Comment replacer l’humain au cœur de la sécurité ?

Pour son dîner intitulé « Au-delà des menaces et de la technologie, comment replacer l’humain au cœur de la sécurité ? », la rédaction d’Alliancy a accueilli une dizaine d’invités dans ses locaux pour échanger sur l’évolution de la sécurité vers un sujet métier. « Placer l’humain au centre est essentiel mais pour quel bénéfice ? », a demandé Sylvain Fievet, directeur de publication, avant d’aborder le changement de culture au sein des entreprises et la place de la donnée dans ce processus.

photos (c) Guillaume Ombreux

 

Éric Blanchot, DSI –  Véolia Recyclage et Valorisation des déchets France

« La sécurité n’est pas un sujet technique réservé aux experts, elle fait partie de la vie de tous les jours. Quand on part en vacances, on ne laisse pas une pancarte sur sa porte indiquant l’emplacement des clés ! Alors en entreprise, on ne laisse pas des informations à la vue de tous. L’humain est, en ce sens, à la fois le poison et l’antidote. Il est donc nécessaire de responsabiliser les gens pour que les bonnes habitudes deviennent des acquis. Pour moi, la solution pour améliorer la sécurité est de l’associer à un sujet fondamental pour l’entreprise, chez Veolia nous l’avons lié à la sécurité physique. »

Bernard Cardebat, Directeur Cybersécurité – Enedis

« L’humain est à la fois une partie du problème et de sa solution. A date, les malveillants l’ont mieux intégré et ont pris l’avantage sur les défenseurs. Pour être efficaces, les nouvelles approches de sécurité intelligentes, ne peuvent plus se limiter à un empilement de couches technologiques. D’une manière générale, au lieu de culpabiliser les collaborateurs, il est préférable de comprendre leurs schémas mentaux, d’anticiper sur leurs réactions naturelles et de mettre en place des sécurités intelligentes qu’elles soient , passives ou actives. Ainsi, quand une personne reçoit un mail attractif, copie quasi conforme d’un email licite attendu, il est naturel et humain de l’ouvrir. La technologie doit alors prendre le relai en détectant, alertant et bloquant l’agression. Pour autant, le développement de la culture cybersécurité à l’échelle de l’entreprise, quel que soit le métier, le niveau de responsabilité et l’appétence aux technologies innovantes, demeure un enjeu primordial. Le développement de schémas mentaux adaptés à l’évolution du contexte d’emploi et de la menace peut redonner l’avantage au défenseur."

Mounir Chaabane, RSSI Consultant – Volkswagen

« Je constate lors de mes interventions en entreprise que de nombreux collaborateurs ne se posent généralement pas la question de la sécurité dans leur activité au quotidien. Il faut avouer que les outils ne sont pas forcément accessibles et qu’ils considèrent que ce n’est pas leur métier. Mais il faut arrêter de dire que les problèmes de sécurité ne concernent que la DSI car ils relèvent de l’informatique. Le thème doit aussi être mis aux mains de la DRH et du marketing. En 2018, une maturité numérique a été suffisamment acquise pour ne plus parler de sensibilisation et passer à l’étape supérieure. L’idée de tests serait une piste. Le TOEFL® par exemple est une initiative qui a été adoptée dans les écoles, ne pourrait-on pas imaginer un test similaire pour le monde numérique ? »

 

Nicolas Fischbach, Global CTO - Forcepoint

« L’humain joue un rôle essentiel dans la protection des données car il a un filtre supplémentaire dans l’analyse du contexte que la machine n’aura jamais. De son côté l’employeur doit contribuer à diminuer la friction autour des contrôles afin de favoriser la productivité. Et pour une entreprise, continuellement réévaluer la sensibilisation de ses collaborateurs est devenue une démarche de qualité qui finit par transformer les risques en profit »

Emmanuel Hery, Responsable de pôle Sécurité et Audit, Groupe Randstad France

« Il faut sensibiliser et former les collaborateurs en matière de sécurité pour leur permettre, tant à titre professionnel que personnel, de connaître les risques et les bons réflexes à adopter. Cette sensibilisation doit être progressive et liée au contexte de leur activité.
Le sujet de la sécurité doit être porté par la direction de l'entreprise, en s'appuyant notamment sur la direction des ressources humaines et la direction de la communication, pour assurer la pérennité des actions menées. Il ne peut être la préoccupation de la seule équipe en charge de la sécurité informatique. C'est l'affaire de tous. »

Laurent Lecroq, Regional Sales Director - Forcepoint

« La meilleure façon de se protéger est d’analyser les comportements des collaborateurs pour diminuer les risques. Si l’on fixe des règles générales, on pénalise tout le monde. Il vaut mieux définir quelles sont les données critiques, celles qui ne le sont pas et adapter les usages en conséquence.»

