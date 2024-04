Guillaume Alliel, Phinasoft : La gouvernance est la clé de voute de toutes les activités de cybersécurité

avril 2024 par Marc Jacob

Global Security Mag : Qu’avez-vous présenté lors du Forum InCyber 2024 ?

Guillaume Alliel : Lors de l’édition 2024 du Forum, nous avons présenté nos solutions logicielles dédiées aux enjeux de gouvernance SSI. Les cas d’usage comprennent notamment : analyses de risques, intégration de la sécurité dans les projets, conformité, mise en place et maintien d’un SMSI, évaluation des tiers, pilotage des plans d’action, gestion de bases de connaissance et reporting.

Cela a été l’occasion de parler également de nos nouveautés avec une refonte importante de la plateforme qui prévoit :

– Un module SMSI encore plus avancé

– La possibilité de faire des liens entre des référentiels d’exigences différents

– Une modélisation plus fine de l’écosystème de l’organisation

– La prise en compte des évolutions de la méthode Ebios qui ont été partagées par l’ANSSI

– Une version « Conseil » permettant à des consultants d’y gérer directement les profils de plusieurs clients

– Des améliorations d’ergonomie et de performance pour rendre la plateforme encore plus simple et fluide d’utilisation

Nous sommes par ailleurs en cours de labellisation Ebios RM.

Toutes ces améliorations anticipent également les besoins de conformité à la Directive NIS 2 auxquels de nombreuses organisations vont vite être confrontées.

Global Security Mag : Quels sont les points forts des solutions que vous avez présenté à cette occasion ?

Guillaume Alliel : Les principaux points forts de nos solutions, reconnus par nos clients, sont les suivants :

– Ergonomie et simplicité d’utilisation

– Richesse des fonctionnalités

– Adaptabilité à des contextes clients variés

Nous apportons par ailleurs une valeur importante sur les enjeux suivants :

– Gain de temps majeur sur la centralisation des informations, le calcul d’indicateurs, l’automatisation d’envoi de mails et le suivi des risques et plans d’actions

– Efficacité des évaluations grâce à des systèmes de workflows et de signatures / validation par les parties prenantes

– Communication plus aisée avec la Direction autour d’indicateurs clés

– Meilleure implication de parties prenantes peu familières avec les enjeux de cybersécurité

– Pilotage plus simple et centralisé des analyses de risques

– Évaluation et pilotage de la conformité des tiers et aide à la rédaction de Plans d’Assurance Sécurité (PAS) pour les contrats

Autant d’atouts pour mieux mettre en place, organiser et piloter ses activités de gouvernance SSI. Les actions à faible valeur ajoutée sont automatisées et l’équipe SSI peut passer plus de temps sur l’essentiel. A l’approche des obligations liées aux nouvelles réglementations comme NIS 2 ou DORA, ce gain d’efficacité est précieux.

Global Security Mag : Cette année le Forum InCyber a eu pour thème l’IA, quelles sont les principales cyber-menaces qui en sont issues ?

Guillaume Alliel : L’IA devient à la fois une arme dans les mains d’attaquants dont il faut se protéger et une brique de la conception de nouveaux produits dont il faut également garantir la sécurité. La menace vient donc tout à la fois de l’usage grandissant par les cybercriminels de l’IA que d’une adoption par les organisations qui ne prendrait pas en compte les principes de Security by Design, ouvrant donc la voie à des vulnérabilités majeures et exploitables par des attaquants.

Toute organisation doit aujourd’hui prendre en compte les nouvelles menaces liées à l’IA et en premier lieu celles liées à l’ingénierie sociale dont le potentiel de nuisance est décuplé du fait de capacité de personnalisation plus avancées. La sensibilisation combinée à des solutions plus avancées de protection de la messagerie sont alors clés. Mais il s’agit aussi d’intégrer la sécurité dès lors que l’on intègre de l’IA dans ses applications avec des mesures permettant par exemple la protection des données d’entraînement, mais pas seulement.

Le besoin de prise en compte de ces enjeux dans les analyses de risques SSI va aller en grandissant !

Global Security Mag : Quelles sont vos impressions sur cette édition ?

Guillaume Alliel : Comme chaque année, le Forum InCyber est l’occasion de retrouver une très grande partie de l’écosystème. L’édition 2024 a même vu encore plus de visiteurs que les années précédentes sur notre stand. Les questions sont précises, les discussions encore plus riches et le besoin semble être de plus en plus mature sur nos thématiques.

Sûrement l’influence combinée des nouvelles réglementations (NIS 2, DORA, …), d’une prise de conscience accrue de la menace et d’une exigence globale plus importante de la part des organisations sur les sujets de cybersécurité, qui s’impose désormais clairement comme stratégiques. Les autorités publiques tout aussi bien que les clients l’exigent et la sécurité devient même un avantage compétitif dans un monde où certaines menaces de cybersécurité sont désormais inacceptables.

Global Security Mag : Quel message souhaitez-vous transmettre aux RSSI ?

Guillaume Alliel : La gouvernance est la clé de voute de toutes les activités de cybersécurité, comme le confirme par ailleurs la dernière version du Cybersecurity Framework du NIST. Elle assure la cohérence et la bonne orchestration entre tous les axes de défense en profondeur : Protection, Défense, Résilience (ou Identify, Protect, Detect, Respond, Recover outre-Atlantique).

La nouvelle Directive NIS 2 va consacrer à large échelle l’importance des activités de gouvernance ainsi que l’approche par les risques. La PSSI et l’analyse de risques vont ainsi devenir des composantes incontournables pour les organisations souhaitant se conformer.

Des solutions logicielles comme Phinasoft peuvent s’avérer être un atout majeur, autant pour les organisations initiant la mise en place d’activités de gouvernance que pour celles déjà matures, souhaitant gagner une efficacité précieuse. Face aux menaces, une approche structurée et stratégique de la cybersécurité ainsi que la recherche de l’efficacité sont des alliés importants. Si les tableurs, encore largement utilisés, ont leurs avantages, ils montrent aussi leurs faiblesses lorsqu’il s’agit de passer à l’échelle et d’impliquer des parties prenantes très diverses au sein des organisations.