L’idée de créer l’association R&D-SSI a germé lors d’une rencontre entre acteurs de la sécurité de l’information de la région Nord-Pas-de-Calais : Pierre Calais (NETASQ), Joseph Graceffa (ADVENS) et Thierry Servais (Président du CLUSIR INFONORD). L’initiative a depuis été rejointe par les sociétés Vade Retro technology, Exer Datacom, Credentiel et le cabinet BRM Avocats. Elle bénéficie, en outre, dans sa démarche du soutien d’EuraTechnologies, et de son pôle Ubiquitaire.

L’association R&D-SSI est partie d’un constat partagé, souligne Pierre Calais, Président de l’association R&D-SSI. Le marché de la sécurité, tel qu’il est pensé aujourd’hui, ne répond pas concrètement aux besoins des entreprises. L’écosystème informatique est de plus en plus mouvant, jetable et en constante évolution. Face à ces nouveaux enjeux, les solutions restent inadaptées, non-exhaustives, voire manquantes tout simplement. Les attentes des clients ne sont donc globalement pas satisfaites. Face à ce constat, l’association R&D-SSI a la volonté de proposer des alternatives ou de nouveaux concepts sur le marché des technologies de sécurité de l’information, en s’appuyant sur un écosystème régional favorable dans le domaine de la SSI.

Créer des projets adaptés au marché

Créatrice de valeur-ajoutée, cette fédération des acteurs régionaux se positionne sur le lancement de projets concrets. Par l’interconnexion des prestataires et éditeurs, cette association à but non lucratif souhaite stimuler le marché en créant une pépinière d’idées qui débouchera sur le lancement de projets adaptés au marché. Ces projets seront proposés pour être développés dans un mode coopératif par une ou plusieurs entreprises de la région.

Pour Thierry servais, VP en charge des relations utilisateurs finaux, l’objectif est de ne plus se contenter d’être des suiveurs de fournisseurs américains, israéliens… Au travers de cette association, nous souhaitons que les RSSI puissent expliquer leurs besoins et leurs attentes. Nous pourrons ainsi créer une dynamique dans la région, proposer des réflexions et produire des cahiers des charges qui seront ensuite repris par les forces vives de la région.

Comme l’explique Pierre Calais, les objectifs de l’association sont multiples :
– Rassembler et interconnecter les acteurs de l’offre, de la demande, de la recherche et des institutions, autour des problématiques liées à la sécurité des systèmes d’information ;
– Détecter et recueillir les besoins des entreprises : pépinière d’idées ;
– Mettre en commun et partager ces compétences dans des démarches de Recherche & Développement conjointe afin d’anticiper les futurs challenges en matière de protection des systèmes d’information ;
– Arriver à des projets concrets en mode coopératif, qui pourront même peut-être à terme aboutir à la création de start-ups.
Ces objectifs sont en adéquation avec ceux du pôle d’excellence Ubiquitaire sur le co-design en Nord-Pas-de-Calais, qui soutient et aide à l’émergence de groupes de réflexion (ou « Creative Group ») sur des thématiques prioritaires.

La consumérization de l’informatique nécessite une nouvelle façon de penser la sécurité

Le paysage IT s’est aujourd’hui complètement transformé, souligne Eric Domage, IDC. Les besoins des utilisateurs et des entreprises évoluent sans cesse et les technologies de sécurité essaient tant bien que mal de suivre. L’informatique est devenue jetable, éphémère. En un mot, elle se consumérise. Les terminaux prolifèrent, au même titre que les accès. Les utilisateurs prennent peu à peu le contrôle en entreprise en amenant leurs outils personnels au travail. Ce phénomène engendre de nouveaux risques pour l’entreprise et nécessite une nouvelle approche dans la façon de penser la sécurité.

Toutefois, le marché des solutions de sécurité mobile marche, de son côté, sur trois pattes. Il est aujourd’hui extrêmement bancal et incapable, en l’état actuel des choses, de proposer une offre globale. Aucun fournisseur de service n’est en mesure d’apporter des solutions pérennes pour les mobiles, d’autant plus que le turnover des leaders du marché (Android, iOS…) est important et le renouvellement technologique accéléré. Pourtant, le besoin existe bel et bien et les RSSI se trouvent démunis face à ce phénomène de consumérization. L’offre de sécurité est donc, à l’heure actuelle, en inadéquation avec la demande.

