L’alchimie entre numérique et business est devenue tellement forte que l’immense majorité des entreprises parlent couramment en 2017 de leurs enjeux de transformation et du pilotage de celle-ci. Par contre, elles sont encore nombreuses à exclure de cette réflexion la nouvelle place de la cybersécurité.
Quelle nouvelle place pour la sécurité numérique alors que l’entreprise se transforme à tous les étages ? Cette question, posée année après année lors des grands évènements français sur le thème, dont les Assises de la Sécurité à Monaco, est un serpent de mer qui n’en finit pas de faire réagir. Chacun avance ses pions. « En tant que Chief Information Security Officer (Ciso), nous avons une carte maîtresse à jouer grâce à l’adoption massive du numérique dans nos entreprises », nous confiait en 2016 Arnaud Tanguy, Ciso de la société de gestion d’actifs AXA IM. Pour lui, l’enjeu reste encore et toujours de réconcilier sécurité et facilitateur business. Mais cette ambition des Ciso reste souvent contrecarrée par l’absence d’une gouvernance appropriée.
Historiquement, la sécurité globale de nombreuses entreprises s’est constituée en briques organisationnelles qui ont séparé sécurité physique (la sûreté) et SSI (la sécurité du système d’information). Lors d’une récente table-ronde sur la « Gouvernance de la sécurité numérique », Thierry Augier, deputy CIO/CSO du groupe Lagardère avait adroitement résumé les risques d’une pensée hémiplégique : « A trop séparer,on crée de l’inefficacité. Ce dont les entreprises ont besoin, c’est au contraire d’une osmose au niveau de leur perception et de leur gestion du risque global. » Trop souvent, cette approche en silos est d’ailleurs asymétrique : la sûreté est prise en compte directement au niveau du comité exécutif alors que la SSI est reléguée dans les profondeurs techniques de l’entreprise.
L’IoT, au rang des innovations business qui changent la donne
Pourtant, il est devenu de plus en plus difficile de distinguer une sécurité « numérique » d’une sécurité « physique ». La sûreté est devenue dépendante du numérique comme tous les autres aspects de l’entreprise. Et les innovations business dont s’emparent les entreprises sont pertinentes justement car elles sont à la frontière des deux mondes.
« Le sujet IoT est déjà très fort et ne cesse de gagner en importance mois après mois », illustre par exemple un manager dans une grande entreprise française du secteur de l’automobile, en s’interrogeant : « Comment va-t-on gérer une approche security by design vu les enjeux d’intégration actuels de l’IoT dans nos processus industriels ? Comment en assurer un suivi pertinent alors que les composants ainsi connectés vont sans doute rester en activité pendant 15 ou même 30 ans ? » Le cas de l’IoT – devenu une urgence des directions de l’innovation – est révélateur de la nouvelle place que doit prendre la sécurité dans une entreprise qui se transforme. Et pourtant bon nombre d’entre elles sont encore loin d’une telle réflexion. Didier Pawlak, DSI du groupe Pénélope, agence d’hôtes et d’hôtesses d’accueil, le reconnaît : « Pour moi, trouver les bons leviers pour améliorer la perception des collaborateurs sur le sujet sécurité est toujours aussi important après toutes ces années. Aujourd’hui, la question de la gestion des accès au système d’information me paraît centrale, que ce soit au sein même des murs de l’entreprise ou à partir de terminaux différents, en mobilité. Et cela commence par des sujets malheureusement très simples, comme travailler à ce que des salariés ne laissent pas leurs sessions ouvertes sur leur poste ou à travers leur VPN… » Or, pour une DSI qui ne dispose pas de responsable dédié à la sécurité, ces efforts sont déjà conséquents.
« Les entreprises ont besoin d’une osmose au niveau de leur perception et de leur gestion du risque global »Thierry Auger, deputy CIO/CSO de Lagardère
Lier RSSI, risques et Comex
Pour les structures de plus grande taille, le problème est ailleurs. Gil Dellile, Ciso du groupe Crédit Agricole a dû créer il y a déjà trois ans un poste de responsable relation métier-SSI afin de mieux animer les échanges entre les RSSI et l’ensemble des interlocuteurs métiers. Cette décision s’est faite en parallèle de la mise en place d’une nouvelle gouvernance de la sécurité des systèmes d’information du groupe, pour éviter que les RSSI ne soient trop « seuls » et qu’ils se rabattent sur des missions de contrôle, au détriment d’une approche plus globale de la sécurité. Chaque RSSI a pu être rattaché à un membre du Comex afin de systématiser une vision harmonieuse de la sécurité à tous les niveaux de l’organisation. Une avancée pour essayer de trouver un équilibre entre une vision stratégique de la transformation numérique globale et des réalités de terrain auxquelles il faut répondre immédiatement.
