaginer un scénario qui serait évident pour nous. D'où l'importance du quatuor Direction des Risques, Contrôle Interne, Audit Interne et RSSI. C'est parce que ces quatre personnes vont aller voir le Directeur de la Communication en lui expliquant les scénarios qu'il pourra ensuite porter le risque. »

92


« Cela prouve que la plupart des entreprises ne sont pas dans une approche pilotée par le risque. Il faut qu'un événement malheureux survienne pour que des plans d'action soient mis en place... »


« Nous recherchons un outil qui puisse remplacer Excel, éventuellement avec une interface Web pour les saisies des chefs de projet et de l'assistance directement en ligne... Le business doit avoir envie d'y consacrer du temps pour modéliser les données dont nous avons besoin pour évaluer le risque de leur projet, dans leur contexte business spécifique. Il faut que l'on puisse profiter pleinement des données recueillies pour être plus pertinents et plus homogènes dans nos assessments. Cependant il s'agit de trouver le bon équilibre entre investissement et utilité de cet outil, ce qui disqualifie certains acteurs connus du marché dont le prix de la solution n’est pas justifiable aux yeux des décideurs. D’ailleurs, l’ANSI va lancer des ateliers sur le sujet pour refondre EBIOS, avec l’ambition de proposer "l’outil manquant" en France. Ils sont conscients de l’enjeu actuel et de la nécessité d’agilité. »


« Après le vocabulaire, la deuxième difficulté concerne les critères. Les méthodes habituelles permettent de tracer un schéma directeur, un simple cadre. Mais il faut ensuite savoir proposer sa propre méthodologie en reprenant le vocabulaire propre à l'entreprise. »


« Pour avoir testé quelques outils du marché, j’ai constaté que chacun avait ses faiblesses. Il faut rechercher non pas le "best of breed" mais le "moins pire" ! Au plan de la sensibilisation, l'exemple de TV5 Monde a énormément aidé, au sein du groupe LVMH, Les Echos et Radio Classique. Les médias ont été convoqués au Ministère de l'Intérieur avec une présentation très détaillée des événements. Il y a eu une vraie sensibilisation des politiques auprès des PDG, ce qui a contribué à débloquer les budgets. »

« L'utilisation des mots est importante dans la communication aux métiers. En France, on utilise

plutôt le mot "sécurité" que "menaces". "Sécurité" a

une connotation de moyen terme, de mise en garde, tandis que

"menace" nécessite une action immédiate et donc plus adapté

à la réalité et à la prise de conscience. »

PAROLE D’EXPERTPierre Fedou, IBM

93

En tant que "RSSI Digital" chez L’Oréal, pouvez-vous nous détailler votre positionnement ?


« Je suis évidemment rattaché hiérarchiquement à la Sécurité du groupe, mais je suis physiquement installé avec les équipes digitales. Être situé ainsi me permet de me placer en amont des projets, plutôt que d'imposer un processus complexe. Je ne suis présent que depuis une quinzaine de jours, mais je suis déjà au courant de choses que la Sécurité avait toujours ignorées. L'aspect informel des discussions permet de glaner de nombreuses informations. Au final, c'est un travail plus humain où il faut créer les conditions d’une confiance mutuelle afin de résoudre les problèmes avant qu'ils n'apparaissent. »


« L'idée est, en effet, d'avoir connaissance d’initiatives dont nous n'aurions jamais entendu parler. L'équipe digitale est assez restreinte et très agile. Il nous a donc semblé évident de placer un RSSI dédié au cœur de ce réacteur, ce qui était déjà le modèle pour nos usines ou nos centres de R&D. Historiquement, le média IT est un support pour le business donc l’entreprise est nativement drivée par le risque inhérent. La force de ce dispositif vient aussi du fait que le PDG est une personnalité charismatique et convaincue. Les trois ou quatre premières strates hiérarchiques sont sensibilisées à la sécurité, ce qui permet une bonne diffusion de la stratégie. »

