Stéphane Czernik (IPSEN) : « L’indépendance du RSSI est un gage de liberté de parole »
publié le par Fabrice Deblock
Directeur de la sécurité de l’information et RSSI adjoint du laboratoire pharmaceutique français, Stéphane Czernik nous fait part de son expérience et nous livre sa vision de la collaboration idéale entre DSI et RSSI.
Comment s’organise la collaboration entre la DSI et la RSSI dans votre entreprise ?
Stephane Czernik – IPSEN
Stéphane Czernik. La collaboration entre la DSI et la RSSI se passe très bien chez IPSEN. Nous avons tous le même objectif, nous avançons main dans la main. Chez nous, le RSSI est en réalisé un CSO, c’est-à-dire un Chief Security Officer. Il a dans son périmètre la sécurité physique des sites, la sécurité informatique au sens « RSSI » traditionnel et la sécurité informatique pour les sites industriels (périmètre OT / Operational Technology). Il est rattaché au département « risques ».
Si l’on prend les aspects liés à la sécurité physique des sites, les périmètres du RSSI et du DSI n’ont pas vraiment de point commun, si ce n’est lorsque nous devons installer des systèmes informatiques pilotant certains éléments physiques comme des caméras de surveillance.
En revanche, les points communs sont plus nombreux quand il s’agit de la sécurisation des systèmes informatiques traditionnels au sens large et de la sécurisation des sites de fabrication, sans lesquels IPSEN serait dans l’incapacité de produire ses médicaments et donc de remplir sa mission vis-à-vis des patients. Les systèmes informatiques OT doivent en effet être protégés comme il se doit.
Comme vous le soulignez, on assiste aujourd’hui à une convergence de plus en plus forte entre les technologies opérationnelles et informatiques, entre OT et IT, ce qui expose l’OT à de nouvelles menaces. Qui prend en main cet aspect-là ?
S. C. : Chez IPSEN, c’est la DSI qui prend en charge ces aspects. Nous avons d’ailleurs actuellement un projet de transformation organisationnelle dans le cadre duquel un certain périmètre de l’OT va se retrouver dans le giron du DSI. Une sorte de fusion IT / OT va s’opérer au niveau organisationnel. Le DSI va être, in fine, responsable de la sécurisation de tout ce périmètre OT.
Quels sont les challenges communs entre DSI et RSSI ?
S. C. : Un des principaux challenges communs est tout d’abord la gestion de l’obsolescence. Dans le monde de la pharmacie, les temps de cycle sont assez longs. Un certain nombre de systèmes se retrouvent donc rapidement obsolètes. Pour les maintenir à un bon niveau de sécurité, c’est très compliqué. Nous sommes obligés de passer par des phases très longues de remise à niveau des équipements, des serveurs informatiques et des logiciels pour obtenir les bonnes versions de Windows et les bonnes versions de logiciels qui seraient supportées par les éditeurs et qui seraient patchables, par exemple. Quand ce n’est pas le cas, nous sommes réduits à essayer d’isoler, d’un point de vue réseau, ces équipements pour limiter la surface d’attaque. Un des principaux challenges est donc de sécuriser au maximum le périmètre OT en prenant en compte l’obsolescence des systèmes informatiques.
Un autre challenge est lié à toutes les campagnes de phishing dont nous sommes la cible, comme de très nombreuses autres entreprises dans notre secteur d’activité. Notre rôle est donc d’éduquer les utilisateurs au maximum. La technologie en soi, même si on ajoute petit à petit des contrôles, ne suffit pas à parer 100 % des attaques. Le dernier maillon, et parfois le maillon faible, c’est l’humain. C’est l’axe sur lequel nous travaillons beaucoup en commun avec l’informatique, pour organiser des campagnes d’éducation des utilisateurs ainsi que des campagnes de faux phishing pour observer comment les collaborateurs réagissent et renforcer la formation des « serial clickers ». Nous sommes dans ce cadre beaucoup en relation avec les équipes IT. Nous les prévenons en amont des campagnes afin que le support utilisateur ne pense pas que ce sont de vraies attaques et déclenche les procédures prévues en pareil cas. Nous travaillons ensuite avec les équipes informatiques sur les statistiques de ces opérations.
Le pendant de ces attaques de phishing, ce sont les ransomwares, qui sont susceptibles de pénétrer le SI par l’intermédiaire du phishing. Il y a donc un gros travail de sécurisation en cours pour renforcer les Active Directory et la segmentation réseau. Nous travaillons pour cela vraiment de concert avec la DSI. Les roadmaps sécurité sont alignées avec celles de l’IT. On ne pourrait pas travailler autrement.
De qui le RSSI doit-il idéalement dépendre selon vous ?
