Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Thierry Durand, PDG de Phorcys : RSSI, on vous veut du bien !

décembre 2007 par Marc Jacob

Chaque montagne a son sommet, de la plus petite à la plus infranchissable ! Certains sommets sont visibles de loin, dressés comme des amers ; ce sont des guides pour le marcheur et des défis pour l’alpiniste. Le CSO (Chief Security Officer) a ses propres sommets, très nombreux en cette période de fin d’année. Chacun à sa manière, culminant pour un temps en un point de la planète, s’affiche comme un belvédère furtif du haut du quel le CSO comblé mesure sa propre création, prend la hauteur utile à ses réflexions et comprend l’univers de risques qui grouille à ses pieds. Tous ne sont pas pointus ! Certains sont émoussés ! La hauteur annoncée n’est parfois qu’illusion d’optique, erreur de parallaxe !

À Amsterdam en cette fin du mois de novembre le CSO SUMMIT 2007 a été de ceux, rares, qui laissent à qui l’a gravi cette idée d’accomplissement . . . qui lui fera dire avec une pointe de satisfaction : j’y étais !

S’il est évident qu’un sommet planté sur le « plat pays » se voit naturellement de loin et offre sur le paysage un point de vue unique, il est tout aussi évident que cette seule géométrie ne suffit pas à faire converger les représentants de 4 des 5 continents de la planète en cet automne froid et humide !

La recette :

Quelle peut bien être la recette pour garantir un tel succès !
L’agenda de la rencontre doit être à la fois crédible et riche pour que les RSSI se déplacent en personne. Tous les organisateurs s’y emploient, tous n’y parviennent pas !
C’est qu’il y a deux écoles, celle qui conduit à faire s’exprimer les ténors du marché, ceux qui définissent le besoin du RSSI avant le RSSI lui-même, et celle qui tente de répondre aux besoins du RSSI en permettant un échange libre avec ceux qui ont une véritable expérience de terrain.

La première formule s’autofinance par la promotion qu’elle offre aux éditeurs de solutions, la seconde a un coût élevé. La première école fait se succéder à la tribune des commerçants, orateurs autonomes par métier tandis que la seconde est riche du talent de ses orateurs mais se doit d’en ordonnancer minutieusement les propos. Le secret est là !

Le CSO Summit 2007 d’Amsterdam est le fruit harmonieux du rapprochement de 3 acteurs majeurs :
 Le contenu a été dessiné par « Hibis » (www.hibis.com ), société experte dans la gestion du risque de fraude et de corruption. Forte de son savoir faire, mais aussi du contact qu’elle entretien avec ses clients Hibis à ordonnancé le sommet en trois actes successivement joués sur trois jours, « building strategic security », « security’s role in the prevention, detection & investigation of fraud & corruption » et enfin « managing key security risks & security integration ».
 L’organisation a été confiée au « MIS-Training Institute » (www.mistieurope.com ) qui se présente comme le « leader » en matière de formation sécurité. Pour satisfaire au mieux le besoin de comprendre et d’apprendre des RSSI le MIS-TI a installé des travaux pratiques au sein même des enchainements de conférences. Fort appréciés des participants ces travaux en groupe de 4 à 5 personnes se sont révélés comme un remarquable instrument de formation concrète.
 Le financement, au-delà des frais d’inscription de chaque participant, a été pour l’essentiel assumé par la société VERIZON (www.verizonbusiness.com ), « platinum sponsor ». Depuis le rachat de CyberTrust au début de l’année 2007, Vérizon se présente comme « le premier fournisseur mondial de services managés de sécurités des informations ». Si son métier devait pousser naturellement Verizon à rendre possible cet évènement il faut remarquer que l’efficacité et la présence discrète des deux représentants de Verizon ont été un élément majeur de la réussite.

Ce sommet n’a été ni celui du MIS-TI, ni celui de HIBIS, non plus que celui de Verizon. Grace à chacun d’eux ce sommet a bien été celui des « CSO ».

Le sommet en chiffres :
Le sommet a regroupé à Amsterdam 130 participants venus de 28 pays et de 4 continents.

