Comme chaque année, Alliancy a consacré l’un de ses diners débats de la rédaction de fin d’année au thème cyber. L’édition de cette année, organisée en partenariat avec Cohesity, a été l’occasion pour les CISO invités de venir partager leurs expériences récentes et leur vision de l’évolution de leur rôle autour du concept de cyber-résilience.

Les spécialistes de la sécurité dans les organisations ont musclé leur jeu ces dernières années pour mieux protéger, détecter, recouvrer la data. Pour autant, le contexte pourrait les pousser à faire encore évoluer leurs pratiques. L’état de la menace n’en finit pas de demander des adaptations, notamment face à des ransomwares de plus en plus protéiformes. Mais c’est aussi la relation entretenue par le CISO avec les métiers, pour identifier et prioriser les données à sanctuariser, et pour accompagner la sécurité de leur gestion, qui doit se renforcer. Les questions posées par le cloudification massive des organisations, sont également nombreuses.

Dans ce cadre, Alliancy a posé la question à ses invités : quelle doit être le rôle du CISO en matière de cyber-résilience en 2023 ? Et quelles sont leurs attentes vis-à-vis du marché ? 
Nous vous proposons de retrouver dans cet article un best-of des échanges entre ces experts.

Laurent Amsel, Group CISO de Carrefour

« Dans le cas de Carrefour, la résilience se pense aussi dans le cadre de notre transformation digitale avec notamment un move-to-cloud massif. Le cloud est une opportunité pour la continuité de service, avec son agilité qui facilite le DRP (Disaster recovery plan, NDLR). Même si sa mise en œuvre est simplifiée, ce besoin doit toujours être intégré dans la conception. Mal maîtrisée, cette agilité est aussi un vecteur de risque tant il est simple d'exposer des données ! 

Par ailleurs, la résilience intègre aussi la notion de fonctionnement en mode dégradé, mais la part croissante du numérique dans les de processus business, il devient très difficile d’imaginer que ce mode dégradé pourra effectivement fonctionner. C’est pourquoi le DRP et la reprise technique sont des éléments prioritaires pour moi.

Pour améliorer la résilience, il est aussi urgent d’arrêter de mettre en production des vulnérabilités, pour privilégier le security by design ! La multiplication récente des digitales factories dans les entreprises est en ce sens un défi, en ce sens que l'agilité qu'elles amènent génère aussi un besoin accru d'accompagnement cyber. »

Antoine Ancel, directeur sécurité opérationnelle de la SNCF

« Définir ce que chaque acteur dans l’entreprise entend par résilience est déjà un enjeu en soi. Pour la SNCF, la résilience opérationnelle consiste à continuer à faire circuler les trains, quelles que soient les conditions ; mais qu’en est-il par exemple de la capacité à continuer de vendre des billets, qui est une tout autre activité ? En la matière, il est évident qu’un chief information security officer ne peut pas porter la vision de toute la résilience de l’entreprise : cela dépasse de loin la seule question d’une crise cyber. Il faut donc développer un collectif. Heureusement, la vision des directions générales sur les CISO ont radicalement évolué en quelques années et un dialogue efficace sur la question est possible. »

Véronique Bardet, RSSI de Pierre Fabre

« Il est difficile de mobiliser les acteurs de l’entreprise pour travailler sur la résilience, c’est un sujet qu’ils ne considèrent pas urgent. Jusqu’à présent, la résilience était souvent la responsabilité des acteurs de production informatiques, qui maîtrisaient l’ensemble du parc. Avec le « move to cloud », les responsables de production informatiques peuvent avoir perdu une vision 360 des infrastructures sur lesquelles s’appuie un process métier de bout en bout. De ce fait, il arrive aujourd’hui que seul le CISO ou responsable Sécurité par sa vision risque transverse, ait la cartographie 360 pour être capable de redémarrer.

Il est donc urgent de prioriser les processus métiers critiques pour redonner la responsabilité à chaque responsable d’un métier critique pour qu’il se réapproprie sa capacité de résilience et sache la piloter et investir sur le sujet. »

Christophe Blassiau, senior vice-président, cybersecurity & global CISO de Schneider Electric

« En termes de résilience, notre priorité est celle est de notre environnement industriel pour continuer à fournir nos clients : offrir des produits sécurisés "by design" et s'assurer de la continuité d'opération de nos usines.