RÉMY GAUDIC, CORIOLIS TELECOM

« Sur le principe, c'est une excellente idée. La transformation numérique induit des changements et on sait que le SI n'est pas forcément compatible avec ces mutations. La transformation numérique, qu'elle concerne les employés ou les clients, revient à "vendre de la confiance". Si on arrive à extraire toutes mes données clients, la confiance est mise à mal. Il est donc indispensable d'inclure la Sécurité du SI dans le nouveau dispositif, comme vient de le faire L'Oréal. »


« Dans certaines entreprises américaines, on parle de "Fast IT". Cette organisation dédiée au digital permet de rassembler toutes les compétences en une seule entité. Le dispositif est au service de l'agilité, de la fluidité et de la réactivité, contrairement à une organisation en silos. »

94

RÉMY GAUDIC, CORIOLIS TELECOM

« C'est une cartographie évolutive qui est en mesure de changer en fonction des menaces et du contexte externe. »


« C'est une capacité à analyser l'évolution des besoins et des processus métiers pour alimenter le système et calculer les risques inhérents. »

« Nous aurons, à l’avenir, d'autant plus besoin d'avoir un mécanisme

automatisé sur le management du risque et sur la maîtrise des éléments opérationnels. On ne

pourra se contenter de procéder toujours à de l'analyse de code,

il convient de se positionner plus en amont. »

PAROLE D’EXPERTPierre Fedou, IBM

Qu'entend-on par cartographie "dynamique" des risques ?



« RSSI, DPO… identifier les acteurs clés de la sécurité du SI.

La gestion des risques SI implique de définir une stratégie globale de gestion de la sécurité et

de mettre en place une organisation adaptée, prenant en compte la multi disciplinarité des enjeux. Parmi

les fonctions clés avec lesquelles le RSSI devra interagir, la Direction des Risques, le Chief Security

Officer, la Direction de la Sureté, le Département Juridique et le Délégué à la Protection des Données

"Data Protection Officer" (DPO), que la fonction soit exercée en interne ou externalisée, doivent

certainement devenir des interlocuteurs privilégiés qui apporteront un éclairage complémentaire au RSSI.

La fonction de DPO prévue par le projet de règlement sur les données personnelles en cours de finalisation

prenant d’autant plus d’ampleur que l’obligation générale de déclaration des traitements de données

personnelles sera supprimée et remplacée par la mise en œuvre en interne de procédures effectives et

de mécanismes se basant plutôt sur les types de traitements, leur contexte et leur finalité. »

95

96

Les exigences de sécurité en matière de systèmes d’information sont susceptibles de peser lourdement sur les budgets, les délais ou les modes de fonctionnement établis. Cet état de fait renvoie souvent le RSSI à une réputation de trouble-fête. À première vue, la transformation digitale ne semblait pas partie pour arranger la situation. Car le nouvel environnement des entreprises, de plus en plus interconnecté, collaboratif et ouvert, a renforcé l’exposition des systèmes aux attaques, et mécaniquement, les exigences de protection contre les intrusions. Pourtant, cette nouvelle donne est peut-être une occasion unique pour le RSSI de gagner en légitimité. La puissance des récentes attaques, dont Orange ou Sony Pictures ont été les exemples les plus médiatisés, obligent les Directions Générales à une véritable prise de conscience des conséquences de défauts de sécurité des SI.

CONCLUSION

97

Personne ne promet au RSSI une nouvelle réputation. Il est et restera un « poil à gratter » de l’organisation. Mais à l’ère de l’entreprise digitalisée, peut-être sera-t-il vu sous une autre lumière : comme un véritable acteur du changement. L’enjeu du Cycle d’Ateliers SSI était précisément de réfléchir aux pistes à suivre pour jouer pleinement ce nouveau rôle. A cet égard, les nouveaux savoirs et savoir-faire attendus du RSSI émergent aussi vite que l’environnement technologique dans lequel il opère.

Le RSSI de demain sera parvenu à agiliser la sécurité pour accompagner les nouveaux modes de travail des informaticiens et de métiers de plus en plus autonomes autour de la donnée ; dans le même temps, il sera en mesure de conserver la sécurité d’un système éclaté entre divers prestataires et d’en apprécier les engagements contractuels. Le RSSI de demain parlera donc toutes les langues de l’entreprise, et au-delà. Comme les systèmes eux-mêmes, il s’ouvrira ou ne sera pas.