Le sommet a duré 3 jours pleins, de 8h00 à 18h00. Trente orateurs ont animé 25 heures de conférences et de travaux pratiques. Une salle de 50 m2 accueillait autour de la cafétéria les 9 stands des exposants assaillis de questions lors de chaque pause.

Quelques intervenants d’expérience :

L’animation générale des conférences est confiée à John Purnell, ancien de la police métropolitaine de Londres qui a ensuite dirigé pendant près de 10 ans chez TESCO le département en charge de la protection des biens de l’entreprise, la gestion de crise et les plans de continuité d’activité.

Se sont, entre autres, succédés à la tribune une journaliste vedette des médias anglais, Lady Olga Maitland, aujourd’hui à la tête de l’association des réseaux de transferts monétaires, un « chief security adviser » de Microsoft, Edward P. Gibson, un responsable de la gestion des risques d’un des plus important opérateur de téléphonie mobile au monde, Henrik Saip de Télénor, le RSSI du plus ancien laboratoire pharmaceutique au monde, Laurent Giezendanner de Merck-Serono, le secrétaire général de l’agence internationale pour la transparence et contre la corruption, Jan Borgen, le CSO des transports londoniens, Alan Day, le CSO de la court internationale de justice de La Haye, Phil Boskett, Efaim Halevy, directeur du Mossad Israélien, Andrew Phillipou RSSI de Airbus industrie. Le décor est planté, le ton est donné, le sommet est en marche . . .

Physique et Logique : un seul et même combat !

Le nécessaire rapprochement des sécurités physiques et logiques a été martelé comme un lite-motive par la quasi totalité des orateurs ! Il n’est ni possible ni crédible aujourd’hui de traiter l’un sans l’autre, de traiter l’un et autre cote à cote ! La seule chance de succès réside dans un traitement conjoint et coordonné. L’entreprise a besoin d’un tout cohérent, homogène et qui comprend l’ensemble de ses biens.

Kidnapping

La sécurité physique ne s’arrête pas aux portes de l’entreprise. Il existe des pays où il est dangereux d’attendre un voyageur à l’aéroport en s’affichant avec une pancarte ou même un « badge » au nom de l’entreprise ! – Chris Flint – European Institute of Corporate security management.

Le Principe de précaution au pilori

Le risque est le moteur de progression de toute entreprise ! Une entreprise qui ne prendrait aucun risque serait vouée à la disparition. Promouvoir la « prévention des risques » au rang de principe de gouvernance ou pire, inscrire le principe de précaution dans une constitution (sic) est pure hérésie ! On veut protéger et on précipite vers l’abattoir ! La prévention coute de plus en plus cher alors que la réaction a un coût parfois très limité. Le principe de précaution « tue » la responsabilité et interdit tout « appétit de risque ». Si les risques doivent être gérés pour être évalués, limités, pris en conscience, il est essentiel de ne pas se fourvoyer dans le dogme de leur prévention systématique. – Rick Mac Connell - Eurolcear -

Le prix du terrorisme

Le 11 septembre 2001 n’a couté « que » 500.000 $ aux terroristes ! Ce n’est pas si énorme ! Le schéma est malheureusement simplissime : La drogue produit du cash qui est ensuite placé pour rapporter aux terroristes ! Il faut à tout prix empêcher la fuite des capitaux hors d’Europe. Pour cela, pas de miracle, pas de solution toute prète ! il faut des standards et beaucoup, beaucoup de rigueur ! Juste un exemple : dans l’avion qui me ramenait du Nigéria la somme du cash transporté par les passagers était très supérieure à la valeur de l’avion lui-même ! Impossible de savoir d’où vient cet argent !– Lady Olga Maitland – International Association of Money Transfer Networks –

