Je veux tout savoir de la transformation numérique !
Pour lire l’intégralité des articles issus du magazine bimestriel, identifiez-vous. Vous accéderez ainsi aux articles premium, aux exclus web et vous pourrez télécharger l’ensemble de nos ressources en un clic.
Pour recevoir le magazine chez vous, abonnez-vous !
Je m'identifie

[Brief Cybersécurité] Comment sensibilisez-vous vos dirigeants aux enjeux de cybersécurité ?

Brief de la rédaction Cybersécurité du 15 octobre 2015

"Légitimité, risques, coûts : comment sensibiliser ses dirigeants aux enjeux de cybersécurité ?"

Les problématiques de cybersécurité se diffusent auprès du grand public. Et pour cause, les faits de cybercriminalités intéressent de plus en plus les médias, y compris nationaux. Du « piratage » de sa carte bancaire ou de sa boite mail personnelle, jusqu’aux fausses factures infectées en pièce-jointes d’e-mails professionnels, l’individu se retrouve en première ligne en matière de cybersécurité. A ce titre, les dirigeants d’entreprises sont des individus (presque) comme les autres, pourtant ils ont longtemps été dissuadés de s’intéresser au sujet, vu comme trop technique et complexe. Avec à la clé, un risque accru pour l’entreprise car comment faire naître une culture de la sécurité numérique dans l’entreprise si le top management ne donne pas le bon exemple ?

Le responsable de la sécurité du système d’information peut-il faire changer cela ? Voici l’une des questions qui s’est posée lorsque la rédaction d’Alliancy, le mag a réuni dans ses locaux des représentants de la profession pour discuter du rapport entre les dirigeants et la sécurité numérique. Effets de l’actualité, place dans l’organigramme, coopération avec le DSI, enjeux de « style » de discours et équilibre entre responsabilisation et sanction, ont été au cœur de ces échanges.

Nous avons réunis là quelques-unes des observations des invités de la rédaction et des partenaires qui ont rendu possibles cette discussion.

Photos : Charlie Perreau - @CharliePERREAU

Sandro Lancrin, RSSI de Radio France

« L’actualité a été très forte cette année pour un média. Les attentats de Paris de début janvier ont alerté nos dirigeants sur les enjeux de sécurité physique... l’attaque sur TV5 Monde en avril leur a montré que les mises en garde sur les risques cyber, sur la perte de contrôle sur le système d’information, étaient également bien réelles. En parallèle, mon poste a gagné en transversalité à la faveur de notre réorganisation interne en 2013. J’ai donc acquis plus de légitimité ces dernières années, mais le sujet reste délicat. L’argument financier, du ROI, est difficile à utiliser dans le cadre d’une structure publique. Par contre, le rapport à la loi fonctionne. Les pénalités juridiques, voire les conséquences pénales, peuvent avoir une influence forte sur les managers et les dirigeants, même s’il restera toujours des personnes pour ne pas se sentir concernées. » 

Jean-François Louâpre, vice-président du CESIN, RSSI de CNP Assurances

« La place du RSSI dans l’entreprise et le poids relatif du budget sécurité font débat depuis que le poste existe. Mais quels que soient les choix faits par l’entreprise, la sensibilisation, et tout particulièrement celle du top management, sont les facteurs clé d’une démarche de sécurité. Rappeler aux dirigeants que la protection des données de l’entreprise et de ses clients n’est pas un sujet technique mais relève de la gestion de risques est vital. Une intervention externe, telles celles proposées par la DGSI ou l’ANSSI peuvent aider à faire passer le message auprès d’un COMEX. D’autres modes d’intervention permettent également de « faire son effet », il faudra trouver celui le plus adapté à l’entreprise, à son contexte, à sa culture et à la réceptivité de ses dirigeants » 

Jean-Claude Laroche, DSI d’EDF – Administrateur du CIGREF

« Avant d’être DSI du groupe EDF, j’ai été simultanément DSI et DRH d’une de nos directions : cette association est très intéressante et bien moins incongrue qu’il n’y paraît, notamment lorsqu’il s’agit d’aborder les questions de sécurité. L’homme, ses habitudes, sa façon de voir le changement sont en effet au cœur du sujet au moment où nos entreprises opèrent leur transformation numérique. Le système d’information n’est pas une entité abstraite à protéger, Il en va en réalité de la responsabilité des utilisateurs, à tous les niveaux.
Cette importance de l’individu et de son comportement est au premier plan. C’est d’ailleurs l’une des raisons pour laquelle le CIGREF a lancé la «Hack Academy, une campagne de sensibilisation du grand public », sur une tonalité ludique et humoristique, mais avec un objectif de marquer les esprits sur les gestes de base à accomplir… ce qui vaut aussi pour les collaborateurs dans les entreprises. » 

Loïc Guézo, Evangéliste sécurité de l’information pour l’Europe du Sud, Trend Micro

« L’individu est clairement la cible dans l’entreprise. C’est à son niveau que se joue l’intégration d’une culture cyber… qu’il soit dirigeant ou simple collaborateur. Aujourd’hui, on voit des entrées dans le système d’information se faire sans aucune subtilité. Les attaquants insistent à outrance sur quelques personnes dans l’organigramme, en multipliant spam, phishing, social engineering… Au bout d’un moment, ils parviennent à entrer : il ne suffit que d’une fois, d’un moment d’inattention pour permettre la première étape d’une propagation bien plus importante. Que l’on soit directeur général ou secrétaire, la menace est là. Communiquer, éviter la centralisation à l’excès, favoriser une vision globale, est donc plus que jamais important. La médiatisation du sujet cybersécurité est l’occasion de faire passer ces messages clés au plus haut niveau. » 

