En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 15/11/2017
    Cloud Expo Europe Paris 2017

    Cloud Expo Europe, Paris 2017, c'est le grand rassemblement d'experts dédiés au Cloud. Parmi les…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Jalios_Digital Summit 2017_leaderboard

LE RSSI, ARTISAN DE LA CYBERSÉCURITÉ

Vertiv_Power_300x250_FR

L’école Epita a lancé en 2014 un cycles de formation supérieure sur la cyber- sécurité : SECURESPHERE. Un petit-déjeuner était organisé en juin sur le thème : « le RSSI, atout majeur de la cyber sécurité de l’entreprise »

 

CESIN logo

Alain Bouillé, président du Club des experts de la sécurité de l’information et du numérique (CESIN) et responsable de la sécurité des systèmes d’information Groupe d’une grande banque française, présentait le point de vue d’un RSSI. Christian Aghroum, ancien chef de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), participait aux débats.

Extraits de l’exposé d’ Alain Bouillé .

Prévoyez la cyber-assurance !

«On ne vole plus l’argent des banques de la même façon : c’est propre et invisible !  La cyber-criminalité est le résultat de la digitalisation de l’entreprise : les cibles sont de plus en plus nombreuses.

Une journée suffit pour accomplir une attaque il en faut 243 pour la détecter ! Il s’agit d’une statistique de 2012, nous ne savons pas quels progrès éventuels ont été accomplis en terme de délais de détection ! 

Toute entreprise se fera attaquer, rappelle le RSS y la seule inconnue est la date. La gestion du risque est primordiale et désormais il faut penser assurances.

La sécurité devrait être chose aussi naturelle que l’installation des airbag en voiture, qui est fait en usine. Ne se pose plus la question d’avoir ou non des airbags ! »

Quel est le profil idéal d’un RSSI en 2015 ?

«J’aimerais bien que ce soit une femme : c’est un milieu si masculin ! Il faut d’abord une bonne connaissance informatique sinon on se fait «  bananer » par les informaticiens. Il faut compléter par un cursus de sécurité. Dans les faits, les RSSI sont souvent issus de la DSI, du réseau.» 

« Le RSSI doit être capable de travailler avec les autres : il faut être ami avec tous. »

La clé de la réussite, selon notre RSSI, est de travailler en bonne intelligence avec tous : » Il faut être ami avec le DSI, parce que c’est là où tout se passe. Etre ami aussi avec les juristes : les contrats, quand on sous-traite dans le Cloud de, sont critiques. Si vous n’êtes pas ami avec la « Comm », vous êtes morts ! Il faut bien sûr être ami avec responsable de la Sûreté, qui gère la sécurité physique des ordinateurs… ».

« Il y a un nouveau venu dans le paysage, celle-ci des CDO, le Chief Digital Officer. Comme tous les métiers sont souvent en silo ce nouveau rôle transversal est utile. Et si le CDO n’est pas le DSI il s’agit bien entendu d’un nouvel ami nécessaire. »

Alain Bouillé  précise : « dans ma banque on a estimé que je dépendais de la direction des risques, et non pas du service informatique… Je dois développer d’autant plus les relations avec le DSI »

Le cas Target

Une anecdote qui résume les enjeux : « C’est la première fois qu’un dirigeant a dû quitter son entreprise suite à une cyberattaque. En septembre 2013 un sous-traitant de Target est attaqué, le problème est signalé en novembre, avant les fêtes. 70 millions de données de la banque sont volées. On estime le gain des hackers à 53,7 millions de dollars, correspondant à la revente de 3 millions de cartes. C’est un miracle que l’entreprise n’ait pas mis la clé sous la porte ! »

Les bonnes pratiques pour lutter contre la cyber criminalité   

-Sensibiliser les salariés.

Le RSSI raconte : « lors de Lors de la dernière attaque avec e-mail comportant une facture fictive , 30 % des utilisateurs cherchaient à cliquer sur le message. Ils se sont même plaints au helpdesk pour parce que le lien ne fonctionnait pas ! 30 postes de travail ont dû être remasterisés.

-« Sécurité inside » il faut s’assurer de la sécurité du code, le tester, l’auditer.

-Cartographier toutes les portes d’entrée

-Se préoccuper de la sécurité des partenaires, des fournisseurs : de nombreuses attaques réussies passent par une attaque des partenaires

« La sécurité devrait être chose aussi naturelle que l’installation des airbag en voiture, qui est fait en usine. Ne se pose plus la question d’avoir ou non des airbags ! »

-On ne peut pas se passer d’une vraie architecture de sécurité, il faut simplifier, et investir dans des outils complémentaires : SOC, Siem, DLP, authentification forte. « Si vous ne pouvez pas avoir votre SOC en propre, sous-traitez le ! »

-Réfléchir au processus de récupération

Auteur : Jean Kaminsky

LE RSSI, ARTISAN DE LA CYBERSÉCURITÉ
Notez cet article

Laisser un commentaire

RGPD : sensibiliser les collaborateurs

Le nouveau règlement européen sur la protection des données (RGPD) s'appliquera le 25 mai 2018. Conscio Technologies propose un parcours de sensibilisation pour les collaborateurs.

Découvrir le programme de sensibilisation

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Piratage de données : action en nom collectif au Canada contre Equifax

    Une action en nom collectif (class action) a été lancée mardi au Canada afin d'obtenir…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Tribune - Protégez vos données grâce à l’innovation

    Il est de plus en plus nécessaires pour toutes les entreprises d’avoir des mesures de…

    > En savoir plus...
Etudes/Enquêtes
  • En 2021, les tablettes représenteront 28 % des achats en France

    Voici une synthèse d'une étude IDC sortie en juin 2017 sur le marché des PC…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_Azure _Skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Usages et technologies : concrétisez la transformation digitale de votre métier

    > Voir le livre
  • Surveillance de réseau : un élément indispensable de la sécurité informatique

    > Voir le livre
GlobalK_Azure _Skycraper