Gérome Billois,
Partner du cabinet de conseil Wavestone
« Le premier principe
est l’isolation des systèmes critiques »
« En France, les principes de la règlementation NIS sont fortement inspirés de la LPM, le but recherché étant le même : renforcer le niveau de sécurité des acteurs nationaux clés mais cette fois-ci plus sur le plan économique que sur celui de la sûreté. Dans ces contextes, le premier principe fondamental est l’isolation des systèmes critiques. Cette isolation doit être mise en œuvre sur tous les plans : évidement vis-à-vis d’Internet, mais aussi des différents réseaux internes de l’entreprise. Cela comprend naturellement les réseaux utilisés pour les opérations d’administration, souvent considérés comme le talon d’Achille de la cybersécurité. »
Arnaud Le Men,
CEO d’Erium
« L’illusion d’un bon niveau de sécurité
est un des maux de la sécurité opérationnelle »
« Depuis quelques années, avec le renforcement législatif (LPM, NIS, RGPD…), les métiers de la SecOp doivent tenir les promesses faites aux dirigeants et aux DSI. Des analyses poussées montrent que les capacités réelles ne sont pas toujours à la hauteur des objectifs fixés, or l’illusion d’un bon niveau de sécurité est un des maux de la sécurité opérationnelle (SecOp) au sein des entreprises, les OIV en tête.
L’efficacité réelle de la SecOp est relativement simple à évaluer : elle détecte ou elle ne détecte pas l’attaque. Binaire. Ce sont donc les tests de détection qui effaceront les illusions : des tests répétés, indépendants, mais aussi de plus en plus élaborés qui permettent de valider régulièrement l’efficacité des dispositifs techniques et humains et qui inscrivent les analystes dans le processus d’entraînement permanent, indissociable de leur fonction. »