Marc Mencel, DSI – Nexter Group

« La maîtrise de la sécurité des SI ne repose pas uniquement sur la gestion d’infrastructure technique, mais également sur la sensibilisation à l’usage de nos systèmes d’information.
Il s’agit de déterminer la manière dont inculquer cette culture aux collaborateurs, sans qu’elle soit perçue comme une contrainte, afin qu’ils prennent conscience des enjeux liées à la sécurité.
Les DSI et RSSI se doivent de faire passer des messages et développer la culture «sécuritaire » de l’entreprise. Car les gens savent qu’il faut changer régulièrement leurs mots de passe, mais cela s’arrête là. A mon sens, la maturité des collaborateurs sur le sujet de la sécurité reste encore assez faible, et l’un des enjeux majeurs dans le domaine de la sécurité des SI.»

Stéphane Nappo, ‎Responsable Sécurité de la branche bancaire internationale d'un grand groupe Français

« L'ergonomie informatique a beaucoup évolué, elle offre plus de souplesse aux l’utilisateurs et beaucoup de self-services où chacun se retrouve seul face à l'outil digital.
En parallèle, les enjeux et les risques liés à ces usages ont augmenté significativement, pouvant conduire à des désastres dont l'impact va bien au delà de l'outil informatique. (Wannacry n'est qu'un exemple...).
Au delà des moyens technologiques, l'humain est aujourd'hui au coeur du dispositif de sécurité des entreprises. A l'image de la conduite automobile, une formation pratique et adaptée des utilisateurs est nécessaire. Actuellement, le facteur humain joue un rôle déterminant dans près de 90% des incidents de sécurité alors que la majorité des investissements mondiaux en matière de sécurité est allouée aux technologies et aux prestations de conseil autour de ces dernières.

A l'instar des dangers de la conduite automobile, la sécurité des moyens, des réseaux et les contrôles ne pourront jamais pallier seuls le besoin d'information et de formation des usagers pour éviter les comportements à risque. Sans se limiter à de simples sensibilisations, il est important de développer la formation sécurité à tous les niveaux de l'entreprise. Ceci pour passer de la vision humain = vecteur de risque, à celle de l'humain = facteur de sécurité. La mise en oeuvre d'une confiance réfléchie, basée sur le partage d'une culture sécurité homogènr est indispensable pour faire évoluer le digital en sécutité.»

Stéphane Tournadre, RSSI – Servier

« La confiance dans les collaborateurs fait partie des valeurs du Groupe, ils représentent le premier rempart contre les actes malveillants. Nous présentons chaque sujet sous l’angle du « domicile » et nous sensibilisons les collaborateurs : « Ce que vous n’acceptez pas dans la sphère privée, aidez-nous à ne pas le faire dans le milieu professionnel. » Lorsque nous avons fait le choix d’investir dans une nouvelle flotte homogène mobile Apple, nous avons été confortés : les collaborateurs font très attention à l’usage qu’ils en font et nous avons eu un véritable retour sur investissement. De manière générale, ce qui nous a poussé à évoluer, c’est que la pharmaceutique est aujourd’hui obligée de collaborer avec d’autres acteurs et d’échanger une très grande quantité de données digitales avec ses partenaires. Ce qui ne peut pas se faire sans penser différemment la sécurité. »

Sébastien Valsemey, Responsable de la Sécurité des Systèmes d'Information – Médiamétrie

« J’ai une vision pédagogique de la sécurité : on peut même parler d’éducation car la sécurité doit être aujourd’hui ancrée dans notre état d’esprit et nos habitudes. Pour réussir à acculturer chaque individu, il faut définir une stratégie de communication et de formation adaptée aux enjeux sécurité de chaque type de métier, en résonnance avec les objectifs de l’entreprise. A Médiamétrie, la Direction des Ressources Humaines, développe notamment la marque employeur ; le sentiment d’appartenance créé grâce à cette démarche favorise l’implication de chacun dans la protection de notre patrimoine informationnel. Grâce à cela, une intégration réussie de la sécurité by design dans les projets peut se faire dès la phase de cadrage en créant un savant équilibre entre les solutions techniques et l’expertise humaine apportée par les parties prenantes. »