98

CONTRIBUTEURS

AG2R LA MONDIALEEMMANUEL GARNIERDIRECTEUR DE LA SÉCURITÉ DES SI

ALLIANZ WORLDWIDE PARTNERSFRÉDÉRIC JESUPRETRSSI

ACCORSERGE SAGHROUNECHIEF INFORMATION SECURITY OFFICER

ANSSIMATTHIEU HENTZIENCHARGÉ DE MISSION AU BUREAU POLITIQUE INDUSTRIELLE ET ASSISTANCE

AIR LIQUIDEJEAN-PIERRE GAGNEPAINVICE PRESIDENT, DIGITAL SECURITY ET CHIEF CYBERSECURITY OFFICER

99

BOUYGUES TELECOMFRANCK DRUETRESPONSABLE DE DÉPARTEMENT IT

GECINAFABRICE RUCHAUDDSI

BLUESOLUTIONSNICOLAS GAUDINRSSI

DBFFRANCK TOUANENDSI

BACKELITECYRIL SIMANDIRECTEUR TECHNIQUE

CORIOLIS TELECOMRÉMY GAUDICDSI

C.C.I. DE BASTIA ET DE LA HAUTE CORSEDOMINIQUE BERTIDIRECTEUR INFORMATIQUE

GFIDIMITRI DRUELLEDIRECTEUR DES OPÉRATIONS SÉCURITÉ GROUPE

CABINET ULYSCATHIE-ROSALIE JOLYAVOCAT ASSOCIÉ INSCRIT AU BARREAU DE PARIS ET AU BARREAU DE BRUXELLES (LISTE E), DOCTEUR EN DROIT PRIVÉ

GROUPE PASTEUR MUTUALITÉHENRIK JOULINCHIEF INFORMATION SECURITY & IT.PNG

ARMAND THIERYGRÉGORY ADROTRSSI

CAISSE DES DEPOTSALAIN BOUILLÉDIRECTEUR DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION ET PRÉSIDENT DU CESIN

BRAND & CONSUMER TECHNOLOGIESMARC FEUILLETRESPONSABLE QUALITÉ & RSSI

GENERALIJEAN-PAUL JOANANYRSSI

IBMNICOLAS ATGERRESPONSABLE MARCHÉ SÉCURITÉ

IBMDAVID BATUTSALES LEADER, DATA SECURITY

100

IBMSIHEM VALENTINOSECURITY PORTFOLIO & MARKETING LEADER

OMNICOM MEDIA GROUPVINCENT CADORETDSI

LOUIS VUITTONFABRICE BRUDIRECTEUR SÉCURITÉ DES SYSTÈMES D'INFORMATION

IBMPIERRE FEDOUBUSINESS DEVELOPPEMENT EXECUTIVE SECURITY

NEXITYERIC CRESSONRESPONSABLE SÉCURITÉ DU SYSTÈME D'INFORMATION

LASERPHILIPPE CANETOSDSI, RSSI

MUTEXMOSTAFA LAAROUSSIRSI

LAGARDERETHIERRY AUGERDIRECTEUR ADJOINT DES SYSTÈMES D'INFORMATION, RESPONSABLE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION

L'OREALFRÉDÉRIC CHARPENTIERRSSI DIGITAL

MAPPYCYRIL MORCRETTEDIRECTEUR TECHNIQUE

L’OREALSOPHIE MARTELEMEA IT RISK MANAGER

MINISTERE DE L'ÉDUCATION NATIONALEBENOÎT MOREAURSSI

MINISTERE DE L'INTERIEURSYLVIE SANCHISCHEF DE LA BEFTI

LA POSTEDENIS WEISSPROGRAM MANAGER - CONNECTED OBJECTS AND SERVICES

IBMYANN FAREAUPRACTICE LEADER SECURITY CONSULTING

M6FRANCIS NIOCHAUTRSSI

101

SODEXOPHILIPPE NETZER-JOLYIAM & SECURITY OPERATIONAL SERVICES DIRECTOR

RENAULTMARIANA VASILACHECHEF DE PROJET SOC

RADIO CLASSIQUE- LES ECHOSERIC LENFANTRESPONSABLE INFORMATIQUE DIGITAL CHARGÉ DE PROJETS API ET R&D

YSEOPEMMANUEL VIGNONCTO

ORANGE FRANCEOLIVIER BORNETDIRECTEUR SI RELATION CLIENT

STANHOME-YVES ROCHERCÉDRIC MISSOFFEDSI, RSSI

THALES SERVICESJEAN-ALAIN GALIBERTDIRECTEUR DES SYSTÈMES D'INFORMATION

PMUFARID ILLIKOUDRSSI, RESPONSABLE SÉCURITÉ ET CONFORMITÉ

SUEZ ENVIRONNEMENTPIERRE-JEAN BLOQUETRSSI GROUPE

XEROXFRANÇOIS CRETTÉRSSI

PWCFABRICE DE LA BAREYREASSOCIÉ

ORANGE FRANCEDAVID COCCOLORESPONSABLE DÉPARTEMENT QOS ET SÉCURITÉ

SOLVAYJACQUES-BENOIT LE BRISCIO

102

Avec 600 sociétés adhérentes, dont l’intégralité du CAC 40 et du SBF 120 et plus de 110 000 professionnels, l’EBG constitue le principal think-tank français sur l’économie digitale.L’EBG a pour vocation d’animer un réseau de décideurs, en suscitant des échanges permettant aux cadres dirigeants de se rencontrer et de partager bonnes pratiques et retours d’expérience.Plus de 150 événements et 5 à 6 ouvrages sont réalisés chaque année, permettant de fédérer des décideurs d’entreprises issus de tous les métiers: Directeurs Marketing, Directeurs Digital, Directeurs Achats, DSI, DRH, DG etc.

Le Conseil d’Administration de l’EBG se compose des personnalités suivantes :• Stéphane Richard, CEO d’Orange – actuel

Président de l’EBG• Jean-Bernard Levy, PDG d’EDF• Steve Ballmer, ex-CEO de Microsoft • François-Henri Pinault, Président de Kering• Pierre Louette, Directeur Général Adjoint d’Orange• Patrick Le Lay, Ancien PDG de TF1• Grégoire Olivier, Directeur zone Asie de PSA

Peugeot-Citroën• Didier Quillot, Administrateur du fonds 21

Centrale Partners• Sir Martin Sorrell, Président de WPP • Jean-Daniel Tordjman, Ambassadeur,

In specteur Général des Finances • Wu Janmin, Président de l’Institut de la Diplomatie

de Beijing, Président du Bureau International des Expositions

• Philippe Rodriguez, Trésorier • Pierre Reboul, Secrétaire Général

LE PÔLE ÉTUDES DE L’EBG

L’EBG édite quatre collections d’ouvrages uniques en leur genre, permettant de recueillir les témoignages les plus pointus et les visions de nos adhérents sur des sujets d’actualité.

Les Référentiels :- étude de grande ampleur sur

l’évolution d’un métier, d’un secteur, ou une grande mutation des organisations

- 100 interviews de Directeurs de grands groupes

- 200 pages d’analyses, cas concrets et citations

Titres parus : Référentiels des Directeurs Achats, Référentiels des Directeurs Marketing, Référentiels des DSI, Référentiel de la Transformation Digitale…

100ENTRETIENS AVEC

DIRECTEURSMARKETING

R É F É R E N T I E L M A R K E T I N G

POUR PLUS D’INFORMATIONS SUR LES ÉVÉNEMENTS OU LE PÔLE ÉTUDES DE L’EBG

Ligia RodriguesChargée de projets Pôle Études / Pôle BtoB01 48 00 00 38 [email protected]

Arthur HamoviciResponsable du Pôle Études / Pôle BtoB01 48 01 65 [email protected]