S. C. : En préambule, je dirais que quand on parle de collaboration, cela dépend essentiellement des personnes et de la culture d’entreprise, pas juste de l’organigramme. Quand il y a une bonne entente entre DSI et RSSI, cela fonctionne très bien. Mais quand, au niveau personnel, cela ne colle pas, c’est là que les difficultés commencent à arriver. Une culture organisationnelle forte peut concilier ces difficultés. Chez Ipsen, la collaboration pluridisciplinaire, l’ouverture et la confiance sont ancrées dans notre raison d’être.
Dans mon parcours professionnel, j’ai pu tester différentes configurations. Quand j’ai commencé, il y a 20 ans, la sécurité était dans le giron de l’informatique, dans une configuration classique. Dans la suite de ma carrière, j’ai travaillé dans le secteur bancaire. Quand je suis arrivé dans une filiale d’une grande banque française, ils avaient, suite à une inspection générale, complètement modifié l’organisation sécurité et avaient temporairement sorti la sécurité de l’informatique pour la rattacher au CEO de la filiale.
L’avantage, c’est que le RSSI avait une énorme visibilité, mais aussi beaucoup de pression. Et comme il était plus libre de remonter les points qui lui paraissaient importants, cela mettait une pression sur la DSI. Parfois, cette pression était mal vécue parce que la roadmap de la DSI ne correspondait pas toujours à ce que le RSSI souhaitait faire. Mais on en revient toujours à la même chose : tout dépend de l’état d’esprit des personnes impliquées. Je ne pense pas qu’il y ait de solution idéale.
Quand le RSSI est indépendant du DSI, n’a-t-il pas plus de liberté, de latitude ?
S. C. : Effectivement, ayant connu plusieurs configurations différentes dans mon parcours professionnel, mon ressenti est que cela peut mieux fonctionner lorsque la RSSI n’est pas dans le giron de l’IT, essentiellement pour des questions de liberté. Je me souviens de certains cas au tout début de ma carrière où, pour des problèmes relativement importants, le DSI, qui chapeautait la sécurité, avait eu un peu trop tendance à enterrer les sujets parce que les coûts de remédiation ne rentraient pas du tout dans ses budgets. Il avait des objectifs business plus importants à ses yeux que de remédier aux points que le RSSI avait soulevés, non pas pour se faire plaisir mais simplement pour permettre à des business de continuer à opérer à moindre risque.
C’est le principal avantage que je vois. L’indépendance du RSSI permet de remonter plus librement vis-à-vis de la DSI des sujets qui doivent être mis sur la table et discutés en toute transparence entre les deux. Mais il est difficile de généraliser. Je pense qu’aujourd’hui, les DSI ont tous intégré qu’ils ont besoin de collaborer avec la sécurité, quel que soit son rattachement.
XEn poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies essentiels au fonctionnement du site, ceux nous permettant d'améliorer votre expérience, de mesurer l’audience de notre site et de vous proposer un contenu plus adapté. Vous avez la possibilité de personnaliser l'utilisation de ces cookies. Mais la désactivation de certains de ces cookies peut avoir un effet sur votre expérience de navigation. En savoir plusPersonnaliser mes choixJe refuse toutJ'ACCEPTE TOUT
Politique de confidentialité
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Les cookies nécessaires sont absolument essentiels au bon fonctionnement du site Web. Ces cookies assurent les fonctionnalités de base et les fonctions de sécurité du site Web, de manière anonyme.
Les cookies fonctionnels aident à exécuter certaines fonctionnalités telles que le partage du contenu du site Web sur les plates-formes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités tierces.
Cookie
Durée
Description
mautic_device_id
1 year
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing.
Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id
30 minutes
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie permet de connaître l’origine du visiteur.
mtc_id
session
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid
session
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session
Les cookies de performance recueillent des informations sur l'utilisation de nos sites web afin d'améliorer leur attractivité, leur contenu et leur fonctionnalité. Ces cookies nous aident, par exemple, à déterminer quelles pages secondaires de notre site sont visitées et quel type de contenu intéresse nos lecteurs.
Cookie
Durée
Description
YSC
session
Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview
10 minutes
Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat
1 minute
Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.
Les cookies analytiques sont utilisés pour comprendre comment les visiteurs interagissent avec le site Web. Ces cookies aident à fournir des informations sur les mesures du nombre de visiteurs, du taux de rebond, de la source du trafic, etc.
Les cookies publicitaires sont utilisés pour proposer au visiteurs des publicités personnalisées selon votre parcours sur notre site.
Cookie
Durée
Description
IDE
1 year 24 days
Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID
6 months
This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE
5 months 27 days
This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
Cookie
Durée
Description
ARRAffinitySameSite
session
No description
attribution_user_id
1 year
No description
cg_uuid
1 year
Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Elevate
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