Nicolas Vielliard, RSSI NewCorp – Engie

« Je ne suis pas là pour transformer les collaborateurs en experts de la sécurité. Ils ont néanmoins un regard que l’on n’a pas, et ce sont eux en première ligne de certaines attaques. Quand ils reçoivent un email étrange, il faut qu’ils en soient conscients et qu’ils nous remontent l’information. Nous avons ainsi développé, en interne, un outil permettant à chacun d’avoir une idée du niveau de sensibilité d’une donnée, mais aussi un jeu pour les sensibiliser au sujet. À mes yeux, il n’y a que l’humain qui soit capable de résoudre certains problèmes de sécurité, et c'est sur lui qu'il est indispensable de s'appuyer. »

Ce que la rédaction a retenu
Catherine Moal, Rédactrice en chef d'Alliancy :

1. Il ne faut pas confondre l’humain et l’individu. Ce qui est fondamental, c’est le schéma mental, les valeurs !
2. Les schémas mentaux évoluent, même s’il est « humain » de cliquer sur un mail du CE (qui cacherait un malware).
3. Aujourd’hui, la machine doit être à notre service et non plus l’inverse. Il faut l’apprentissage qui permet de passer des signaux aux réflexes.
4. On fait des formations en parlant de la sécurité à la maison, en parlant aux collaborateurs des risques pour leurs enfants.
5. L’intimité numérique doit se comprendre au même niveau que l’intimité physique
6. Il faut enlever le sujet des mains de la DSI et le mettre à la DRH ou à la communication
7. Le sujet de la sécurité doit remonter au Comex et disposer d’un RSSI influenceur
8. Le RSSI peut et doit s’adresser à l’ensemble des collaborateurs. Il doit faire passer la sécurité comme un enjeu business
9. Quand la culture cyber irrigue une entreprise, le Comex demande des métriques. Au RSSI de rendre des comptes sur le niveau de sécurité.
10. L’humain est le plus gros problème en matière de sécurité, mais le plus petit investissement. Il ne faut pourtant pas se priver de ce facteur de sécurité.
11. On ne pourra pas courir derrière la technologie. Il faut se protéger en surveillant les comportements. Leur analyse peut diminuer les risques.
12. L’humain fait partie de la chaine de valeur. On va vers la personnalisation de la sécurité. Il faut s’adapter aux différents profils.

Nous remercions pour leur présence à ce dîner :

- Éric Blanchot, DSI – Veolia Recyclage et Valorisation des déchets France
- Bernard Cardebat, Directeur Cybersécurité – Enedis
- Mounir Chaabane, RSSI Consultant – Volkswagen
- Nicolas Fischbach, Global CTO - Forcepoint
- Emmanuel Hery, Responsable de pôle Sécurité et Audit, Groupe Randstad France
- Laurent Lecroq, Regional Sales Director - Forcepoint
- Marc Mencel, DSI – Nexter Group
- Stéphane Nappo, ‎Responsable Sécurité de la branche bancaire internationale d'un grand groupe Français
- Stéphane Tournadre, RSSI – Servier
- Sébastien Valsemey, Responsable de la Sécurité des Systèmes d'Information – Médiamétrie
- Nicolas Vielliard, RSSI NewCorp – Engie

Un dîner organisé en partenariat avec Forcepoint

Pour approfondir le sujet, nous vous invitons à télécharger l'ebook "RETHINKING DATA SECURITY WITH A RISK-ADAPTIVE APPROACH" en suivant ce lien 

Chez Forcepoint nous développons le "Cybersecurity of One", un état d'esprit où pour protéger les informations et les individus il faut bien comprendre 2 facteurs : 
- Usage de la data par les individus : comment, quand et pourquoi ils accèdent à cette data
- Les flux de données :  où et quand les données sont censées voyager et comment elles sont traitées ou analysées.

Human Centric Cybersecurity
Notre mission est de réinventer la cybersécurité en créant des systèmes intransigeants qui comprennent les comportements et les motivations des individus qui interagissent avec les données partout dans le monde.

Pour plus d'informations, rendez-vous sur : https://www.forcepoint.com/

Retour sur le dîner de la rédaction du 12 avril 2018 : Comment dépasser la sensibilisation traditionnelle pour favoriser l’émergence d’une véritable « culture sécurité » dans l’entreprise ? Comment faire en sorte que la cybersécurité soit vue comme une alliée par les collaborateurs, plutôt qu’une souffrance impliquant de contourner les règles ? Comment éviter que l’impératif de compréhension du comportement des utilisateurs soit assimilé à de la surveillance ?

Un dîner organisé avec le soutien de Forcepoint

Forcepoint-Logo