Alain Bouillé, président du Club des experts de la sécurité de l’information et du numérique (CESIN) et RSSI Groupe d’une grande banque française, s’exprime sur le rôle du RSSII.
Prévoyez la cyber-assurance !
Epita a lancé en 2014 un cycle de formation supérieure sur la cyber-sécurité : Securesphère. Extraits de l’exposé d’ Alain Bouillé, lors d’un petit-déjeuner, organisé par l’école.
– “On ne vole plus l’argent des banques de la même façon : c’est propre et invisible ! La cyber-criminalité est le résultat de la digitalisation de l’entreprise : les cibles sont de plus en plus nombreuses.
– Une journée suffit pour accomplir une attaque, il en faut 243 pour la détecter ! Il s’agit d’une statistique de 2012, nous ne savons pas quels progrès éventuels ont été accomplis en termes de délais de détection !
– Toute entreprise se fera attaquer, rappelle le RSSI ; la seule inconnue est la date. La gestion du risque est primordiale et désormais il faut penser assurances.
-La sécurité devrait être chose aussi naturelle que l’installation des airbags en voiture, qui est faite en usine. On ne se pose plus la question d’avoir ou non des airbags !”
Quel est le profil idéal d’un RSSI en 2015 ?
“J’aimerais bien que ce soit une femme : c’est un milieu si masculin ! Il faut d’abord une bonne connaissance informatique sinon on se fait “bananer” par les informaticiens. Il faut compléter par un cursus de sécurité. Dans les faits, les RSSI sont souvent issus de la DSI, du réseau.”
“Le RSSI doit être capable de travailler avec les autres : il faut être ami avec tous.”
La clé de la réussite, selon notre RSSI, est de travailler en bonne intelligence avec tous : “Il faut être ami avec le DSI, parce que c’est là où tout se passe. Etre ami aussi avec les juristes : les contrats, quand on sous-traite dans le Cloud sont critiques. Si vous n’êtes pas ami avec la “comm”, vous êtes morts ! Il faut bien sûr être ami avec le responsable de la sûreté, qui gère la sécurité physique des ordinateurs…”
“Il y a un nouveau venu dans le paysage, le CDO, ou Chief Digital Officer. Comme tous les métiers sont souvent en silo, ce nouveau rôle transversal est utile. Et si le CDO n’est pas le DSI il s’agit bien entendu d’un nouvel ami nécessaire.”
Alain Bouillé précise : “Dans mon entreprise, on estime que je dépends de la Direction des Risques, et non pas du Service Informatique… Je dois développer d’autant plus les relations avec le DSI”
Le cas Target
Une anecdote qui résume les enjeux : “C’est la première fois qu’un dirigeant a dû quitter son entreprise suite à une cyberattaque. En septembre 2013, un sous-traitant de Target est attaqué, le problème est signalé en novembre, avant les fêtes. 70 millions de données de la banque sont volées. On estime le gain des hackers à 53,7 millions de dollars, correspondant à la revente de 3 millions de cartes. C’est un miracle que l’entreprise n’ait pas mis la clé sous la porte !”
Les bonnes pratiques à mettre en place
Selon Alain Bouillé, les clés de la réussite reposent sur les pratiques suivantes
• Sensibiliser les salariés.
Le RSSI raconte : “Lors de la dernière attaque avec e-mail comportant une facture fictive, 30 % des utilisateurs cherchaient à cliquer sur le message. Ils se sont même plaints au helpdesk parce que le lien ne fonctionnait pas !
30 postes de travail ont dû être remasterisés.• “Sécurité inside” il faut s’assurer de la sécurité du code, le tester, l’auditer.
• Cartographier toutes les portes d’entrée
• Se préoccuper de la sécurité des partenaires, des fournisseurs : de nombreuses attaques réussies passent par une attaque des partenaires
• On ne peut pas se passer d’une vraie architecture de sécurité, il faut simplifier, et investir dans des outils complémentaires : SOC, Siem, DLP, authentification forte. “Si vous ne pouvez pas avoir votre SOC en propre, sous-traitez-le !”
• Réfléchir au processus de récupération.
En chiffres
Enquête CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) auprès des RSSI
52 % des répondants ont subi au moins une attaque dans l’année
71 % des RSSI ne disposent pas d’une cartographie du SI organisée selon le niveau d’exposition. “Or, en terme de préparation, connaître le patrimoine est essentiel”, souligne Alain Bouillé, président du CESIN
53 % ne disposent pas de moyens de détection ou de remontée d’alertes
83 % ne disposent pas d’équipe dédiée pour lutter contre les cyberattaques.
“La détection, les alertes, c’est l’enjeu, c’est le nerf de la guerre mais maintenant il faut être en dessous de 200 jours pour le délai de détection”.
