Retour sur le Dîner de la rédaction “Gestion collaborative des cyber-risques”

« Cyber-risques : les entreprises peuvent-elles être plus fortes ensemble en cas de crise ? »

Un dîner du cycle “Sécuriser sa transformation”

Cyber-risques : les entreprises peuvent-elles être plus fortes ensemble en cas de crise ?

Au plus fort de la crise sanitaire, les cybermenaces sont – sans surprise – restées bien présentes. Des entreprises déjà affaiblies ou désorganisées par les effets directs et indirects du confinement ont dû faire face à de nombreux risques supplémentaires. Toutefois, la conviction que le numérique est plus que jamais stratégique pour leurs activités s’est aussi renforcée à cette occasion au sein des Comex, provoquant une dynamique accélérée de transformation.

Pour accompagner le mouvement côté cybersécurité, chacun sait depuis longtemps que la coopération est plus que jamais nécessaire, ne serait-ce que pour pallier le faible nombre des « défenseurs » face aux « attaquants ». Mais les difficultés persistent pour faire émerger des modèles pérennes. Alors, la crise n’est-elle pas l’occasion de vraiment développer ces approches collaboratives et communautaires de la sécurité ? Ou bien les entreprises se contenteront-elles de continuer à aborder ce sujet pourtant structurant sous l’angle de la multiplication de réponses techniques « au cas par cas » ? Alliancy a débattu de ce sujet clé avec une sélection de RSSI mobilisés sur la question.

Photos : Guillaume Ombreux

« Depuis longtemps, les RSSI et CISO nous parlent de l’importance qu’ils accordent dans leur métier au fait d’échanger des pratiques et des actualités avec leurs pairs. Mais est-ce que cela peut dépasser le stade des simples relations interpersonnelles privilégiées ? Peut-on mieux structurer la coopération de nos entreprises en France ? » a interrogé en introduction Dorian Marcellin, journaliste pour Alliancy.

Sylvain Fievet, directeur de la publication, a pour sa part relancé : « Nous voyons dans tous les secteurs des mouvements de partage, de coopération en écosystème, de plateformisation… de plus en plus poussés. Où en est concrètement l’écosystème cyber sur ces questions ? Paradoxalement, il ne donne pas l’impression d’être en avance, face à l’importance des enjeux ».

Benoît Herment, Group CISO de Vinci

Le sujet de la collaboration en cybersécurité est à la fois interne et externe. Au sein de notre groupe, je pousse pour toujours plus de coopération entre plus de 3000 business units… et vis-à-vis d’acteurs externes, partenaires et/ou concurrents, le sujet est tout aussi important. Ne serait-ce que parce que le milieu de la construction a été très touché encore récemment par les ransomwares et que nous pouvons mieux anticiper en s’entraidant.

Comme toute entreprise, nous devons gérer la cybersécurité de manière étendue à notre écosystème : nous avons lancé des cellules d’investigation et de coordination en réponse à ce qu’il arrivait à des dizaines de nos partenaires. Repérer ainsi rapidement les indicateurs de compromission de façon croisée est un vrai défi.

Et dans les faits, ces informations ne passent jamais par les canaux officiels, trop longs à réagir, alors qu’un IOC (indicateur de compromission, ndlr) a une durée vie très courte. Il faudrait donc qu’un tiers de confiance crédible se positionne en France pour faciliter ces échanges, sinon ce sera un Microsoft, Google ou Amazon qui finira par jouer de facto ce rôle, ce qui soulève bien d’autres questions.

Gérard Leymarie, Group Chief Information Security Officer de Elior Group

De nombreux axes de collaborations existent déjà en France, mais il manque surtout du liant entre d’un côté les OIV et OSE (opérateurs d’importance vitale et opérateurs de services essentiels, ndlr) soutenus par l’ANSSI, et, de l’autre, les autres entreprises qui ne peuvent s’appuyer que sur le dispositif cybermalveillance.gouv.fr. De nombreuses organisations sont livrées à elles-mêmes. Or, une grande entreprise a de nombreux fournisseurs de plus petites tailles et elle se retrouve rapidement face à un défi de sécurité difficile au niveau de son écosystème.

A cela s’ajoute le fait que les RSSI n’osent pas encore assez communiquer les éléments dont ils disposent suite à de problèmes ou incidents qu’ils auraient subis. Et quand cela se fait, c’est trop souvent de façon informelle, dans le plus grand secret, comme s’il s’agissait en soi d’une faute.

