L’école Epita a lancé en 2014 un cycles de formation supérieure sur la cyber- sécurité : SECURESPHERE. Un petit-déjeuner était organisé en juin sur le thème : « le RSSI, atout majeur de la cyber sécurité de l’entreprise »
Alain Bouillé, président du Club des experts de la sécurité de l’information et du numérique (CESIN) et responsable de la sécurité des systèmes d’information Groupe d’une grande banque française, présentait le point de vue d’un RSSI. Christian Aghroum, ancien chef de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), participait aux débats.
Extraits de l’exposé d’ Alain Bouillé .
Prévoyez la cyber-assurance !
«On ne vole plus l’argent des banques de la même façon : c’est propre et invisible ! La cyber-criminalité est le résultat de la digitalisation de l’entreprise : les cibles sont de plus en plus nombreuses.
Une journée suffit pour accomplir une attaque il en faut 243 pour la détecter ! Il s’agit d’une statistique de 2012, nous ne savons pas quels progrès éventuels ont été accomplis en terme de délais de détection !
Toute entreprise se fera attaquer, rappelle le RSS y la seule inconnue est la date. La gestion du risque est primordiale et désormais il faut penser assurances.
La sécurité devrait être chose aussi naturelle que l’installation des airbag en voiture, qui est fait en usine. Ne se pose plus la question d’avoir ou non des airbags ! »
Quel est le profil idéal d’un RSSI en 2015 ?
«J’aimerais bien que ce soit une femme : c’est un milieu si masculin ! Il faut d’abord une bonne connaissance informatique sinon on se fait « bananer » par les informaticiens. Il faut compléter par un cursus de sécurité. Dans les faits, les RSSI sont souvent issus de la DSI, du réseau.»
« Le RSSI doit être capable de travailler avec les autres : il faut être ami avec tous. »
La clé de la réussite, selon notre RSSI, est de travailler en bonne intelligence avec tous : » Il faut être ami avec le DSI, parce que c’est là où tout se passe. Etre ami aussi avec les juristes : les contrats, quand on sous-traite dans le Cloud de, sont critiques. Si vous n’êtes pas ami avec la « Comm », vous êtes morts ! Il faut bien sûr être ami avec responsable de la Sûreté, qui gère la sécurité physique des ordinateurs… ».
« Il y a un nouveau venu dans le paysage, celle-ci des CDO, le Chief Digital Officer. Comme tous les métiers sont souvent en silo ce nouveau rôle transversal est utile. Et si le CDO n’est pas le DSI il s’agit bien entendu d’un nouvel ami nécessaire. »
Alain Bouillé précise : « dans ma banque on a estimé que je dépendais de la direction des risques, et non pas du service informatique… Je dois développer d’autant plus les relations avec le DSI »
Le cas Target
Une anecdote qui résume les enjeux : « C’est la première fois qu’un dirigeant a dû quitter son entreprise suite à une cyberattaque. En septembre 2013 un sous-traitant de Target est attaqué, le problème est signalé en novembre, avant les fêtes. 70 millions de données de la banque sont volées. On estime le gain des hackers à 53,7 millions de dollars, correspondant à la revente de 3 millions de cartes. C’est un miracle que l’entreprise n’ait pas mis la clé sous la porte ! »
Les bonnes pratiques pour lutter contre la cyber criminalité
-Sensibiliser les salariés.
Le RSSI raconte : « lors de Lors de la dernière attaque avec e-mail comportant une facture fictive , 30 % des utilisateurs cherchaient à cliquer sur le message. Ils se sont même plaints au helpdesk pour parce que le lien ne fonctionnait pas ! 30 postes de travail ont dû être remasterisés.
-« Sécurité inside » il faut s’assurer de la sécurité du code, le tester, l’auditer.
-Cartographier toutes les portes d’entrée
-Se préoccuper de la sécurité des partenaires, des fournisseurs : de nombreuses attaques réussies passent par une attaque des partenaires
« La sécurité devrait être chose aussi naturelle que l’installation des airbag en voiture, qui est fait en usine. Ne se pose plus la question d’avoir ou non des airbags ! »
-On ne peut pas se passer d’une vraie architecture de sécurité, il faut simplifier, et investir dans des outils complémentaires : SOC, Siem, DLP, authentification forte. « Si vous ne pouvez pas avoir votre SOC en propre, sous-traitez le ! »
-Réfléchir au processus de récupération