L'enjeu est à la fois celui d'une sécurité digitale mais aussi une question de confiance de notre écosystème élargi, avec nos fournisseurs et nos clients. Le sujet de résilience est donc collectif, il nécessite une attention et une responsabilité des différents métiers. Car le risque doit être géré là où il est créé. »

Mounir Chaabane, RCSSI du ministère de la Justice

« La résilience n’est évidemment pas une option pour les services publics, et plus encore quand il est question de la Justice. Il y a 10 ans, les RSSI étaient seuls sur cette question ; ce n’est plus possible. Des propositions réglementaires comme le Cyber Resilience Act européen, en septembre dernier, peuvent faire bouger les lignes. Elles soulignent à raison qu’en matière de résilience la question de la gouvernance est centrale, mais aussi que le rapport aux produits numériques, quels qu’ils soient, doit changer ; avec un niveau d’exigence et de responsabilité des concepteurs et producteurs qui doit passer un cap. Les Etats sont sortis de l’époque où ils espéraient que le marché viendrait à cette conclusion seul et passent donc par des réglementations beaucoup plus strictes, qui vont mettre la pression sur toutes les organisations. »

Fatima Djoubar, VP IT security d’Accor

« En matière de résilience, le plus complexe est sans doute de définir la criticité et la priorité des sujets. Quelle donnée est la plus importante en fonction du prisme business ? Le sujet est autant métier qu’IT et, alors que le move-to-cloud s’accélère, il faut faire attention à ne pas être laissé en arrière sur cette question. L’un des déclics vient aussi dorénavant du poids pris par les assurances cyber, qui coutent de plus en plus cher et font ressortir différents aspects de la cyber résilience. Les directions générales constatent bien que s’il y a 10 ans, elle n’avait qu’une seule assurance, aujourd’hui elles se multiplient… Et plus encore qu’elles refusent maintenant de payer sur certains critères liés à l’absence de parti-pris de résilience. Cela fait aussi bouger les lignes. »

Jean-Baptiste Fouad, responsable de domaine sécurité des systèmes d’information de SFR

« Pour beaucoup d’entreprises, la cyber-résilience avait auparavant un aspect très théorique. Intellectuellement le principe était accepté et chacun avait en tête les actions et procédures à exécuter… Ces derniers temps, la priorité a été d’uniformiser et de formaliser la réaction opérationnelle, concrètement : mettre d’accord toutes les parties prenantes concernant les décisions à prendre en amont pour être prêt au moment où il faudra agir dans le feu de l’action. Le CISO a dans ce cadre un rôle très opérationnel de facilitateur justement, car il est un sachant technique qui a aussi une vision globale des enjeux. Pour SFR, l’un des plus grands changements récents en termes de résilience est sans aucun doute le nombre croissant d’interactions avec ses filiales et partenaires à l’international : organiser la résilience avec plusieurs entités à l’étranger présente de nouveaux challenges que d’être centré uniquement sur le territoire national. »

Bruce Garnier, RSSI de Mazars en France

« Au sein de Mazars, nous devons à la fois être vigilant sur notre propre résilience propre, mais aussi sur l’impact que nous avons en tant que tiers auprès de très nombreuses grandes organisations clientes que nous accompagnons. La question de la confiance entre partenaire prend une place majeure dans la vision de la résilience actuelle des écosystèmes business. Or, on ne forge pas la confiance avec des tiers à travers de simples questionnaires types, interrogeant sur des mesures de sécurité. Il est nécessaire d’être beaucoup plus transparent et de créer un lien étroit et mettre en place un échange plus fort. »

Richard Guidoux, VP, cybersecurity director for B2B products & services d’Idemia

« Selon la nature de nos activités, le concept de résilience peut recouvrir des réalités différentes : entre la R&D, les usines, les services digitaux… c’est un périmètre à géométrie variable.

• Sur la partie engineering, recherche et développement, la priorité est clairement de se protéger des ransomwares, d’optimiser les sauvegardes et les capacités de recovery.
• Sur la partie OT, l’enjeu est plutôt d’augmenter la maturité des métiers, mais aussi du marché pour avoir des solutions appropriées. Nous constatons ces derniers mois une vraie envie d’améliorer la collaboration.
• Enfin, sur la partie digitale, le défi est encore différent : il s’agit de travailler au niveau du design même des services et au cœur de l’architecture, pour avoir des solutions self resilient by design.