Philibert Adamon Responsable Contenus Pôle Études / Pôle BtoB01 48 00 00 [email protected]

Les Livres Blancs : - étude sur un sujet innovant

(Data Visualization, Cloud etc.) - 30 interviews de Décideurs qui

portent un projet lié à la thématique- entre 100 et 150 pages d’analyses,

cas concrets et citationsTitres parus : Cloud et nouveaux usages de l’IT, Data Visualization, Big Data, Marketing comportemental, Internet des Objets, L’encyclopédie des Big Data…

1

L I V R E B L A N C

internetDES OBJETS30 PROJETS CONCRETS

LIV

RE

BL

AN

C I

NT

ER

NE

T D

ES

OB

JE

TS

20

15

COUV IDO V2.indd 1

16/06/15 11:08

103

Les Baromètres : - étude quantitative menée auprès

de toute la communauté EBG pertinente

- entre 500 et 1000 répondants par étude

- 20 à 30 pages d’analyses, de tableaux et graphiques

Titres parus : Performance du Marketing Digital, État des lieux du Programmatique en France, Impact des Stratégies Digitales sur la Performance Marketing et Commerciale

Internet Marketing :- 70 décryptages de campagnes

marketing- 10 000 exemplaires diffusés- 500 pages de techniques et méthodes

104

Afin de répondre à la demande croissante en matière de sécurité informatique IBM a annoncé la création d’une nouvelle division "IBM Security" qui rassemble le portefeuille d’offres logicielles et de services de sécurité le plus complet du marché.

La division IBM Security :• Un modèle de sécurité unique• $1.8 milliard d'investissement dans

l'innovation technologique• Plus de 6 000 consultants et

ingénieurs en sécurité• Plus de 1 700 brevets sur la sécurité• Plus grande bibliothèque de

vulnérabilités recensées• Laboratoire de recherche X-Force®

mondialement reconnu• Reconnaissance en tant que leader

sur le marché de la sécurité par les analystes

• 25 laboratoires de recherche• Plus de 10 SOCs (Security Opérations

Centers) gérant plus de 4 000 clients, soit plus de 15 milliards d’événements par jour

• Plus de 10 000 clients• Plus de 15 milliards d’événements de

sécurité analysés quotidiennement.

Aujourd'hui, les dirigeants d'entreprise doivent relever de nombreux défis : • devoir d'innovation pour rester

compétitifs, • respect des exigences réglementaires

et de mise en conformité, • retours sur investissement les plus

rapides possible pour faire face à la réduction des budgets informatiques,

• et enfin sécurisation de l'entreprise contre l'explosion des nouvelles menaces, de plus en plus sophistiquées.

L'approche d'IBM en matière de sécurité informatique de l’entreprise est une approche orientée métier permettant d'assurer une bonne protection contre les risques, tout en diminuant les coûts et la complexité associée.IBM Security apporte un soutien au programme du RSSI en délivrant un large panel de solutions qui feront la différence grâce à leur intégration, leur innovation et la prise en compte des dernières tendances ; qu’elles soient positives, Cloud, Mobilité,

105

Internet des Objets, ou contraignantes, obligations et conformité, pénurie de compétences, shadow IT et bien sûr les menaces avancées.

MENACES AVANCÉESL’usage poussé de l’analytique permet de détecter les menaces avancées, donnent plus de visibilité pour répondre plus rapidement à une attaque. L’analyse comportementale, permet de stopper les menaces avancées en temps réel et le déploiement d’une sécurité intégrée permet de réduire les coûts opérationnels.

CLOUD Gestion des utilisateurs, protection des données et des workloads, meilleure visibilité et renforcement des contrôles permettent de garantir la conformité.

MOBILITÉProtection des équipements, de leurs contenus, des applications et des transactions. L’entreprise mobile intègre la sécurité dès l’origine des projets et fournis des outils aux utilisateurs pour qu’ils assurent eux-mêmes la sécurité qui est contrôlée par l’entreprise.

