Gérôme Billois, Wavestone : La cybersécurité peut créer de la valeur !

septembre 2024 par Marc Jacob

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises 2024 ?

Gérôme Billois : Cette année passée a été riche en développement sur le plan cyber mais l’une des grandes tendances reste le développement de l’IA, et donc sa sécurité. Nous sommes intervenus chez plusieurs dizaines de nos clients sur des missions variées sur le sujet (de la définition d’une gouvernance à des tests de pénétration), et nous avons donc de solides retours d’expérience à partager sur l’ensemble des sujets liés à l’IA de confiance.

Evidemment, d’autres sujets font également l’actualité : NIS 2 et sa transposition en France, l’efficacité de l’équipe cyber, la gestion des talents, le futur du SOC, les enjeux de gestion des identités et des accès, notamment pour l’accès des clients aux ressources d’une organisation (CIAM), et bien d’autres encore !

Nous serons ravis d’en discuter avec tous ceux présents au salon, sur notre stand (L31) et lors de notre conférence !

GS Mag : Quel va être le thème de votre conférence cette année ?

Gérôme Billois : L’année dernière, nous avions identifié l’IA comme l’un des grands enjeux technologiques pour les RSSI pour les 3 à 5 prochaines années, notamment concernant sa sécurité. Ce sujet a été au cœur de plusieurs engagements majeurs de nos experts cette année, et nous proposons pour les Assises un atelier sous forme de « retour d’expérience du terrain ». Nous y partagerons les grands enseignements que nous avons pu tirer de nos missions de l’année chez plus de vingt grands comptes : sécurisation de projets IA développés en interne ou des modules IA des fournisseurs (Copilot, AzureOpenAI…), résultats, parfois surprenants, de nos pentests IA, etc…

Mais ces retours d’expérience ne serviront pas qu’à tirer un bilan de l’année 2024 : nous partagerons aussi nos priorités pour l’année 2025 sur le sujet de la sécurisation de l’IA. Grands chantiers à lancer, évolutions technologiques ou règlementaires à surveiller, bonnes pratiques à encourager au sein de vos équipes … nous proposerons des pistes d’action concrètes pour l’année à venir.

GS Mag : Quel bilan faites-vous de l’impact cyber de la Coupe d’Europe de Football et les Jeux Olympiques et Paralympiques ? Ont-ils suscité un regain d’attaques ?

Gérôme Billois : Il y a eu de nombreuses attaques à l’occasion des Jeux Olympiques & Paralympiques, mais la très grande majorité n’ont pas eu d’impact significatif, grâce à la bonne préparation de l’ensemble des parties prenantes. Il faut souligner le très bon travail des équipes au cœur de la machine, notamment de l’ANSSI ou du ComCyber, mais aussi de l’ensemble des équipes de réponses à incident de France pour l’accompagnement des OIV, des sponsors, des fournisseurs clés, etc… Malgré les précédents qu’il y avait eu lors de grands évènements du même type, et en dépit de la forte exposition, l’équipe de France cyber a montré qu’il n’y avait pas de fatalité et qu’un tel évènement pouvait se dérouler sans accroc sur le plan de la cybersécurité.

Mais l’impact cyber de ces grands évènements, c’est aussi la progression en maturité d’organisations qui ont dû rapidement se mettre au niveau pour être prêtes le jour J ! Nous avons accompagné de nombreux clients dans cette démarche, avec de vraies avancées constatées, qui je l’espère seront durables et entretenues dans le temps. Cela sera clairement un des héritages numériques des JOP !

GS Mag : Comment allez-vous aider les entreprises à se mettre en conformité avec NIS2 ?

Gérôme Billois : Fort de notre expérience auprès de nombreuses organisations pour la mise en conformité avec NIS 1 ou la LPM, nous avons déjà commencé à travailler avec des clients pour préparer leur programme de mise en conformité à NIS 2. Nous avons une très bonne connaissance du texte, Wavestone ayant participé à plusieurs des consultations et ateliers organisés à l’échelle européenne ou française tout au long des processus de transposition de la directive (comme on peut le voir dans notre article sur le sujet). Et nous militons fortement pour amener le plus de cohérence possible à l’échelle européenne dans les exigences et la reconnaissance croisée des textes nationaux pour simplifier la vie de nos clients.

Ce sont évidemment des chantiers qui peuvent être complexes et structurants, car NIS 2 étend considérablement le périmètre des entités concernées. Beaucoup de ces dernières n’étaient pas soumises jusqu’alors aux règlementations similaires comme NIS 1 ou la LPM, et partent de loin.

Même si la transposition en France, comme dans d’autres pays d’Europe, n’est pas encore achevée, il faut rapidement se mettre en ordre de marche. Nos équipes sont prêtes à accompagner les organisations concernées sur l’ensemble de la démarche : pré-cadrage et construction du programme de mise en conformité (évaluation de conformité, cartographie des SI règlementés, définition d’une feuille de route et des budgets), support pour l’implémentation des mesures de conformité, y compris sur la partie analyse de risque et audit des systèmes critique, et enfin assistance dans le processus de certification.