Un écueil difficile à accepter face à la prolifération des menaces, des règlements et obligations en tous genres. La capacité des entreprises à faire face au défi sécuritaire diminue, d’autant que la complexité augmente et l’expertise en sécurité se raréfie. Pour lui, la prochaine menace n’aura ni la forme d’un virus ou d’une attaque, ce sera la complexité. La prochaine mission du RSSI sera donc de reprendre en main la gestion de la sécurité, afin de tenter d’organiser le chaos actuel.

Dans un contexte économique défavorable, l’heure est à l’économie et l’optimisation des dépenses, y compris en matière de sécurité. Pour lui, quatre pistes permettraient aujourd’hui de dépenser moins ou, en tous cas, de dépenser mieux :
– la pression sur les fournisseurs,
– la concentration des acteurs, avec des offres de plus en plus globales et intégrées,
– une bascule vers le mode SaaS,
– ou encore l’orientation vers la virtualisation et le cloud.

Effet de mode incontournable, le cloud computing vient, au même titre que la consumérization, bouleverser le schéma classique de sécurité et nécessite une nouvelle approche. La réduction de la complexité passera, selon lui, inéluctablement par une gestion centralisée de la sécurité, le contrôle des coûts et des services managés.

Privacy by Design : une demande de plus en plus forte des RSSI

Pour Martine Ricouart-Maillet, Avocat, BRM Avocats, la Privacy by Design représente un besoin de plus en plus important pour les éditeurs de solutions gérant des données personnelles. Dans un modèle où priment aujourd’hui virtualisation, Cloud et SaaS, les données sont de plus en plus éparpillées. Comment peut-on protéger des données quand on ne sait même pas où elles se trouvent, à la fois sur le SI et au niveau territorial ?

Pourtant, la protection des données à caractère personnel est une obligation réglementaire pour toutes les entreprises. L’Article 34 de la Loi Informatique et Libertés stipule que le responsable du traitement se doit de prendre « toutes précautions utiles » contre les atteintes aux données. La durée de conservation de ces données personnelles est elle aussi soumise à des obligations très strictes, et met en exergue le problème de purges des données.

Face à ces différentes obligations, on observe une demande de plus en plus forte des RSSI, DSI… de développer des outils, prenant en compte dès le départ ces problématiques de protection des données personnelles et de purge des données. La Privacy by Design a donc tout son intérêt, puisqu’elle consiste à intégrer la protection des données à caractère personnel dans les fonctionnalités d’un outil dès sa conception.

En la matière, le CIL (Correspondant Informatique et Libertés) est devenu incontournable, puisqu’il fait évoluer ces exigences au sein même des entreprises. D’ailleurs, une proposition de règlement européen souhaite rendre le CIL obligatoire pour les entreprises de plus de 250 salariés.

Les objectifs de la Privacy by Design sont multiples : minimiser l’effet « mémoire » de la collecte, envisager les conséquences de l’exercice du droit à l’oubli, un paramétrage par défaut favorable au respect de la vie privée (aujourd’hui c’est l’inverse), un contrôle par les personnes de leurs données personnelles… De plus, on doit pouvoir justifier de la conformité Informatique & Libertés à tout moment.

Toutefois, pour être effective, la Privacy by Design nécessite aujourd’hui une implication de tous les acteurs, et pas seulement du Responsable du Traitement, mais aussi une révolution des mentalités. Elle sera amenée à se développer quand les entreprises auront compris qu’au-delà de l’aspect conformité, la Privacy by Design est une véritable valeur ajoutée, et que « Privacy is good for business ». D’ailleurs, la CNIL pourrait contribuer à une future labellisation des outils reconnus comme étant « Privacy by Design ».

R&D-SSI : l’écosystème sécurité réuni autour de préoccupations communes

La sécurité n’est plus un domaine d’experts, conclut Pierre Calais. Elle fait aujourd’hui partie d’un processus global. Si on veut que les outils soient adaptés, ils doivent répondre à un certain nombre de demandes, savoir-faire et compétences. Dans cette optique, l’association souhaite réunir les différents acteurs de l’écosystème sécurité qui ne communiquent habituellement pas et les faire converger vers un objectif commun.

Après ce lancement officiel, la première étape pour l’association sera de sélectionner un certain nombre de thèmes, au cœur des préoccupations des différents acteurs. Des groupes de travail pourront ensuite réfléchir et soumettre des idées de projets potentiels. L’objectif est d’arriver, après sélection, au démarrage de projets, qui pourront par la suite être repris par des éditeurs, ou être à l’origine de la création de start-ups. Ce cycle devrait durer 12 mois en moyenne.