Le point commun est qu’il s’agit d’un sujet de direction générale et que le risque ne peut être porté, in fine, que par l’IT ou chaque métier individuellement. »

Michel Juvin, expert cybersécurité et chroniqueur d’Alliancy

« La situation dans les grandes entreprises est souvent paradoxale : il y a un accroissement global des budgets consacré à la sécurité, et donc à la résilience, mais ceux-ci sont difficiles à dépenser efficacement pour les CISO.

La cartographie nécessaire des applications est de plus en plus complexe, vaste et surtout hybride. Pour assurer le recouvrement des données et applications, déterminer le « point de commitment » est une vraie question. »

Sylvain Lambert, RSSI de Pôle Emploi

« La question de la résilience existait clairement avec la cyber ; elle l’intègre désormais. La dépendance au numérique a en effet tout changé : la fragilité numérique de toutes les organisations est devenue systémique, nous ne sommes plus sur des épiphénomènes cyber facilement maîtrisables. Les métiers pendant longtemps ont persisté à penser que le système d’information était « immortel » et donc que la résilience n’était pas de leur ressort. La prise en compte est récente et demande encore des adaptations. Une fois par an, nous organisons un test de résilience qui consiste à expérimenter avec tous les métiers un fonctionnement avec un système d’information restreint aux missions vitales de l’organisme. C’est une expérience aujourd’hui très enrichissante. »

Philippe Netzer-Joly, group chief cyber security officer d’Arkema

« Si les acteurs industriels mettent la Cyber résilience au premier plan de leurs préoccupations, tous travaillent aussi avec de nombreux fournisseurs critiques (au sens de la continuité d’activité) plus petits qu’eux, qui pour leur part de n’en maîtrisent pas autant les principes. La maturité digitale joue beaucoup sur celle de la résilience : du côté de la transformation numérique également, la préoccupation n’est donc pas tant vis-à-vis des hyperscalers du cloud (qui offrent des opportunités en résilience) que des acteurs plus petits et moins matures en Cyber et Digital qui peuvent devenir les maillons faibles de la résilience de l’entreprise.

L’accompagnement des tiers de plus petites tailles est un enjeu extrêmement important à tous les niveaux. Par ailleurs, il est critique que tous les acteurs de l’entreprise, au premier rang desquels les métiers eux-mêmes, se rendent bien compte ce que signifie un fonctionnement en mode dégradé. Si le métier n’est pas entrainé à cette réalité, la résilience reste théorique. »

Olivier Perrault, chief information security officer d’Orange Business Services

« Il faut le dire et le redire : aujourd’hui, aucune organisation n’est vraiment préparée à une véritable crise cyber systémique, que l’on sait pourtant pouvoir arriver. De plus, le lien entre logique cyber et logique de résilience n’est pas toujours évident : il y a des réflexes qui sont contre-intuitif quand on réfléchit à l’un et par à l’autre. Par exemple, une direction métier aura la volonté de relancer tous les systèmes au plus vite dans une optique de résilience de son activité, alors que les experts cyber vont au contraire tout arrêter pour éviter de redémarrer trop vite sur des bases fragiles ou compromises. La cyber-résilience est un excellent moyen pour matérialiser clairement les risques cyber de matérialiser clairement les risques cyber qui vont parler aux métiers et ainsi maintenir un dialogue opérationnel. »

Sylvain Thiry, group CISO de Société Générale

« Les banques travaillent depuis longtemps sur les enjeux de résilience opérationnelle. L’arrivée de DORA (Digital Operational Resilience Act, NDLR) va apporter un cadre réglementaire qu’il faut décliner dans toutes les entreprises. La dimension écosystème a pris une importance majeure : aujourd’hui la résilience des grands groupes n’est plus suffisante, c’est tout l’écosystème qu’il faut protéger, par exemple la coupure d’un tiers suite à une attaque informatique peut tuer un grand groupe. Par ailleurs, la résilience opérationnelle est un sujet global, bien entendu l’IT et la Cyber doivent être impliqués mais c’est avant tout un sujet qui doit être porté par la direction générale et les métiers. »

