Brief de la rédaction Cybersécurité du 15 octobre 2015

"Légitimité, risques, coûts : comment sensibiliser ses dirigeants aux enjeux de cybersécurité ?"

Les problématiques de cybersécurité se diffusent auprès du grand public. Et pour cause, les faits de cybercriminalités intéressent de plus en plus les médias, y compris nationaux. Du « piratage » de sa carte bancaire ou de sa boite mail personnelle, jusqu’aux fausses factures infectées en pièce-jointes d’e-mails professionnels, l’individu se retrouve en première ligne en matière de cybersécurité. A ce titre, les dirigeants d’entreprises sont des individus (presque) comme les autres, pourtant ils ont longtemps été dissuadés de s’intéresser au sujet, vu comme trop technique et complexe. Avec à la clé, un risque accru pour l’entreprise car comment faire naître une culture de la sécurité numérique dans l’entreprise si le top management ne donne pas le bon exemple ?

Le responsable de la sécurité du système d’information peut-il faire changer cela ? Voici l’une des questions qui s’est posée lorsque la rédaction d’Alliancy, le mag a réuni dans ses locaux des représentants de la profession pour discuter du rapport entre les dirigeants et la sécurité numérique. Effets de l’actualité, place dans l’organigramme, coopération avec le DSI, enjeux de « style » de discours et équilibre entre responsabilisation et sanction, ont été au cœur de ces échanges.

Nous avons réunis là quelques-unes des observations des invités de la rédaction et des partenaires qui ont rendu possibles cette discussion.

Photos : Charlie Perreau - @CharliePERREAU

Sandro Lancrin, RSSI de Radio France

« L’actualité a été très forte cette année pour un média. Les attentats de Paris de début janvier ont alerté nos dirigeants sur les enjeux de sécurité physique... l’attaque sur TV5 Monde en avril leur a montré que les mises en garde sur les risques cyber, sur la perte de contrôle sur le système d’information, étaient également bien réelles. En parallèle, mon poste a gagné en transversalité à la faveur de notre réorganisation interne en 2013. J’ai donc acquis plus de légitimité ces dernières années, mais le sujet reste délicat. L’argument financier, du ROI, est difficile à utiliser dans le cadre d’une structure publique. Par contre, le rapport à la loi fonctionne. Les pénalités juridiques, voire les conséquences pénales, peuvent avoir une influence forte sur les managers et les dirigeants, même s’il restera toujours des personnes pour ne pas se sentir concernées. » 

Jean-François Louâpre, vice-président du CESIN, RSSI de CNP Assurances

« La place du RSSI dans l’entreprise et le poids relatif du budget sécurité font débat depuis que le poste existe. Mais quels que soient les choix faits par l’entreprise, la sensibilisation, et tout particulièrement celle du top management, sont les facteurs clé d’une démarche de sécurité. Rappeler aux dirigeants que la protection des données de l’entreprise et de ses clients n’est pas un sujet technique mais relève de la gestion de risques est vital. Une intervention externe, telles celles proposées par la DGSI ou l’ANSSI peuvent aider à faire passer le message auprès d’un COMEX. D’autres modes d’intervention permettent également de « faire son effet », il faudra trouver celui le plus adapté à l’entreprise, à son contexte, à sa culture et à la réceptivité de ses dirigeants » 

Jean-Claude Laroche, DSI d’EDF – Administrateur du CIGREF

« Avant d’être DSI du groupe EDF, j’ai été simultanément DSI et DRH d’une de nos directions : cette association est très intéressante et bien moins incongrue qu’il n’y paraît, notamment lorsqu’il s’agit d’aborder les questions de sécurité. L’homme, ses habitudes, sa façon de voir le changement sont en effet au cœur du sujet au moment où nos entreprises opèrent leur transformation numérique. Le système d’information n’est pas une entité abstraite à protéger, Il en va en réalité de la responsabilité des utilisateurs, à tous les niveaux.
Cette importance de l’individu et de son comportement est au premier plan. C’est d’ailleurs l’une des raisons pour laquelle le CIGREF a lancé la «Hack Academy, une campagne de sensibilisation du grand public », sur une tonalité ludique et humoristique, mais avec un objectif de marquer les esprits sur les gestes de base à accomplir… ce qui vaut aussi pour les collaborateurs dans les entreprises. » 