GS Mag : Comment va évoluer votre offre pour 2024/2025 ?

Gérôme Billois :Une importante nouveauté pour nous est l’intégration des équipes issue de Q_Perior, cabinet de conseil avec lequel nous avons fusionné cette année, et qui sont actives principalement l’Allemagne, en Suisse et en Autriche pour ce qui concerne la cyber. Elles n’apportent pas seulement une empreinte géographique étendue, mais aussi des savoir-faire pointus pour compléter notre portefeuille : la cybersécurité automobile [MD1] et la sécurité de SAP. Elles renforcement également nos offres existantes, augmentant notre capacité à répondre aux enjeux de nos clients. Pour les clients soumis à la directive NIS 2 par exemple, cela nous permet d’augmenter notre connaissance des différentes transpositions européennes, avec des équipes réparties dans plusieurs pays (France, Belgique, Luxembourg, Allemagne, Autriche, …).

Nous continuerons cette année à accompagner nos clients sur leurs grands projets cyber, en tant que partenaire indépendant. Nous gardons un œil très attentif sur le marché et sur les évolutions technologiques et règlementaires, pour conserver notre pertinence et profiter les accompagnements adéquats. L’IA sera évidemment un sujet clé, mais également les différentes réglementations qui arrivent (transposition de la NIS, Cyber Resilience Act, …), le futur du SOC, la sécurité des produits, l’efficacité opérationnelle...

GS Mag : Quelle sera votre stratégie globale pour 2024/2025 ?

Gérôme Billois : En 2024, nous avons franchi une barre significative avec une présence sur 4 continents, au sein de 11 bureaux, et rassemblant plus de 1000 consultants cyber. Notre ambition est évidemment de continuer cette croissance pour accompagner nos clients globalement, sans changer nos fondamentaux. Notre ADN reste celle d’un cabinet de conseil en management, intervenant pour les plus grandes structures de chacun des pays où nous sommes présents, avec une fine connaissance des enjeux et spécificités locales.

Nous continuons évidemment à suivre de près les tendances du marché et à investir de l’énergie pour rester à la pointe des sujets et accompagner nos clients dans leur transformation. Le sujet de l’IA est au cœur de nos avancées depuis 2023, mais nous nous mobilisons actuellement aussi sur le chiffrement post quantique. Nous avons de nombreux autres sujets dans nos feuilles de route, restez connectés avec nous sur les réseaux sociaux pour en savoir plus !

GS Mag : Quel est votre message aux RSSI ?

Gérôme Billois : Comme chaque année, les défis seront nombreux : inflation règlementaire, évolutions technologiques, tensions géopolitiques, incertitudes économiques… et bien d’autres auquel l’on ne pense pas. Mais les RSSI savent de plus en plus jongler avec ces différentes contraintes. Cependant, il est désormais temps de ne plus être dans la réaction, mais dans l’innovation : la cybersécurité peut créer de la valeur !

En effet, la cybersécurité est souvent vue comme une fonction de défense réactive, mais elle peut aussi permettre voire accélérer l’innovation. Ce n’est que par ce changement d’état d’esprit de la cybersécurité que les entreprises peuvent se différencier de leurs concurrents et générer des avantages décisifs. Trois points seront clés :

• Améliorer continuellement de votre conformité et de votre résilience : elle est essentielle ! Mettez en place une gestion de programme solide, améliorez continuellement les processus, assurez le financement et restez à l’affût des réglementations futures.

• Travailler avec vos clients et au sein de votre organisation de manière différente : encourager une culture de la cybersécurité positive, en réduisant les frictions qu’elle peut entrainer et en construisant des programmes de sécurisation efficace incluant une part significative de conduite du changement. Profitez de cette approche positive pour encourager les échanges entre vos équipes cyber et vos équipes métier, afin d’identifier les attentes de vos clients et faire de la cybersécurité un différentiateur pour votre business.

• Trouver le meilleur équilibre entre sécuriser les risques des nouvelles technologies, et faciliter leur adoption : le rythme de développement technologique ne montre aucun signe de faiblesse. Alors que les métiers adoptent de plus en plus rapidement les nouvelles technologies, comme nous le voyons avec l’IA générative, les RSSI doivent redoubler d’effort pour contrôler le développement de ces technologies sur leur SI, pour en maitriser les risques, sans compromettre l’esprit d’innovation.

La cybersécurité est à la croisée des chemins : alors que les défis sont de plus en plus forts et divers, elle doit devenir un facilitateur, voire un vecteur d’innovation pour les organisations. C’est ainsi que vous pourrez passer au niveau supérieur !