Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sébastien Drouin, Président du Club XV DSI : La cybersécurité est devenue un standard et plus une exception !

avril 2021 par Marc Jacob

Créée en 2019, l’association du XV DSI est une communauté de 23 dirigeants IT, en mode Think Tank autour de son écosystème et des écoles ingénieurs. Cette association a un positionnement original qui est centré sur les valeurs du rugby. La cybersécurité est une des préoccupations de ces membres et ils ont d’ailleurs même fait un Think tank autour de sujet. Sébastien Drouin, Président du Club XV DSI estime que la cybersécurité doit être enseignée aux enfants dès leur début scolaire, mais aussi qu’il est nécessaire d’appliquer quotidiennement des gestes simples pour avoir une bonne hygiène informatique. Pour lui nous ne sommes jamais assez informés sur ce sujet qui devient un standard et plus une exception.

GSM : Pouvez-vous nous présenter votre association et ses objectifs ?

Sébastien Drouin : L’association du XV DSI lancé en 2019 est une communauté de 23 dirigeants IT (public, privée, gros et petit) en mode Think Tank avec notre écosystème et les écoles ingénieurs avec comme mascotte sportive Laurent Cabannes. Le but de notre association est en mode Think Thank autour des valeurs du rugby avec 23 dirigeants IT, des partenaires et des étudiants écoles ingénieurs avec sponsoring des maillots des équipes de rugby masculines et féminines de Effrei Paris, ECE Paris, école Centrale Nantes & INSA Lyon.

GSM : Sur quels critères sont recrutés vos membres ?

Sébastien Drouin : Notre premier critère est d’être aligné avec nos valeurs d’engagement, humilité, solidarité, excellence et respect comme dans le rugby. Notre deuxième critère est le désir d’investissement dans l’association ce qui implique un partage avec ses pairs et un désir de transfert auprès des prochaines générations (étudiants). Et le dernier critère est le poste de dirigeant IT mais pas seulement car nous avons aussi des amis de l’association qui participent régulièrement comme des dirigeants ou des services connexes tel service clients.

GSM : Comment le sujet de la cybersécurité est-il traité au sein de votre association ?

Sébastien Drouin : La cybersécurité est l’une des préoccupations des dirigeants et de facto des DSI qui sont de plus en plus nombreux au Comité de Direction des entreprises. Il n’y a pas une journée sans une information concernant une attaque, une fuite de données, etc. Il y a quelques jours on parlait de 192 attaques en 2020 qui ont été répertoriées contre 54 en 2019 en France et en 2021 les attaques sont de plus nombreuses et médiatiques tel CNED et les hôpitaux.
Le sujet est important pour notre association et nous avons même fait un Think Thank ce mois-ci autour de sujet avec l’intervention de Myriam Quemener – Magistrate à la cour d’appel et auteurs de plusieurs ouvrages sur le sujet ainsi que le retour d’expérience sur l’attaque Altran en 2019 de Stéphane Carteron ex DSI/CTO Altran.

GSM : Pensez-vous que les DSI de votre association soit suffisamment informés sur les problèmes de cybersécurité ?

Sébastien Drouin : Je pense que nous ne sommes jamais assez informés sur ce sujet qui devient un standard et plus une exception. C’est pourquoi nous avons voulu faire ce Think Thank autour de la cybersécurité sous l’angle de 2 volets :
• l’intervention de Myriam Quemener a permis de répondre à des questions autour de l’arsenal juridique
• l’intervention de Stéphane Carteron sur son retour d’expérience, les axes améliorations pas seulement IT mais aussi humains. Ce dernier a été concret et je suis certain que certains de mes collègues vont puiser dans ce témoignage dans les prochains jours afin d’adapter ou modifier leur schéma directeur.

GSM : Quels sont vos préconisations en matière de cybersécurité afin de renforcer les protections contre les cyberattaques ?

Sébastien Drouin : A mon tour de puiser sur le témoignage de Stéphane Carteron et j’ai noté qu’il y a des axes organisations tel :
• Il faut vraiment faire des préparations ou simulation pour se préparer aux crises… du fameux plan ORSEC
• Préparer la direction générale qu’une cyberattaque ne sera pas un souci IT mais une réaction/réponse globale de l’entreprise car il faudra communiquer aux actionnaires ou au marché ou aux clients (Direction Communication), accompagner les collaborateurs en cette période compliqué (DRH), rétablir vers une situation normale (IT), etc
• Plusieurs temps au-delà de la crise : crise et rétablissement dans une situation normal est de 4-8 semaines, post crise de 8 à 12 semaines avant un retour à la normal

Et l’axe technique :
• Utiliser une infrastructure de sauvegarde dédié car dans l’attaque Altran, le serveur de sauvegarde a été le premier attaqué donc il a été impossible d’accéder au catalogue de sauvegarde afin de retrouver les bandes de sauvegarde nécessaire à la restauration
• Sécuriser les éléments vitaux du Système d’Information et surtout les composants AD
• Améliorer la sécurisation du maillot le plus faible grâce à une meilleure authentification de manière multifactoriel
Et en dernier, on doit continuer de former nos collaborateurs car ils sont malheureusement le maillon faible de la sécurité (pas que cybersécurité)..comme dirait les anglo-saxons, le fameux PEBCAK : Sigle de Problem Exists Between Chair And Keyboard !

GSM : Pour conclure, quel serait votre message à nos lecteurs ?

Sébastien Drouin : Il y a de nombreux articles ou de site autour du sujet et je vous suggère de vous appuyer sur les publications faites par le gouvernement tel ANSSI (https://www.ssi.gouv.fr/), https://www.cybermalveillance.gouv.fr/, mais aussi par des associations comme le CLUSIF (https://clusif.fr/), le CIGREF (https://www.cigref.fr/), etc
Je pense vraiment que la cybersécurité devrait être enseigné à nos enfants dès leur début scolaire car ils sont aussi utilisateurs et de facto les entreprises ont aussi un devoir de continuer ce cursus de formation cybersécurité auprès de leurs employés.
Et pour conclure, il me semble que l’on doit appliquer ces gestes simples au sein de nos entreprises et dans notre vie de tous les jours que sont la gestion des mots de passe, la gestion des mises à jour (patch) et faire régulièrement des tests de pénétrations.




Voir les articles précédents

    

Voir les articles suivants