Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les Petites RIAMS : la SSI dans l’écosystème de la gestion des risques

octobre 2012 par Emmanuelle Lamandé

Pour cette nouvelle édition des Petites RIAMS, Atheos avait convié en ouverture le sénateur Jean-Marie Bockel, auteur du rapport « La cyber défense : un enjeu mondial, une priorité nationale », à venir échanger avec les RSSI présents. La gestion des risques était également au cœur des débats. Ce fut enfin l’occasion pour Michel Van Den Berghe, Président d’Atheos et fondateur des RIAMS, de dévoiler les grands axes de la 9ème édition des RIAMS, qui s’articulera autour du thème « Concilier l’inconciliable » du 29 au 31 mai 2013. Le tout orchestré par Nicolas Arpagian, Rédacteur en chef du magazine « Prospective Stratégique » !

En ouverture des Petites RIAMS, le sénateur Jean-Marie Bockel, auteur du rapport « La cyber défense : un enjeu mondial, une priorité nationale », est venu répondre aux interrogations des RSSI présents dans la salle. « Ce rapport est un travail politique qui se veut efficace », a-t-il rappelé dans un premier temps. « Il a été voté à l’unanimité par la Commission des affaires étrangères du Sénat, ce qui représente déjà une bonne base. Notre pays a aujourd’hui atteint un état de maturité pour traiter l’ensemble des problématiques liées à la cyberdéfense. Toutefois, c’est au plus haut niveau de l’état que les choses doivent être dites, comme ont pu le faire précédemment Barack Obama et David Cameron. Quand on donne le ton, cela aide à la mise en œuvre. L’acte fort reposera sur cette prise de parole ».

Le sénateur croit également fermement au potentiel des entreprises françaises et européennes. La France comme l’Europe disposent d’une vraie créativité et sont force d’innovation. De nombreuses possibilités existent donc dans le domaine de la cyberdéfense, au même titre que l’ « Europe du Spatial » par exemple. Pour Jean-Marie Bockel, l’échelon européen a clairement son rôle à jouer en la matière. « On attend aujourd’hui de l’Europe quelques normes sur ces problématiques, qui ne peuvent d’ailleurs venir que de l’Europe. Néanmoins, la première barrière réside généralement dans le dépassement même de ces principes. Sans compter les autres maillons faibles dès que l’on souhaite étendre la politique aux industriels et autres partenaires. Dans ce domaine, l’Europe a, selon lui, aujourd’hui besoin de partenariats bilatéraux.

Quelques mois après la publication de ce rapport, le sénateur est globalement satisfait de la dynamique qui s’ensuit. « Quand on a des alliés dans une démarche (ANSSI, Ministère de la Défense, entreprises…), cela crée un climat favorable pour faire vivre le sujet et le faire évoluer dans le bon sens », conclut-il.

La SSI dans l’écosystème de la gestion des risques

Pour Jean-Claude Tapia, Président de l’activité Audit & Conseil d’Atheos, le constat est aujourd’hui multiple en matière de gestion des risques. C’est un sujet qui concerne de nombreux acteurs dans l’entreprise (sécurité, métiers, audit…) ; ils doivent donc apprendre à travailler ensemble. La gestion des risques est globalement banalisée, sans compter que le discours reste majoritairement négatif autour du risque. La gestion des risques a aujourd’hui besoin d’être rationalisée, mais aussi de gagner en visibilité. Les entreprises doivent pouvoir en mesurer les effets. Il faut également apprendre à positiver le risque.

Selon Cathie-Rosalie Joly, Avocat associé - Cabinet d’avocats ULYS, ce qui représente un risque certain serait de ne rien faire, car « si une entreprise ne fait rien, elle est en risque ». Le risque juridique est forcément fort pour une entreprise, à partir du moment où le SI traite des données sensibles, dont des données à caractère personnel. Celui-ci est surtout lié à la fuite d’informations. L’ensemble de ces risques rend d’ailleurs primordiale l’intégration du juriste dans le schéma de la sécurité des systèmes d’information et de la gestion des risques.

Quand le risque bat la mesure...

Comment une entreprise peut-elle concrètement mesurer le risque ? Quels sont les indicateurs ? Se traduisent-ils au travers de tableaux de bord ? « A la SNCF, la gestion des risques s’articule notamment autour d’une cartographie des risques. Nous avons depuis plusieurs années une démarche très structurée, qui s’articule, entre autres, autour de plans d’audit SSI. Nous disposons aussi d’une équipe dédiée, en charge de tester la robustesse de l’ensemble de nos infrastructures », explique Denis Losfelt, Directeur de l’Audit et des Risques du Groupe SNCF.

« A la Société Générale, la gestion des risques du SI est la résultante d’une collaboration entre différents acteurs. Les équipes sécurité sont en relation avec les personnes en charge de l’audit et des risques opérationnels, et s’appliquent au travers d’échanges de faire prendre conscience des risques au top management », explique Olivier Chapron, RSSI du Groupe Société Générale. L’entreprise mesure chaque année le niveau de risques. C’est d’ailleurs une obligation dans les banques et le régulateur en impose même le référentiel des risques Balois. Dans le groupe Société Générale, nous analysons les risques et les grandes menaces qui pourraient survenir, et déterminons aussi ce qu’il faut faire pour l’empêcher.