Stéphane Tournadre, RSSI de Servier

« La professionnalisation de la menace, quand nous regardons la nature des scénarios d’attaques réels, inquiète autant les directions générales que les experts IT. C’est aujourd’hui une question claire de nos dirigeants : quelle doit être la définition de la résilience appliquée au Groupe Servier ? Il est très important de distinguer PRA (Plan de reprise d’activité, NDLR) et résilience métier. Les RSSI comme tous ceux qui ont été un jour patron de production informatique dans leur vie le savent. En cas de crise aujourd’hui, il manque encore sur le marché de vrais outils d’aide « pratico-pratiques », qui permettent de traverser plus facilement de telles périodes compliquées. »

Frank Van Caenegem, group CISO de CNP Assurances

« La question de la résilience ne doit pas seulement être abordée sous le prisme d’un « mur » cyber ou d’un plan de reprise d’activité informatique (PRA), ni uniquement sur une éventuelle étape de « reconstruction ». La poursuite des opérations en mode dégradé doit figurer parmi les outils. La cyber-résilience ne doit pas être associée à de la pure cybersécurité : au contraire, des initiatives comme la Chaos Monkey Army* inventée par Netflix montrent qu’il y a beaucoup à faire pour mettre à l’épreuve au quotidien sa résilience à travers le numérique. De même, il faut que nous parvenions à faire comprendre largement que « détecter des dysfonctionnements » dans l’organisation n’est pas en soi un problème, bien au contraire ! La clé, c’est plutôt la réactivité. Et ce devoir pédagogique sur les fondamentaux de la résilience doit aussi être tourné vers l’externe, vis-à-vis de nos partenaires en introduisant de la maturité et de la sérénité dans les audits réalisés en ce sens. »

Matthieu Brignone, directeur régional Europe du Sud & François-Christophe Jean, directeur technique Europe du Sud de Cohesity

Notre partenaire Cohesity a également partagé sa vision d’expert à l’occasion des échanges de ce dîner. « Ces dernières années, on a souvent présenté la sauvegarde comme étant le « dernier filet » de la cyber-résilience, pour peu que les données sauvegardées soient rendues immuables. Mais si l’on s’intéresse uniquement aux données, sans rendre les métadonnées et les traitements eux aussi immuables et sans procéder à une analyse proactive de l’intégrité de ces données immuables… on a juste constitué un cimetière de données. Moins que des sauvegardes isolées et immuables, ce qui manque bien souvent pour des opérations vraiment résilientes, c’est un data management cohérent permettant de restituer, quasi instantanément, la « dernière bonne occurrence des données » car, outre la prise en otage et exfiltration des données, l’allongement considérable du RTO est aussi l’un des buts d’une cyberattaque. » a ainsi rappelé François-Christophe Jean, directeur technique Europe du Sud de Cohesity.

« En travaillant avec nombreux CISO à travers l’Europe, j’ai pu constater deux tendances : d’une part, la démultiplication des sous-traitants qui a affecté les approches de résilience, en faisant apparaître souvent des maillons faibles dans la chaîne de confiance autour de chaque entreprise ; d’autres part une coopération transverse qui a remis le CISO au cœur du jeu avec les CIO » a pour sa part souligné Matthieu Brignone, directeur régional Europe du Sud de Cohesity.

Nous remercions nos invités pour leur présence à cet échange et pour s’être prêté au jeu du partage de visions et d’expériences !

Ainsi que notre partenaire Cohesity, qui a permis son organisation.

Une rencontre organisée avec le soutien de Cohesity.

Cohesity simplifie radicalement la gestion des données. Nous facilitons la protection, la gestion et la valorisation des données — dans le datacenter, en périphérie et dans le cloud. Nous proposons une suite complète de services consolidés sur une plateforme de données multicloud : sauvegarde et récupération, reprise après sinistre, services de fichiers et objets, développement/test, conformité, sécurité et analyse des données, ce qui réduit la complexité et élimine la fragmentation massive des données. Cohesity est disponible en mode as a service, en autogestion ou via un réseau de partenaires. En savoir plus : https://www.cohesity.com/fr/