Benoit Grunemwald, directeur commercial et marketing ESET France

« Les principaux évènements de cybersécurité : conférences, salons, ... sont très bien pour se projeter, prendre du recul sur l’état global de la menace et l'avenir… mais il ne faut pas sous-estimer le caractère très opérationnel, concret, et tous les tracas du quotidien, qui constituent le travail d’un RSSI. C’est un des aspects qui rend difficile la discussion avec le top management et le dirigeant. La capacité à faire le lien entre les grandes orientations, le discours stratégique, les menaces sur les aspects business, et le fait d’écoper, d’évaluer les rustines et les faiblesses au jour le jour, est critique pour parvenir à diffuser plus largement une culture de la sécurité au-delà des experts. Cela fait des années que l’on dit qu’il faut éduquer, éduquer et encore éduquer les collaborateurs, et les changements d’usages sont très lents… Alors, peut-être qu’à l’avenir, comme l’ANSSI l’a souligné concernant les PME, le Cloud aidera en faisant un peu moins reposer sur les épaules des individus cette charge de la sécurité. » 

Quelques enseignements de cette rencontre

  • Malgré certains effets de bords, notamment le fait de se concentrer potentiellement sur des problèmes de « niches », la médiatisation des affaires de cybercriminalité facilite les prises de conscience, notamment parmi les personnes ayant de fortes responsabilités.
  • Rattaché pour environ 60% d’entre eux au DSI, plutôt qu’à une direction du risque, de la sureté ou même à la direction générale, il apparaît malgré tout que la position du RSSI dans l’entreprise est sans doute moins importante que sa façon de présenter les problématiques, d’adapter son discours et sa tactique de sensibilisation selon ses interlocuteurs, afin de se départir de son étiquette de pur technicien.
  • En l’occurrence, travailler sur le lien entre DSI et RSSI parait fondamental pour que le sujet cybersécurité soit inclus plus intuitivement dans la transformation numérique progressive de l’entreprise et de ses services, au cœur des enjeux actuels pour la DSI qui cherche elle-aussi à changer son rôle dans l'organisation.
  • La responsabilisation par la sanction, notamment telle que prônée récemment par Paul Beckman, CISO du Departement of Homeland Security américain, bien que d’apparence séduisante parait difficile à mettre en place et à faire correspondre à la culture d’entreprise française. De plus la soumission du dirigeant à de telle pratique est par nature problématique.
  • Pourtant, la responsabilisation est le pendant naturel de la sensibilisation, notamment quand les approches à base de calcul économique (protéger pour éviter potentiellement de perdre beaucoup) ne font pas florès dans l’entreprise. A ce titre, la mise en avant des risques juridiques, de la responsabilité civile, voire pénale, du dirigeant en cas de sécurisation insuffisante de son entreprise est un levier fort. Le sujet de la divulgation des données personnelles/clients se retrouve là souvent au cœur de l’argumentation.

Une rencontre organisée en partenariat avec :

bandeau-partenaires-brief

 

BanièreCentreV1-cybersécu

 

Le brief de la rédaction cybersécurité, une rencontre organisée en partenariat avec :

 

Le CESIN, club des experts de la sécurité de l’information et du numérique permet de favoriser les échanges entre experts et pouvoirs publics afin d’accompagner les évolutions réglementaires. Il offre un lieu d’échange, de partage d’expérience et de coopération aux experts de la sécurité de l’information et du numérique.

 

Une rencontre organisée avec le soutien de :

Trend Micro

Trend Micro a pour mission de sécuriser les échanges d’informations numériques. Se fondant sur 26 ans d’expérience, l’entreprise propose des technologies innovantes à destination du grand public, des professionnels et des institutions gouvernementales. Simples à déployer et à gérer, les solutions Trend Micro s’adaptent à un environnement évolutif et permettent de protéger les informations sur les équipements mobiles, les Endpoints, les passerelles, les serveurs et le Cloud. www.trendmicro.fr 

ESET

ESET_Logo_CenteredClaim-Gradient-RVBESET, 5ème éditeur mondial de solutions de cybersécurité est spécialisé dans la conception et le développement de logiciels de sécurité informatique.

Pionnier en matière de détection proactive des menaces, ESET met l’accent depuis 25 ans sur ​​la protection de plus de 100 millions d’utilisateurs actifs à travers le monde sans altérer leur productivité grâce à un moteur antivirus maintes fois primé pour son efficacité et sa légèreté. www.eset.com/fr/business


Check Point Software Technologies Ltd.

« Check Point Software Technologies Ltd, le leader mondial dédié à la sécurité, propose des solutions de pointe qui protègent les entreprises des cyberattaques, avec un taux de blocage inégalé des logiciels malveillants et autres types d’attaques. Check Point propose une architecture de sécurité complète qui défend les réseaux des entreprises et les appareils mobiles, ainsi que l’administration de la sécurité la plus complète et la plus intuitive. Check Point protège plus de 100 000 entreprises de toute taille.» www.checkpoint.com

 

 Photos : Charlie Perreau – @CharliePERREAU