Pour lui, les RSSI des entreprises en général perdent aujourd’hui un temps fou à faire de nombreux tableaux de bord. « A la Société Générale, nous avons fait le choix d’envoyer tous les 3 mois uniquement 4 indicateurs à la direction générale, qui concernent entre autres le nombre de cyberattaques (phishing…), les fuites d’informations, etc. Cela nous permet de comparer au fur et à mesure l’évolution des courbes en fonction de ces 4 critères prépondérants pour notre entreprise ».

Les entreprises du milieu bancaire ont l’obligation de présenter une cartographie des risques depuis de nombreuses années déjà, explique Cathie-Rosalie Joly. Dès lors que l’activité de l’entreprise touche directement à des données sensibles, notamment des données à caractère personnel, elle est soumise à une réglementation plus forte et plus poussée. C’est le cas pour les banques, mais aussi le monde de la santé… De manière générale, ces obligations tendent actuellement à se généraliser. La prise de conscience des directions générales commence, quant à elle, à se faire aujourd’hui dans tous les secteurs d’activité.

La période de contraintes budgétaires dans laquelle nous évoluons en ce moment ne semble d’ailleurs pas impacter outre mesure la gestion des risques en entreprise. Pour Olivier Chapron, c’est même une chance d’être obligé de se poser la question de ce qui est vraiment « le plus important ». Cela permet de se poser les bonnes questions et d’aller à l’essentiel. De son côté, la SNCF opère sur un ratio « risques/coûts ». Elle part du principe que la gestion des risques permet de réduire les coûts. Elle n’est donc pas perçue comme une réelle contrainte.

Assurance : mythe ou réalité ?

On assiste aujourd’hui de plus en plus à une montée de l’offre assurantielle en matière de risques SSI. Mais est-ce vraiment viable ? Tout est-il vraiment assurable ? La Société Générale dispose effectivement d’une assurance sur risques, revue chaque année auprès de différents assureurs, explique Olivier Chapron. Mais ces polices d’assurance concernent uniquement des cas très exceptionnels. Elles ne remplacent en rien la SSI dans l’entreprise, et ne doivent donc en aucun cas impacter la politique de sécurité.

Pour Cathie-Rosalie Joly, il n’existe ni assurance complète, ni solution miracle. Les assurances ne couvrent que les risques financiers, pas les risques d’image et de réputation. Sans compter qu’une assurance ne dédouane en rien l’entreprise de sa responsabilité...

Pour ce qui est des aspects contractuels, elle identifie le principal risque aux sous-traitants multiples. Si vous ficelez votre contrat en bonne et due forme avec votre prestataire, mais que ce n’est pas le cas avec ses propres sous-traitants, votre contrat ne vous servira à rien. Une vigilance toute particulière s’impose donc !

Gestion des risques SSI vs Projets métier ?

La prise en compte des risques SSI peut-elle s’avérer un facteur bloquant pour certains projets métier ? Jean-Claude Tapia estime que certains projets peuvent parfois être retardés par des problèmes de sécurité, mais il est extrêmement rare qu’ils soient stoppés.

Ce n’est encore jamais arrivé à la SNCF, notamment en raison de la mise en place d’un programme « zen » dans l’entreprise, explique Denis Losfelt. Ce dispositif permet de s’assurer que les risques et les problèmes de sécurité ont bien été pris en compte dès la conception d’un projet, mais aussi tout au long de son développement.

Pour Olivier Chapron, il est difficile pour un RSSI de bloquer un projet métier, c’est d’ailleurs pourquoi il doit se positionner au tout début de chacun d’entre eux. Toutefois, il remarque que globalement la direction générale vient consulter son équipe dès le moindre doute sur un projet, à titre de précaution. « Peu à peu, les gens prennent d’ailleurs conscience en entreprise de la nécessité d’aller consulter les équipes sécurité et les juristes en amont de chaque projet », constate Cathie-Rosalie Joly.

De manière globale, les différents acteurs de l’entreprise sont davantage amenés à se consulter aujourd’hui. C’est le cas, par exemple, des départements informatique et juridique. Jean-Claude Tapia remarque qu’avant les juristes avaient plus un rôle d’assistance, mais cela a tendance à changer actuellement. Les nouvelles technologies sont désormais partout, complète Cathie-Rosalie Joly, donc de plus en plus de juristes, directeurs juridiques… suivent des formations pour comprendre les enjeux inhérents au numérique, au Cloud Computing… et se mettre au goût du jour. Il faut, en effet, comprendre comment cela fonctionne pour savoir où sont les risques et comment s’en protéger.

Olivier Chapron observe d’ailleurs que de plus en plus d’acteurs de l’entreprise s’invitent aujourd’hui dans les discussions et les décisions technologiques, c’est le cas des Ressources Humaines par exemple, avec la problématique du BYOD notamment.

