Pour ce comité éditorial consacré au pilier Sécurité du programme Le Numérique en Pratique, Alliancy a accueilli à la rédaction un groupe de chief information officer et de responsable de la sécurité des SI, afin de déterminer les thèmes qui n’étaient pas suffisamment mis en lumière aujourd’hui dans leur écosystème.
En présence de plusieurs partenaires du programme, SFR Business, Dhimyotis et HubOne, venus apporter leur vision du marché et de leurs priorités, le comité éditorial Sécurité a exploré les pistes des sujets galvaudés et de ceux trop souvent ignorés par les évènements, professionnels et médias s’intéressant à la sécurité numérique des entreprises. La discussion animée a abordé tour à tour le désormais inévitable sujet du RGPD, les choix technologiques structurants en environnement « hybride » à l’heure du cloud et le pilotage, organisationnel et humain, des projets innovants dans les entreprises pour qu’ils puissent intégrer efficacement la dimension sécurité. Objectif : confronter les avis pour identifier les sujets sur lesquels les CISO et RSSI étaient aujourd’hui suffisamment « équipés » pour préparer l’avenir, de ceux où ils se sentaient encore trop esseulés dans leur organisation et vis-à-vis des messages du marché.
Sylvain Thiry, Group IT Infrastructure CISO – Société Générale
« Pour les grands groupes, je pense que la priorité est de se poser la question : « Est-on capable de faire de la sécurité comme le font les GAFA ? ». Ce sujet en emmène beaucoup d’autres, parmi lesquels : le lien que nous devons absolument établir avec la production informatique, qui se transforme en même temps que la sécurité, et le sujet des compétences. Aujourd’hui, il est vital qu’un RSSI comprenne le développement afin d’accompagner la mise en place des usines logicielles et le continuous delivery dans les entreprises. Transformer les équipes pour innover en rupture dans la sécurité est le seul moyen pour continuer à faire de l’innovation de rupture tout court… de façon pérenne. »
Jean-Christophe Doucement, RSSI du secteur bancaire, membre du CESIN
« L’une des priorités 2018 est sans conteste d’adresser les problématiques de gouvernance des sujets sécurité. C’est souvent le cœur du problème et c’est ce qui grève notre capacité d’anticipation.
Il s'agit d'analyser dès les premières réflexions sur le service envisagé, quels risques SSI il est susceptible d'induire afin que leur couverture par des moyens tant fonctionnels qu'organisationnels et techniques puisse être mise en place dès la conception. Cela évite de devoir traiter les lacunes en fin de projet, par des artifices techniques plus ou moins efficaces. Cela nécessite une vision la plus globale possible du contexte dans lequel le service sera rendu afin que l'identification des risques soit la plus pertinente possible et de permettre d'anticiper leur éventuelle évolution.
Par ailleurs, il faut identifier les moyens les plus efficaces pour faire de la sécurité « l’affaire de chacun », c’est-à-dire agir au niveau du sentiment de responsabilité. Il est un peu facile de seulement assener que « la sécurité est l’affaire de tous » car au final, elle devient souvent l’affaire de personne en particulier… »
Sébastien Valsemey, RSSI - Médiamétrie
« Médiamétrie a pris le virage du numérique et connait des changements technologiques importants. A ce titre, nous développons nous-mêmes de grandes innovations technologiques. Au-delà de nos activités sur la télévision, la radio et Internet, cela doit nous permettre de renforcer notre stratégie « data », en collaboration avec les acteurs de la data media en France. Dans ce cadre de la sécurité de l’information, nous avons trois priorités pour 2018 : installer un cadre de gouvernance pour assurer la sécurité de cette stratégie en tenant compte de notre transition vers le cloud, accompagner en amont nos projets d’innovation dans une logique de security by design – fidèle aux enjeux du RGPD – et aller plus loin que la simple sensibilisation de nos collaborateurs afin de pouvoir capitaliser sur une véritable éducation de nos équipes en matière de risques. »
Michel Juvin, CISO du secteur du luxe, membre du CESIN
« Il y a sans doute énormément de sujets sur lesquels les responsables de la sécurité dans les entreprises risquent de se sentir un peu seul en 2018. Parmi eux, celui du shadow IT, s’il n’est pas nouveau, ne va pas arrêter de faire parler de lui. Qu’avons-nous à offrir face aux facilités d’usages offertes de toute part à nos utilisateurs ? Ce n’est pas une personne seule qui a la réponse, mais bien à l’entreprise de faire émerger rapidement des convictions, tout comme plus généralement sur le sujet des usages cloud dans un SI de plus en plus hybride. Rapidement, on se rend donc compte que le sujet prioritaire est culturel. Et que l’entreprise ne doit plus ignorer les différences de rôle et la complémentarité entre des RSSI orientés sur la technique et l’opérationnel, et des CISO qui doivent faire émerger une véritable vision stratégique de la protection de l’information »
Sébastien Oueslati, responsable pôle sécurité Groupe, RSSI - Humanis
« La priorité des priorités est toujours de rappeler que la sécurité n’est pas seulement l’affaire du RSSI. Agir chaque jour ensemble, pour protéger les données de nos clients et ceux de nos partenaires, est notre devise. C’est une évolution culturelle permanente et importante pour nous ainsi que pour les 6500 collaborateurs. Elle se poursuit en parallèle avec notre chantier stratégique, de conformité totale à ISO 27001 et au Référentiel HDS. Ce projet permet aussi de traiter de façon cohérente et unifiée, la conformité au RGPD. Là où c’est encore un grand enjeu 2018 pour beaucoup d’entreprises, nous avons la chance d’avoir évacué les problèmes de gouvernance avec la mise en place notamment d’un comité de pilotage, sponsorisé par un membre du COMEX et dans lequel nos directions métiers et transverses sont représentées dont la direction des Risques, Contrôle Interne et conformité et celle du Digital. »
Merci à l’ensemble de nos invités de s’être prêté au jeu à nos côtés :
- Sylvain Thiry, Group IT Infrastructure CISO – Société Générale
- Jean-Christophe Doucement, RSSI du secteur bancaire, membre du CESIN
- Sébastien Valsemey, RSSI – Médiamétrie
- Michel Juvin, CISO du secteur du luxe, membre du CESIN
- Sébastien Oueslati, responsable pôle sécurité Groupe, RSSI – Humanis
- Julien Robert, Directeur de la Ligne de Services Sécurité – SFR BUSINESS
- Beatrice Piquer-Durand, Directrice sales et marketing – Dhimyotis
- David Boucher, Directeur Cybersécurité – Hub One
Les rencontres « Le numérique en pratique » ont pour objectif de décrypter les leviers de réussite des projets en entreprise, lever le voile sur les freins à leur mise en œuvre, aligner les discours aux réalités du terrain, … en bref parler vrai – sans langue de bois – entre clients et prestataires du numérique.
Nous attendons de ces échanges qu’ils fassent émerger des conseils, les priorités, les axes de travail communs, en écho à notre démarche « Le numérique en pratique » – un programme partenarial mis en œuvre par la rédaction qui se concrétisera au 1er trimestre par un recueil – destiné aux directions générales – répondant aux questions : « Comment je me transforme et avec qui ? ». Un livret Sécurité, extrait en avant-première de ce recueil est d’ores et déjà disponible >
A voir aussi :
