Comment la cybersécurité devient un accélérateur de business ?

 

Pendant longtemps, la sécurité des systèmes d’information était associée à de la crainte et à de la peur. Le RSSI (Responsable de la Sécurité des Systèmes d’Information) était souvent vu comme celui qui dit non, qui freine la mise en œuvre des projets. Or, la cybersécurité accompagne les métiers au sein de l’entreprise. Les réglementations et l’évolution des mentalités vont également dans ce sens.

Le rapport entre sécurité et contrainte

 

Le contexte international constituerait aujourd’hui un terrain favorable au stress en matière de cybersécurité. L’Europe est espionnée par les Américains depuis longtemps, eux-mêmes étant espionnés par les Chinois sous couvert d’une cyber guerre froide également animée par les Russes. On peut donc vivre dans cette idée d’inquiétude, ou se rendre compte qu’il n’est pas nécessaire de se laisser submerger par un sentiment d’impuissance.

Désormais, les entreprises ont intégré la notion de maturité en cybersécurité. Elles commencent à prendre conscience des moyens et des solutions qui sont à leur disposition. La sécurité informatique ne doit plus être perçue comme anxiogène.

Comment faire passer les messages au sein de l’entreprise ?

 

La peur est un très mauvais moteur pour la cybersécurité et aboutit à l’inaction. L’approche du RSSI est l’équilibre et la raison. Le risque raisonné n’est pas de pousser les choses à l’excès. En d’autres termes, dire oui tout le temps revient à être permissif et peut s’avérer grave, mais dire non systématiquement peut également être contre-productif, voire même plus préjudiciable qu’un pirate informatique. Le moteur de la sécurité doit être l’intelligence face au risque.

Pour faire passer les messages au sein de l’entreprise, il faut être en mesure d’apporter des informations de confiance à de la direction de l’entreprise.

Chaque acteur doit être en mesure de pouvoir prouver qu’il a joué son rôle dans l’écosystème de sécurité. L’expert en cybersécurité a un rôle transverse, toujours au contact de toute l’entreprise. Il éveille à la protection de l’information, donne les bons conseils et définit une procédure pour garantir la continuité de la politique de sécurité.

Par exemple, le système de tri des bagages au sein des aéroports est très complexe et constitue un élément crucial en termes de sûreté. Il faut s’assurer que les bagages montant à bord sont sains, ce qui importe de comprendre parfaitement comment fonctionne la chaîne logistique. Il est donc très important de connaître son business et il ne sert à rien d’être un expert en cybersécurité sans être expert de sa société.

Quelle est l’approche de la cybersécurité d’aujourd’hui ?

 

Pour gérer, il faut prévoir, et gérer les risques d’hier, d’aujourd’hui et de demain. L’approche des risques d’aujourd’hui correspond à bâtir une culture de l’anticipation, tout en partageant son savoir.

Par ailleurs, un RSSI doit être intégré aux projets dès leur conception pour en contrôler la sécurité. Lorsque l’on arrive à former et à éduquer l’ensemble des parties prenantes, l’efficacité est améliorée. Il faut également mettre en œuvre un questionnaire par rapport aux achats effectués dans le cloud et adressés aux fournisseurs. Ceci afin de s’assurer que la politique de sécurité est appliquée de bout en bout de la chaîne, y compris par les partenaires et les fournisseurs des partenaires.

Un travail en bonne intelligence entre les services

 

Concrètement, la sécurité doit être repensée. Dans la banque, la sécurité est une question de co-construction. Au sein de la Société Générale, un « comité nouveau produit » inclut le RSSI, le service juridique ou encore le service marketing et tous les métiers afin de penser les projets.

Par exemple, en Afrique, les agences bancaires ne sont pas présentes partout et les gens ne se déplacent pas facilement. Il importe donc de se déplacer auprès d’eux. Un service de banque par mobylette a donc été mis en place, impliquant de protéger les transactions pour ne pas exposer la vie des agents mobiles.

Désormais, le RSSI est consulté spontanément. Dans le monde de la banque, il a fallu imposer ce rôle par le haut en expliquant que la sécurité est un besoin client comme un autre.

Il s’agissait de structurer une procédure réunissant les humains au bon moment, tout en travaillant sur l’image de l’expert. Ce dernier est aujourd’hui perçu comme fournisseur de solutions et non plus comme un policier, une aide supplémentaire plutôt qu’un bloqueur de projets. C’est l’image d’une sécurité bienveillante qui pousse à l’évolution, et non la peur ou le risque. Cela signifie qu’il importe de mettre en place un accompagnement qui dédramatise l’image du RSSI.

Intervenants : Michel JUVIN, RSSI ; Stéphane NAPPO, SOCIETE GENERALE et Eric VAUTIER, GROUPE ADP

 

VOIR LES AUTRES CONFERENCES