Respect des normes, certifications des prestataires… : quel impact sur la prise de décision ?

Bien entendu, la conformité est une démarche essentielle pour notre entreprise, constate Denis Losfelt. Toutefois, il faut que les organisations soient vigilantes à ne pas faire de la conformité pour faire de la conformité. Le risque serait également de surenchérir sur la sécurité.

Olvier Chapron estime, pour sa part, que « face aux géants que sont Google, Oracle, Microsoft, la marge de manœuvre est très limitée en matière d’audit sur site. Il est tout de même plus confortable d’avoir une prise directe chez le fournisseur ». Cathie-Rosalie Joly rappelle d’ailleurs que c’est une obligation légale pour les banques d’auditer les fournisseurs. Pour elle, « une entreprise a toujours une marge de manœuvre, même face aux « géants ». Pour ce faire, il faut essayer de vous imposer autant que faire ce peut, de négocier afin d’arriver à certains compromis ».

La certification, quant à elle, est généralement preuve de qualité. Pour Jean-Claude Tapia, la certification des consultants, par exemple, est la preuve d’une démarche proactive, souvent demandée par les clients. Néanmoins, il recommande d’étendre aussi la certification à d’autres domaines que la sécurité (qualité…), de manière à ne pas avoir d’œillères et garder l’esprit ouvert.

Responsabilité des utilisateurs : a-t-on vraiment les leviers pour y arriver ?

La responsabilisation des utilisateurs repose avant tout sur une culture d’entreprise. Selon Olivier Chapron, le cas d’Apple en est la preuve : ils disposent d’une véritable culture du secret dans l’entreprise. Mais toutes les entreprises ont-elles vraiment les leviers pour y arriver ? Pour Jean-Claude Tapia, il faudrait, dans un premier temps, inscrire les notions de sécurité et de confidentialité dans les fiches de poste et de missions. Le fait qu’une équipe soit en charge de la gestion des risques peut avoir pour effet pervers de déresponsabiliser les utilisateurs, car estimant que ces problématiques ne sont pas ou plus de leur ressort.

Cathie-Rosalie Joly estime, en outre, qu’il est primordial d’effectuer un partage des tâches clair. Il reste encore un gros travail d’information des utilisateurs à effectuer, surtout des VIP, car ce sont eux qui ont les accès les plus importants aujourd’hui. « Les Ressources Humaines ont également un rôle à jouer, aux côtés des équipes sécurité, de la DSI, du juridique, pour former et informer », concluent-ils.

RIAMS 2013 : « Concilier l’inconciliable »

Les RIAMS sont basées sur l’échange et le partage, rappelle Michel Van Den Berghe, Président d’Atheos et fondateur des RIAMS. Ce n’est pas un salon. Nous souhaitons qu’elles deviennent un événement stratégique dans notre domaine, au même titre que le Forum économique mondial qui se tient chaque année à Davos.

La 9ème édition des RIAMS, qui se tiendra du 29 au 31 mai 2013, s’articulera autour du thème « Concilier l’inconciliable ». L’objectif sera d’échanger sur les dernières tendances en entreprise, ce qui est dans l’ère du temps, et qui permet de comprendre l’environnement. Parmi les thématiques phares qui seront abordées, on retrouvera entre autres : la détection des signaux faibles, la gestion des crises SSI majeures, les enjeux SSI liés aux transformations des Data Centers et des postes de travail, la fuite de données et la protection du patrimoine informationnel, le Big Data, la GRC, le Cloud Computing, ou encore le changement du métier de RSSI...

Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) sera l’un des nouveaux partenaires des RIAMS en 2013. Comme l’explique Alain Bouillé, DSSI de la Caisse des Dépôts et Président du CESIN, cette association aspire à devenir l’instance représentative de la fonction SSI des entreprises françaises. Le CESIN pourra, d’ailleurs, à l’occasion des RIAMS porter la voix de ses membres, soit une centaine de RSSI décisionnaires.

Trend Micro soutiendra à nouveau l’événement en 2013. Pour Jean Marc Thoumelin, Associate Vice President de Trend Micro, « ce serait une erreur professionnelle et stratégique de ne pas participer aux RIAMS. Cet évènement nous permet de rencontrer une centaine de décideurs de grands groupes en un unique lieu. C’est également pour nous l’occasion d’échanger et de confronter le travail de nos laboratoires de R&D avec les problématiques terrain et les besoins des RSSI ».

La société IBM est également partenaire des RIAMS, depuis 8 ans maintenant. Comme l’explique Christian Bonnafont, Vice Président d’IBM France, « c’est l’occasion pour notre société de prendre le pouls du marché et des besoins des entreprises. Les RIAMS nous permettent de détecter les vrais sujets et les vraies problématiques ».

En attendant la 9ème édition des RIAMS, qui se tiendra du 29 au 31 mai sous le soleil de Saint-Tropez, rendez-vous à Paris en février pour les prochaines Petites RIAMS !




Voir les articles précédents

    

Voir les articles suivants