De l’autre côté, la collaboration est aussi un enjeu d’engagement éthique pour les acteurs du marché qui se retrouvent dans des positions où ils peuvent profiter d’une situation complexe. Les attentes des clients sont claires pour accéder plus facilement, plus vite, à plus d’informations pertinentes. Malheureusement, on voit les NDA (accord de confidentialité, ndlr) se multiplier ou des positions troublantes de la part de certains acteurs du monde de la cyber : il y a un défaut fondamental au niveau des business models imaginés par ces prestataires.

Stephane Cohen Boulakia, RSSI de Eutelsat

Au sein d’un opérateur de satellites comme Eutelsat, l’un des plus grands au monde, la collaboration en termes de cybersécurité est rendue plus complexe par les décalages importants de maturité que l’on constate entre nos différents métiers. Je me retrouve à échanger à la fois avec des personnes qui ont fait partie d’organisations gouvernementales et internationales, par conséquent très au fait de ces questions, et d’autres collaborateurs que cela ne choquerait pas de transmettre les données sans jamais les chiffrer, n’ayant pas de notion de classification de l’information…  

Ceux qui n’ont jamais vécu le risque ne le voient tout simplement pas ! Alors il est difficile de parler en plus de l’importance de la coopération sur le sujet. Pourtant tous les RSSI s’accordent aujourd’hui à souligner l’importance d’une approche collaborative.

Laurent Dirson, Directeur des Solutions Business et des Technologies – DsiN de Nexity

Il est plus que jamais intéressant aujourd’hui d’avoir des retours d’expériences et des bonnes pratiques en matière d’approches collaboratives pour la cybersécurité, car l’actualité est extrêmement chargée en termes de menaces, notamment dans notre secteur. Et la coopération du côté des attaquants est très efficace !

La période de crise sanitaire que nous vivons depuis le printemps 2020 est propice à l’innovation en termes d’usages et de sécurité. Par exemple, nous nous appuyons sur des technologies de streaming à travers un simple navigateur web pour permettre à nos collaborateurs d’accéder à n’importe quel type de ressource de façon sécurisée. Mais au-delà de la technologie, la différence se jouera vraiment sur la capacité de chaque entreprise à développer des modèles d’organisation basés sur l’intelligence collective.

Eric Vautier, RSSI du Groupe ADP

C’est l’essence du rôle d’un RSSI Groupe d’animer une communauté d’acteurs, internes et externes, qui vont collaborer en matière de cybersécurité. Et la crise n’a pas changé tant que cela la perception du sujet au niveau de l’entreprise. Nous avons parfois été mis plus en avant, parfois moins, selon l'actualité sanitaire notamment, mais sans transformation radicale.

En revanche, nous avons la chance d’avoir des expériences solides de coopération dans le secteur aérien. Je préside par exemple la Cybersecurity Task Force de l'ACI Europe, l'association des aéroports européens, qui permet de mieux échanger l’information entre nous. Cela est assez naturel, dans la prolongation de la coopération qui assure la sécurité du voyageur lors de son parcours entre différents vols et aéroports. Aujourd’hui, l’une de nos préoccupations est aussi de construire des écosystèmes qui permettent de tirer vers le haut en termes de cybersécurité nos partenaires et fournisseurs plus petits.

Mais gardons à l’esprit qu’on doit encore tous gagner en maturité sur ce sujet : trop peu de RSSI partagent avec leurs pairs car ils ne voient tout simplement pas passer les menaces ou ne savent pas toujours comment réagir aux informations que l’on peut leur transmettre.

Mounir Chaabane, RSSI France du groupe Volkswagen

Dans un groupe automobile international, l'animation d'un écosystème de sécurité exige une transparence et une agilité entre ancrage local et autorité centrale pour qu’une approche collaborative fonctionne.

Dans nos métiers de RSSI, nous pouvons cependant surfer sur ce qui s’est passé pendant le confinement, en nous mettant beaucoup plus visiblement au service des collaborateurs au quotidien face à leurs difficultés. Cela peut être un bon moyen de faciliter les échanges pour la suite. Pour innover vraiment sur le sujet des approches collaboratives, peut-être faudrait-il aussi tourner beaucoup plus notre regard vers les universités et le monde de la recherche, comme cela se fait abondamment aux Etats-Unis.

Alain Bouillé, Délégué général du CESIN

Nous voyons des interconnexions de plus en plus inattendues entre les entreprises du fait d’échanges de flux de plus en nombreux générés par les projets de transformation digitales. En matière de risques et de menaces cyber, des crises liées aux ransomwares en particulier chez les uns déclenchent des crises chez les autres, ce qui pousse à une plus grande coopération.

