Après avoir travaillé chez Société Générale et OVH Cloud, Stéphane Nappo a rejoint le monde de l’industrie en devenant en 2020, vice-président et chief information security officer du groupe Seb. Le fabriquant français, 8 milliards de chiffre d’affaires et 31 000 salariés, est le numéro un mondial du petit électroménager. Suite à notre table-ronde sur la « cybersécurité collective », Stéphane Nappo revient sur son expérience et son travail de fond pour faire grandir le sujet dans les organisations.

Alliancy. Quelles sont les leviers efficaces pour renforcer la cybersécurité collective dans une organisation ?

Stéphane Nappo. Notre principal défi, ce n’est pas d’installer un outil de protection, mais de parvenir à traiter les sujets que les outils de sécurité ne couvrent pas. Avec la technologie, on peut bloquer les menaces identifiées, en « zone noire », ou mettre en œuvre une approche « zero trust » pour définir une « zone blanche ». Mais le danger viendra toujours avant tout de la « zone grise ». Un exemple : le phishing est endémique et il utilise un canal, l’email, parfaitement maîtrisé, intégré et officiel. C’est donc un sujet humain et fondamentalement collectif. Toute la difficulté est de mobiliser ce collectif dans une organisation, sans victimiser le collaborateur. Pour commencer, cela implique de considérer ce dernier comme un facteur de sécurité plutôt que comme un vecteur de risque, alors que c’est souvent cette deuxième vision qui prévaut encore malheureusement…

Comment sensibiliser pour faire d’un collectif d’individus un facteur de sécurité ?

L’efficacité de la sensibilisation dépend beaucoup de la façon dont elle est menée. L’écosystème complexe d’une entreprise est difficile à surveiller dans son ensemble : la sensibilisation vise donc à transformer les utilisateurs en une armée d’alerteurs potentiels. En ce sens, si la sécurité est perçue comme un irritant dans l’expérience du quotidien, c’est peine perdue. C’est pour cela qu’elle doit être centrée sur l’utilisateur. Cela demande de visibiliser des règles claires et strictes, mais aussi et surtout d’expliquer avant d’interdire. Par ailleurs, créer des expériences utilisateurs satisfaisantes qui intègrent un bon niveau de sécurité est impossible sans une co-responsabilité de la direction IT et de la direction sécurité.

En parallèle, on n’est jamais sensibilisé pour de bon : « l’humain oublie, l’humain varie ». C’est un effort continu à fournir. Il n’existe d’ailleurs pas une sensibilisation unique : la sécurité bureautique n’a pas la même sémantique ni le même objet que celle de l’usine (OT) ou encore que celle qui intervient dans la fabrication d’IoT. Et tout le monde n’a pas la même antériorité d’acculturation : dans les usines, on a par exemple moins connu les conscientisations massives des épisodes WannaCry ou NotPetya de 2017. Engager une vision collective demande donc paradoxalement de personnaliser au maximum, notamment en se concentrant sur la nature exacte du risque perçu par chaque métier.

Cette vision d’une cybersécurité plus collective a-t-elle aussi changé votre rapport aux prestataires ?

Il est certain que les systèmes d’information ne s’arrêtent plus aux frontières administratives de l’entreprise. Dans sa globalité, le cloud représente souvent plus de 60 % des SI d’une entreprise à l’heure actuelle. Et tous les DSI connaissent la réalité complexe de l’infogérance, de la tierce maintenance, de la multiplication des partenaires de services… Le collectif de sécurité doit les intégrer aussi. Le premier défi en la matière, c’est la légitimité. Qu’est-ce qui va faire que des personnes externes à l’entreprise vont nous écouter ? Le sujet clé selon moi, c’est la notion de « propriété du risque », qui donne un droit d’exigence sur ses prestataires. Par exemple, on sait très bien que le risque réputationnel pour une grande entreprise est très fort si un de ses partenaires se fait attaquer… Bien souvent, c’est l’entreprise qui porte la majorité du risque final ; c’est un argument à faire valoir.

Ce premier niveau d’attention doit ensuite être concrétisé avec des annexes de sécurité qui seront contractuelles ; l’important c’est d’y faire figurer le plus possible les risques spécifiques de son entreprise. C’est là que se joue toute la négociation, notamment avec les grands éditeurs du numérique, qui ne sont pas habitués à cet exercice de personnalisation. Mais leur écoute a augmenté malgré tout ces dernières années.

Enfin, il faut surveiller en permanence. Une organisation a toujours de nombreux liens de communication informatiques avec ses partenaires, que ce soit de l’e-mail, de l’échange de données, du WAN (réseau étendu). Les hackers visent ces liens entre les entreprises. Le security operations center doit donc regarder toutes les liaisons, plutôt que d’être seulement tourné vers les systèmes internes. Et on doit pouvoir immédiatement se couper d’un partenaire s’il arrive malheur. C’est la logique du « Red Button »… Se donner les moyens de se déconnecter de son écosystème est un principe fort de sécurité collective, qui complète le fait d’exiger d’un partenaire un devoir d’alerte rapide.

Jusqu’où peut-on aller dans le partage d’informations entre partenaires, quand il est question de cybersécurité ?

Les écosystèmes d’assurance et les autorités publiques, notamment l’ANSSI, ont énormément aidé ces dernières années à renforcer l’entente globale des acteurs. Il y a dorénavant un bon niveau d’exigence collectif qui facilite les échanges. La conformité est un catalyseur important pour débattre au bon niveau entre entreprises. C’est important, car le prélude pour partager de l’information efficacement en cybersécurité, est d’avoir une coopération opérationnelle avec ses partenaires. Cela ne s’improvise pas : il faut mettre en place des comités de sécurité sur une base régulière, pour partager la vision des menaces et l’autopsie des incidents ou des quasi-incidents. Pour y parvenir, il faudra souvent le prévoir dès le design initial d’un contrat. Cette proximité doit s’incarner à minima sur la base de rendez-vous trimestriels selon moi. Même en anonymisant les données échangées, en restant sur les tendances, il y a beaucoup d’informations utiles dont on peut profiter. Les incidents des uns sont la prévention des autres.

Un bon partage d’information consiste aussi à sortir des décisions unilatérales, de part et d’autre. Là aussi, il est nécessaire d’instituer une co-responsabilité claire, pour organiser concrètement la transparence : on ne peut pas seulement être sur de l’information descendante, envoyée comme autant de déclarations anodines. Cette co-responsabilité doit être renforcée par des liens interpersonnels : apprenez à connaître les RSSI de vos prestataires ! C’est important car nous avons tous beaucoup à apprendre de nos partenaires. On doit les embarquer comme des amis, pas comme des ennemis, dans une vision de chaîne de valeur partagée qui va au-delà de la notion traditionnelle de chaîne d’approvisionnement.