Loïc Guézo, Evangéliste sécurité de l’information pour l’Europe du Sud, Trend Micro

« L’individu est clairement la cible dans l’entreprise. C’est à son niveau que se joue l’intégration d’une culture cyber… qu’il soit dirigeant ou simple collaborateur. Aujourd’hui, on voit des entrées dans le système d’information se faire sans aucune subtilité. Les attaquants insistent à outrance sur quelques personnes dans l’organigramme, en multipliant spam, phishing, social engineering… Au bout d’un moment, ils parviennent à entrer : il ne suffit que d’une fois, d’un moment d’inattention pour permettre la première étape d’une propagation bien plus importante. Que l’on soit directeur général ou secrétaire, la menace est là. Communiquer, éviter la centralisation à l’excès, favoriser une vision globale, est donc plus que jamais important. La médiatisation du sujet cybersécurité est l’occasion de faire passer ces messages clés au plus haut niveau. » 

Benoit Grunemwald, directeur commercial et marketing ESET France

« Les principaux évènements de cybersécurité : conférences, salons, ... sont très bien pour se projeter, prendre du recul sur l’état global de la menace et l'avenir… mais il ne faut pas sous-estimer le caractère très opérationnel, concret, et tous les tracas du quotidien, qui constituent le travail d’un RSSI. C’est un des aspects qui rend difficile la discussion avec le top management et le dirigeant. La capacité à faire le lien entre les grandes orientations, le discours stratégique, les menaces sur les aspects business, et le fait d’écoper, d’évaluer les rustines et les faiblesses au jour le jour, est critique pour parvenir à diffuser plus largement une culture de la sécurité au-delà des experts. Cela fait des années que l’on dit qu’il faut éduquer, éduquer et encore éduquer les collaborateurs, et les changements d’usages sont très lents… Alors, peut-être qu’à l’avenir, comme l’ANSSI l’a souligné concernant les PME, le Cloud aidera en faisant un peu moins reposer sur les épaules des individus cette charge de la sécurité. » 

Quelques enseignements de cette rencontre

• Malgré certains effets de bords, notamment le fait de se concentrer potentiellement sur des problèmes de « niches », la médiatisation des affaires de cybercriminalité facilite les prises de conscience, notamment parmi les personnes ayant de fortes responsabilités.
• Rattaché pour environ 60% d’entre eux au DSI, plutôt qu’à une direction du risque, de la sureté ou même à la direction générale, il apparaît malgré tout que la position du RSSI dans l’entreprise est sans doute moins importante que sa façon de présenter les problématiques, d’adapter son discours et sa tactique de sensibilisation selon ses interlocuteurs, afin de se départir de son étiquette de pur technicien.

• En l’occurrence, travailler sur le lien entre DSI et RSSI parait fondamental pour que le sujet cybersécurité soit inclus plus intuitivement dans la transformation numérique progressive de l’entreprise et de ses services, au cœur des enjeux actuels pour la DSI qui cherche elle-aussi à changer son rôle dans l'organisation.

• La responsabilisation par la sanction, notamment telle que prônée récemment par Paul Beckman, CISO du Departement of Homeland Security américain, bien que d’apparence séduisante parait difficile à mettre en place et à faire correspondre à la culture d’entreprise française. De plus la soumission du dirigeant à de telle pratique est par nature problématique.

• Pourtant, la responsabilisation est le pendant naturel de la sensibilisation, notamment quand les approches à base de calcul économique (protéger pour éviter potentiellement de perdre beaucoup) ne font pas florès dans l’entreprise. A ce titre, la mise en avant des risques juridiques, de la responsabilité civile, voire pénale, du dirigeant en cas de sécurisation insuffisante de son entreprise est un levier fort. Le sujet de la divulgation des données personnelles/clients se retrouve là souvent au cœur de l’argumentation.

Une rencontre organisée en partenariat avec :