CONFORMITÉAlors que les obligations réglementaires se durcissent, tandis qu'en parallèle, la complexité de l’infrastructure s'accroît, les entreprises adoptent une stratégie globale de gestion de la conformité et des risques liés à la sécurité informatique. En identifiant puis en établissant un ordre de priorité des objectifs stratégiques et en utilisant efficacement les ressources humaines, les processus et les technologies disponibles dans toute l'entreprise, les directeurs informatiques et les responsables de la sécurité peuvent gérer les problèmes de sécurité d'une façon globale et performante. Les entreprises recherchent des solutions de sécurité capables de prendre en charge la totalité du cycle de vie, en assurant l'évaluation, la planification, la mise en œuvre, le contrôle et la gestion de leur conformité.

PÉNURIE DE COMPÉTENCESRéduire la complexité, avoir une approche mutualisée grâce au partage des connaissances sur les menaces permet de limiter l’impact de la pénurie de compétences et enfin IBM peut vous accompagner ou même gérer votre sécurité.

CONTACTS

IBM17 avenue de l’Europe92205 Bois-Colombes France+33 (0)1 58 75 00 00www.ibm.com/fr

Nicolas AtgerResponsible Marché Sécurité+33 (0)6 74 41 80 [email protected]

Pour en savoir plus, consultez notre site Internet : http://www-03.ibm.com/security/fr/fr/

À PROPOS DE PWC FRANCE ET PAYS FRANCOPHONES D'AFRIQUE PwC développe en France et dans les pays francophones d'Afrique des missions d’audit, d’expertise comptable et de conseil créatrices de valeur pour ses clients, privilégiant des approches sectorielles. La raison d'être de PwC est de renforcer la confiance au sein de la société et d’apporter des solutions aux enjeux stratégiques de ses clients.

Dans un monde interconnecté, la sécurité des opérations, des transactions et des données critiques s'avère essentielle, à l'intérieur comme à l'extérieur de l'entreprise. La confiance devient alors le socle nécessaire à votre réputation.

106

Plus de 208 000 personnes dans 157 pays à travers le réseau PwC partagent idées, expertises et perspectives innovantes au bénéfice de la qualité de service pour leurs clients et partenaires. Les entités françaises et des pays francophones d'Afrique membres de PwC rassemblent 5 000 personnes couvrant 23 pays. Rendez-vous sur www.pwc.fr

« PwC » fait référence au réseau PwC et/ou à une ou plusieurs de ses entités membres, dont chacune constitue une entité juridique distincte.

Pour plus d’informations, rendez-vous sur le site www.pwc.com/structure

CONTACTS

PwC 63 Rue de Villiers 92208 Neuilly-sur-Seine France 01 56 57 58 59 www.pwc.fr

107

Impression : Imprimé en France par Corlet Numérique, 14 110 Condé-sur-Noireau

Conception graphique/maquette : Floriane Pilon/Anne Chaponnay

Copyright © 2016 EBG-Elenbi – IBM – PwC

Tous droits réservés. Cet ouvrage ne peut en aucune manière être reproduit en tout ou partie, sous quelque forme que ce soit ou encore par des moyens mécaniques ou électroniques, y compris le stockage de données et leur retransmission par voie informatique sans autorisation des éditeurs, EBG-Elenbi, IBM, PwC.

La citation des marques est faite sans aucun but publicitaire. Les erreurs ou les omissions involontaires qui auraient pu subsister dans cet ouvrage malgré les soins et les contrôles de l’EBG-Elenbi, IBM et PwC ne sauraient engager leur responsabilité.

EBG-Elenbi – IBM – PwC

SYN

THÈS

E DE

S AT

ELIE

RS-2

016

SÉCU

RITÉ

DES

SYS

TÈM

ES D

’INFO

RMAT

ION



2016

Couverture LB SSI .indd Toutes les pages 26/01/2016 10:50

Documents

S SÉCURITÉ DES SYSTÈMES D’INFORMATION - …1).pdf · LA DIRECTION AUDIT OU CONTRÔLE INTERNE 2014 10 % 20 % 30 % 40 % 50 % 2012 2010 2008 LA DIRECTION DES SYSTÈMES D’INFORMATION