Gilles Berthelot, RSSI Groupe SNCF, témoigne de sa propre expérience : « Pendant des années les RSSI ont eu l’impression de jouer les Cassandre, mais les faits nous ont donné raison. La sensibilisation du Comex est donc beaucoup moins un sujet que par le passé. » Cela a permis de faire prendre à la sécurité une place beaucoup plus transverse, y compris au plus haut niveau. « A la SNCF, chaque membre du Comex s’occupe personnellement d’un type de risques, parmi ceux-ci, deux concernent expressément la sécurité du système d’information, ce n’est pas anodin », explique le RSSI Groupe.
Un équilibre à trouver avec l’écosystème
Et cette nouvelle gouvernance qui s’installe ne concerne plus seulement les propres services internes d’une entreprise. « L’un des points de vigilance à avoir pour un RSSI aujourd’hui vient des changements majeurs qui se jouent dans les relations avec les fournisseurs et la nature des contrats passés. C’est une remarque valable pour l’entreprise en général, mais avec des effets de bord potentiels très importants pour identifier les responsabilités en cas de risques liés à la sécurité du système d’information », détaille Mahmoud Denfer, Ciso Group de l’industriel Vallourec, quand on l’interroge sur ses priorités actuelles. En se transformant, l’entreprise s’ouvre et elle doit absolument prendre en compte dans sa nouvelle approche de la sécurité le rôle de ses prestataires, de ses partenaires, de ses clients, et les responsabilités de plus en plus entrelacées de tout son écosystème. La pression des législateurs pousse les entreprises à clarifier rapidement la donne. « L’arrivée de cadres réglementaires comme la PSSIE* et le RGPD** va permettre aux décideurs de pouvoir s’appuyer sur un cadre commun normatif bien défini. Elle va sans doute aider à définir les priorités dans le domaine de la gestion de la SSI pour des organisations qui ont un héritage comme la nôtre », reconnaît Adoté Chilloh, adjoint DSI, ROSSI et chef du service support et production de la Bibliothèque Nationale de France (BNF). Les acteurs publics ne sont bien sûr pas les seuls concernés : le Règlement général sur la protection des données personnelles (RGPD) s’applique non seulement à tous les secteurs économiques, mais implique de plus une véritable maîtrise de la chaîne de responsabilité prestataire-client.
En 2018, nul doute que les regards seront tournés avec attention sur les éventuelles premières sanctions que pourraient imposer le RGPD, car le flou persiste sur les messages que feront passer de cette façon les autorités. En attendant, les travaux transversaux que les entreprises ont lancés pour se mettre en conformité sont également une opportunité. Celle de clarifier une fois pour toute la façon d’organiser le lien entre sécurité et business.
*Politique de sécurité des systèmes d’information de l’Etat
** Règlement général sur la protection des données paru au journal officiel de l’Union européenne
XEn poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies essentiels au fonctionnement du site, ceux nous permettant d'améliorer votre expérience, de mesurer l’audience de notre site et de vous proposer un contenu plus adapté. Vous avez la possibilité de personnaliser l'utilisation de ces cookies. Mais la désactivation de certains de ces cookies peut avoir un effet sur votre expérience de navigation. En savoir plusPersonnaliser mes choixJe refuse toutJ'ACCEPTE TOUT
Politique de confidentialité
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Les cookies nécessaires sont absolument essentiels au bon fonctionnement du site Web. Ces cookies assurent les fonctionnalités de base et les fonctions de sécurité du site Web, de manière anonyme.
Les cookies fonctionnels aident à exécuter certaines fonctionnalités telles que le partage du contenu du site Web sur les plates-formes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités tierces.
Cookie
Durée
Description
mautic_device_id
1 year
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing.
Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id
30 minutes
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie permet de connaître l’origine du visiteur.
mtc_id
session
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid
session
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session
Les cookies de performance recueillent des informations sur l'utilisation de nos sites web afin d'améliorer leur attractivité, leur contenu et leur fonctionnalité. Ces cookies nous aident, par exemple, à déterminer quelles pages secondaires de notre site sont visitées et quel type de contenu intéresse nos lecteurs.
Cookie
Durée
Description
YSC
session
Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview
10 minutes
Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat
1 minute
Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.
Les cookies analytiques sont utilisés pour comprendre comment les visiteurs interagissent avec le site Web. Ces cookies aident à fournir des informations sur les mesures du nombre de visiteurs, du taux de rebond, de la source du trafic, etc.
Les cookies publicitaires sont utilisés pour proposer au visiteurs des publicités personnalisées selon votre parcours sur notre site.
Cookie
Durée
Description
IDE
1 year 24 days
Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID
6 months
This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE
5 months 27 days
This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
Cookie
Durée
Description
ARRAffinitySameSite
session
No description
attribution_user_id
1 year
No description
cg_uuid
1 year
Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
Dossiers
Chroniques
Guides et carnets
Évènements
Podcast
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Alliancy Studio
Alliancy Le Mag
Alliancy Les Cercles
Dossiers
Chroniques
Guides et carnets