Cependant de nombreux défis existent en matière de collaboration en cybersécurité. Par exemple, quand on détecte une attaque, le partage d’information ne doit pas éveiller du même coup l’attention et les soupçons des attaquants, car cela fait perdre un avantage majeur en termes de réaction. Il est donc compliqué de définir le bon niveau de collaboration et de partage, entre la précision et véracité de l’information, l’enjeu de vitesse de sa diffusion et son exploitabilité par les RSSI – notamment ceux qui ont peu de moyens humains pour réagir.

Cela interroge par ailleurs l’évolution du rôle du RSSI : face à l’afflux d’information, doit-il simplement se transformer en gestionnaire d’alertes venues de la communauté ? Cela reviendrait occulter tout un pan de ce qui fait la valeur de ce métier pour l’entreprise.

Sebastien Pinguet, Responsable Sécurité de l’Information - Direction Produits et Plateformes de Services de BOUYGUES TELECOM

Dès 2005, les opérateurs télécoms ont avancé sur des sujets de collaboration comme la lutte antispam. Dans notre secteur, la coordination entre les différents acteurs français peut également s’appuyer sur le travail de la Fédération Française des Télécoms, qui permet de gérer plus adroitement les enjeux de concurrences qui pourraient être liés à la cybersécurité.

Cependant, la recherche et la diffusion d’informations liées à la lutte contre la cybercriminalité font partis d’un business model à part entière, ce qui limite notablement les initiatives de partage à grande échelle de ces informations entre les entreprises ou autres structures spécialisées. Le partage tient plus de la volonté individuelle entre RSSI.

Quel que soit ce niveau de partage, le sujet clé reste la capacité des entreprises à acquérir les compétences permettant d’analyser et d’exploiter l’information issue de telles coopérations.

Sylvain THIRY, Group CISO de la Société Générale

Historiquement la communauté RSSI a toujours partagé quel que soit le secteur d’activité. Ces partages vont de la vision stratégique à des sujets très opérationnels allant jusqu’aux échanges d’IOC. L’enjeux n’est donc pas forcément le partage de l’information mais sa compréhension et son exploitation par les équipes SSI. Et aujourd’hui il existe un véritable gap entre les entreprises qui ont des moyens importants sur la sécurité et celles qui, pour des raisons de tailles, de stratégie, ou autre, n’ont pas la capacité d’exploiter l’information.

Par ailleurs, nos analyses de risques doivent continuer de progresser, combien d’Etats, d’entreprise avaient dans leur cartographie des risques la pandémie que nous vivons actuellement ?

Jean Larroumets, Président et Fondateur d’Egerie

Le contexte de la COVID-19 auxquels nous sommes tous confrontés à contraint les entreprises à faire face à des défis opérationnels et financiers importants. Celles qui s’étaient bien préparées, et avaient donc anticipé le risque cyber sont parvenues à résister mais pour le faire elles doivent bénéficier, au préalable, de bons indicateurs et KPI leur permettant de prendre des décisions éclairées.

C’est pourquoi les approches globales et collaboratives sont si importantes. Elles permettent de partager la connaissance et donc d’atténuer les effets de l’incertitude tout en libérant les initiatives. Tout cela a bien sur un coût. Il faut trouver le modèle économique, collectivement.

Pierre Oger, Directeur Général et Fondateur d’Egerie

Nous en avons la conviction : anticiper, c’est intégrer l’intelligence collective aux process établis, c’est développer une approche collaborative pour adresser les risques collectivement en s’appuyant sur des processus industrialisés et éprouvés et des technologies innovantes. Le plus important est d’automatiser et de normaliser le partage d’information. Jouer un rôle d’orchestrateur pour mieux comprendre et coordonner les moyens, les savoirs et les compétences pour une résilience de nos sociétés en capacité d’agir dans un futur aussi prometteur qu’incertain. Des exemples réussis de cette dynamique vertueuse existent chez nos voisins européens et au-delà. Il faut s’en inspirer.

EGERIE software cyber-risquesEGERIE est l’éditeur leader de la gestion des risques cyber en Europe.
EGERIE propose une plateforme collaborative permettant une approche globale, agile et structurée pour la gouvernance, le pilotage et la conformité des risques cybersécurité et la protection des données à caractère personnel.
Reconnue par les plus hautes autorités gouvernementales et réglementaires, la technologie d’EGERIE permet aux entreprises et organisations gouvernementales de comprendre comment elles sont exposées aux risques et de les accompagner dans l’aide à la décision et la détermination des mesures de sécurité à mettre en œuvre.
Pour plus d’information www.egerie.eu

Nous remercions nos invités pour leur présence à ce dîner-débat et pour s’être prêtés au jeu des échanges et du partage, ainsi que nos partenaires, qui ont permis l’organisation de ce diner. En écho à son crédo « travailler ensemble pour innover plus vite », la rédaction d'Alliancy a créé les diners de la rédaction. Ce sont des soirées d’échanges, de débats et de prospectives qui réunissent 10 à 15 invités, les dirigeants qui construisent, jour après jour, la révolution numérique de leur entreprise. L’objectif : se rencontrer, partager ses problématiques, s’inspirer et réfléchir ensemble aux grands défis auxquels ils font face.

Au plus fort de la crise sanitaire, les cybermenaces sont – sans surprise – restées bien présentes. Des entreprises déjà affaiblies ou désorganisées par les effets directs et indirects du confinement ont dû faire face à de nombreux risques supplémentaires en la matière. A l’issue de ces mois difficiles, la conviction que le numérique est plus que jamais stratégique pour leurs activités s’est cependant encore renforcée au sein des Comex.

Alors que la crise est devenue économique, de vieux dogmes se sont effondrés face à la tyrannie des faits et de l’urgence. La nécessité, pour les décideurs, d’une remise en question structurante de leurs stratégies cyber n’est donc plus une option.

Pourtant du côté de la cybersécurité, de telles ruptures peinent à se voir même si chacun sait depuis longtemps que la coopération est plus que jamais nécessaire, ne serait-ce que pour pallier le faible nombre des « défenseurs » face aux « attaquants ».

Ce nouvel élan global de maîtrise du risque cyber s’accompagnera-t-il d’une évolution majeure des stratégies de cybersécurité anticipées et concertées ? La crise n’est-elle pas l’occasion de vraiment développer ces approches collaboratives et communautaires de la sécurité ? Ou bien les entreprises se contenteront-elles de continuer à aborder ce sujet pourtant structurant sous l’angle de la multiplication de réponses techniques « au cas par cas » ?

Une chose est sûre, l’approche actuelle de la gestion des risques cyber en entreprise doit évoluer et les comités de directions doivent se saisir du sujet afin d’industrialiser la démarche et de prendre les décisions éclairées.

Ce diner-débat de la Rédaction Alliancy, organisé en partenariat avec Egerie, proposait aux CISO et directeurs des risques cyber de partager leurs expériences, croiser leurs regards et leurs attentes sur les enjeux de la gouvernance du risque en entreprise.

  • Quelle place tiennent les approches collaboratives dans les stratégies cyber déjà en place ?
  • Que manque-t-il encore pour être plus forts ensemble face aux différentes menaces et à la crise ?
  • Quelle perception par le Comex de ces enjeux de coopération, mutualisation, transparence… ?

———–
Un dîner organisé en partenariat avec EGERIE

EGERIE software cyber-risques

EGERIE est l’éditeur leader de la gestion des risques cyber en Europe.
EGERIE propose une plateforme collaborative permettant une approche globale, agile et structurée pour la gouvernance, le pilotage et la conformité des risques cybersécurité et la protection des données à caractère personnel.
Reconnue par les plus hautes autorités gouvernementales et réglementaires, la technologie d’EGERIE permet aux entreprises et organisations gouvernementales de comprendre comment elles sont exposées aux risques et de les accompagner dans l’aide à la décision et la détermination des mesures de sécurité à mettre en œuvre.
Pour plus d’information www.egerie.eu

 


 

————–
Les dîners de la rédaction – Qu’est-ce que c’est ?

Prochain diner de la rédaction Alliancy le 28/04 sur le Cloud Prochain diner de la rédaction Alliancy le 28/04 sur le Cloud

Prochain diner de la rédaction Alliancy le 28/04 sur le Cloud Prochain diner de la rédaction Alliancy le 28/04 sur le Cloud

 

En écho à son crédo éditorial, la rédaction a souhaité proposer des soirées d’échanges, de débats et de prospectives pour se poser et réfléchir ensemble aux transformations qui impactent l’activité des entreprises, des cités, des filières ou des métiers.

A travers ces débats, Alliancy souhaite confronter les acteurs qui construisent cette révolution et ceux qui la vive au jour le jour, pour apporter des éclairages différents sur ces innovations.

La tradition française voulant que les grandes idées émergent autour des meilleurs repas, la rédaction propose ainsi tous les deux mois à des dirigeants d’entreprise, des experts de technologies innovantes et des journalistes dans leur rôle d’observateurs de la société de venir discuter sur un sujet d’actualité autour d’une bonne table.

Les dîners-débat de la rédaction, ce sont des dîners intimes, qui se déroulent à la rédaction, autour de 10 invités pour débattre et anticiper les grandes mutations de vos métiers.