Le risque, bien entendu

Il ne sert à rien de se « surprotéger » ! La prise de risque est souvent meilleure que son éradication ! Un exemple : vous circulez en voiture, vous risquez de voir la chute d’un météorite interrompre là votre course ! En effet, il est tombé près de 60 météorites en 300 ans ! Mais seulement 5 cas d’impact sur des automobiles ont été rapportés dans la même période (NLDR : les deux premiers tiers de cette période n’ont vu produire qu’un nombre extrêmement limité d’automobiles… !). La bonne nouvelle c’est qu’aucun de ces 5 cas ne concernait un véhicule en mouvement ! Moralité, soit vous ne cesser plus de rouler, soit vous vous équipez d’un char d’assaut (30.000 $ d’occasion) soit vous ne faites rien. S’il vous plait, ne faites rien et continuer de travailler normalement : vous prendrez le risque de gagner plus ! – Bart Vansevenant – Verizon –

La valeur de la compliance

Il y a plus de risque pour l’entreprise à ne pas montrer une conduite éthique et irréprochable qu’à ne pas respecter scrupuleusement certaines règles ! La compliance est un exercice imposé, une contrainte réglementaire. L’éthique et le comportement doivent être et rester les bases de la gouvernance de l’entreprise. Les valeurs de l’entreprise prévalent et dictent toutes les politiques, en particulier les politiques de gestion de risques et de sécurité ! - Michael Price – StatoilHydro –

La prise du risque vrai

En matière de sécurité on gagne en ne perdant pas ! Attention à ne pas se laisser aveugler par un risque improbable et tomber dans un piège ordinaire mais mortel ! Le problème n’est pas d’éviter de se faire dévorer par un alligator mais bel et bien de ne pas se faire tuer par des milliers de volailles apparemment inoffensives ! N’en faites pas de trop, faites le ‘bien’ ! – Martin Smith – The security company -

Qui prend le risque ?

RSSI vous n’êtes là ni pour que l’entreprise ne prenne aucun risque ni pour être responsable des risques qu’elle prend. Devant celui qui va prendre un risque ne dites jamais ‘NON’, aider vous de votre expertise pour lui montrer le risque qu’il va prendre. – David Boye – Saxo bank A/S –

On en mangerait…

L’appétit de risque doit être le plus proche possible de la capacité de risque pour optimiser la progression de l’entreprise. Un appétit trop faible conduit à la stagnation, prémices de la disparition ; un appétit trop fort peut conduire à la disparition précipitée de l’entreprise ! – Rick Mac Connell - Eurolcear.

En finir avec le terrorisme ?

La probabilité d’une attaque nucléaire sur le sol américain est incalculable mais nettement plus élevée qu’il y a 5 ans !
Les services de sécurité britanniques ont doublé leurs effectifs en 5 ans et emploient des personnes capables de s’exprimer dans 44 langues.
L’occident doit aider par tous les moyens les musulmans… il n’y a qu’eux qui pourront mettre fin au terrorisme et à l’extrémisme islamique. – Efraim Halevy – Mossad – Israël –

L’art de la guerre

« Je dis que si tu connais ton ennemi et si tu te connais, tu n’auras pas à craindre le résultat de cent batailles. Si tu te connais toi-même sans connaître ton ennemi tes chances de victoires et de défaites seront égales. Si tu ne connais ni ton ennemi ni toi-même tu perdras toutes les batailles. » cette affirmation de Sun TZU (chine, 6° siècle Avant JC) est dressée en préalable à tout appréciation de risque par Andrew Phillipou, Airbus Industrie.

RSSI, on vous veut du bien !

RSSI et CSO vous avez entre les mains ce qui doit devenir rapidement les outils incontournables de la gouvernance des entreprises. Vous allez être courtisés ! Le risque ne doit pas vous effrayer, vous devez le prendre, le faire prendre ! Critiqués, vous ne serez pas blâmés d’avoir laissé l’entreprise faire un faux pas… mais ne tentez pas de prévenir tous les risques ! Vous immobiliseriez définitivement votre entreprise.
C’est sur ces notes que se termine la première édition de ce sommet. Le prochain s’érigera en un lieu non encore précisé les 26, 27 et 28 novembre 2008 … ne le manquez pas !

par Thierry Durand – PDG de Phorcys – conseil en sécurité de l’information – www.phorcys.fr


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants