Entretien avec Thierry Auger,
DSI et RSSI du groupe Lagardère,
Président des Assises 2022
Thierry Auger cumule les fonctions de DSI et de RSSI pour le groupe Lagardère. Cela lui confère un statut d’observateur exceptionnel sur les enjeux de l’IT et de la sécurité. Nous avons souhaité cet entretien car il est également cette année président des Assises de la sécurité. L’édition 2022 de cet évènement sera placée sur le signe de l’accélération, et Thierry Auger, présente les thèmes qui seront évoqués.
Nous l’avons aussi interrogé sur les défis qui se posent aujourd’hui aux RSSI français : comment accroître la résilience de l’entreprise, hausser le niveau de protection tout en se plaçant au service du business.
L’édition 2021 des Assises avait été placée par Olivier Ligneul sous le thème du « Back to Fondamentals ». Quel est celui que vous avez choisi pour cette édition 2022 ?
« Les Assises 2022, on accélère », avec une ligne éditoriale qui assure la continuité en reprenant aussi dans ces thématiques celui du « Back to Fondamentals » mais avec l’idée qu’il faut désormais monter en puissance. Pour moi, cette idée regroupe deux choses : il faut d’une part augmenter la résilience et le niveau de protection, mais aussi accompagner l’accélération de l’action des équipes de sécurité. Le socle sanitaire doit encore être consolidé face aux nouvelles menaces, la liste des projets à traiter par les RSSI reste longue, ce qui implique de prioriser ces chantiers. Pour que cette accélération se traduise dans les faits, il faut choisir ses priorités, revoir les solutions pour privilégier l’efficacité et replacer la protection de la donnée au cœur de la problématique.
Qu’est-ce que cela implique ce changement de posture de sécurité ?
Pour moi, la priorité numéro 1 doit être la protection de la donnée. Le RSSI doit se placer en capacité de restituer la donnée aux métiers quel que soit le type d’attaque subie, y compris si les sauvegardes sont visées par les attaquants. La guerre en Ukraine nous a montré que les techniques de destruction de données mises en œuvre peuvent être extrêmement intelligentes et efficaces. La résilience des sauvegardes est un impératif aujourd’hui. En parallèle, il est indispensable d’augmenter les surveillances actives et intelligentes afin de détecter une potentielle fuite de données le plus en amont possible afin de pouvoir réagir avant un incident, une divulgation, c’est aussi cela l’accélération. Une fois exfiltrées et divulguées, il devient quasiment impossible de les rattraper et de chercher à en contrôler la diffusion. Il est donc clairement préférable de les protéger et de surveiller efficacement pour réagir immédiatement. En outre, la conformité nous pousse clairement dans ce sens.
Il ne faut pas hésiter à innover
et déployer les offres pertinentes de start-up.
La conformité est une thématique croissante à l’agenda des DSI et de leur RSSI.
La gestion de la conformité est une autre problématique appelée à fortement monter en puissance dans l’agenda du RSSI. Si on fait une projection à 5 ans, on voit que de nombreux pays cherchent à mettre en place des règlements spécifiques pour protéger les données personnelles de leurs citoyens mais aussi pour contrôler les exports de ces dernières vers l’extérieur. Cette volonté d’isolation sera clairement un challenge pour les entreprises présentes dans plusieurs pays. Depuis de nombreuses années, les DSI ont cherché à optimiser leurs SI en centralisant et en mutualisant les applications et le catalogue de services afin de minimiser les coûts et les charges, Ce modèle devra désormais tenir compte de ces nouvelles contraintes et donc s’adapter en conséquence.. Si on prend l’exemple des Etats-Unis, 4 à 5 états ont légiféré sur la question, une dizaine d’autres sont en cours. Si demain une vingtaine de pays imposent des règles de protection et de localisation des données différentes, il va falloir remettre le modèle centralisé à plat. Ira-t-on vers des hubs de données locaux et des mécanismes de transfert et de synchronisation ? Ce sont des architectures complexes que les DSI vont devoir imaginer afin de répondre à ces nouvelles contraintes de conformité.
Lorsque vous appelez au renforcement du socle sanitaire, sur quoi les entreprises doivent-elles porter leurs efforts selon vous ?
La priorité varie en fonction du contexte de chacun, mais les éditeurs et constructeurs doivent prendre leur part dans cette accélération. Depuis quelques mois, nous en avons vu plusieurs faire évoluer leurs offres pour aller vers une nouvelle approche qui nous parait très intéressante pour l’avenir. Les éditeurs comme Microsoft, Github, Firefox, Apple, embarquent de plus en plus de mécanismes de sécurité par défaut dans leurs offres qui participent par défaut à élever le niveau de sécurité global pour un RSSI. Ainsi, Windows 11 bloque automatiquement l‘accès après une série de tentatives de connexion et impose une double authentification. Il faut pousser les éditeurs à aller de plus en plus vers ces approches « Secure by design » et embarquer des comportements de sécurité à toutes leurs offres. C’est un moyen de réduire d’une manière globale la complexité de la cybersécurité et de réduire le risque
Au sein du groupe Lagardère, vous n’hésitez pas à faire appel à des start-up pour renforcer votre socle technologique. Quel rôle doivent jouer ces start-up dans cette stratégie d’accélération ?
Pour réussir cette accélération dans un contexte où les moyens sont comptés et les effectifs restreints, les entreprises vont devoir miser sur l’innovation pour améliorer leur sécurité. Nous avons besoin de technologies intelligentes et sur ce plan il ne faut pas hésiter à innover et déployer les offres pertinentes de start-up. Pour prendre un exemple, le groupe Lagardère a fait le choix de s’appuyer sur les services de CybelAngel pour augmenter les surveillances et donc renforcer la protection de ses données. C’est un éditeur que nous suivons depuis 2014 lorsqu’ils ont reçu le trophée de la PME innovation au FIC. Ils n’étaient encore que 4, ils sont près de 200 aujourd’hui. Miser sur des technologies innovantes telles que l’IA dans la cybersécurité a un coût, c’est vrai, mais elles peuvent rendre d’énormes services. Forrester a estimé le retour sur investissement apporté par la solution de CybelAngel à 359% sur 3 ans ! Ce type d’informations permet de négocier auprès d’une direction générale afin d’investir dans l’innovation.
Quels sont les freins auxquels se heurtent les RSSI face à cette nécessaire accélération ?
Outre la part de la cybersécurité dans le budget IT qui doit rapidement s’accroitre, le manque de compétences disponibles est un frein important à la montée en puissance de la cybersécurité dans les entreprises. Ce problème RH n’est pas un problème français ou européen en soi. Tous les pays au monde y sont confrontés à plus ou moins grande échelle. La Chine a récemment lancé un plan de formation massif dans ce domaine. De notre côté, nous devons réfléchir à des dispositifs pour amener plus de personnel dans les métiers de la cybersécurité. Je pense qu’il faut notamment proposer aux ingénieurs informaticiens des parcours de reconversion vers nos métiers. Ce sont des gens bien formé qui, je pense, peuvent être progressivement amenés vers nos métiers. Il faut réfléchir à des dispositifs pour les faire monter en puissance directement au sein des équipes opérationnelles de sécurité. C’est une voie que les entreprises françaises devraient suivre pour faire face à une pénurie de compétence qui n’aura de toute façon aucune issue à moyen terme.
Comment accroître la résilience de l’entreprise,
hausser le niveau de protection tout en se plaçant
au service du business ?
L’externalisation et un recours massif aux services managés semblent une voie fréquemment empruntée par les RSSI pour contourner ce déficit de compétences disponibles…
Sur un certain nombre de services, le modèle managé permet de s’appuyer sur un spécialiste est bien plus efficace que ce que l’on peut faire seul dans son entreprise. Par nature, le terrain de jeu d’un fournisseur de services de sécurité est bien plus vaste et ces prestataires peuvent atteindre une efficacité opérationnelle impossible à atteindre par une entreprise dont la cybersécurité n’est pas le métier. L’exemple le plus évident est celui du monde des SIEM et des SOC externalisés. Une entreprise peut déployer elle-même un SIEM mais toute la valeur se situe dans les hommes qui vont le mettre en œuvre, dans les algorithmes de détection qu’ils vont mettre en place. Pour une entreprise isolée, il est très coûteux de monter en puissance et au final, quand survient un incident, on se rend compte que le SIEM ne l’a pas remonté. La détection est complexe, se transforme en permanence, si bien qu’au final, l’investissement est très important pour un système qui, souvent, ne détecte pas certaines attaques. Cela montre qu’il faut sortir de cette logique et accepter que si on a besoin de la technologie, ce n’est pas nécessairement à l’entreprise de la porter sauf contraintes ou priorités spécifiques à certaines activités particulièrement contraintes. Ce fut le cas des salles blanches il y a quelques années, toutes les entreprises se sont peu à peu tournées vers des spécialistes pour héberger leurs serveurs car disposer de ses propres salles performantes nécessite aujourd’hui d’investir des sommes astronomiques et que ce n’est pas la finalité d’une DSI. D’autant que l’aspect RSE est venu s’ajouter à cela ; il y a aujourd’hui une nécessité de réduire la consommation énergétique de l’IT, les hébergeurs professionnels savent faire cela bien mieux que ce que nous pouvons faire seuls de notre côté.
Quel va être le rôle du RSSI dans le futur ? Deviendra-t-il un « simple » gestionnaire de contrats de services ?
Le RSSI sera un super chef d’orchestre qui devra identifier quelles sont les solutions disponibles sur le marché et choisir celles qui sont le plus en adéquation avec l’environnement, les attentes de ses métiers, son exposition et les priorités de son entreprise. La tâche n’est pas simple car il doit avoir une visibilité sur les solutions technologiques et les offres, mais surtout évaluer leur niveau de maturité réel. Il s’agit d’un problème récurrent dans l’innovation : sur le papier, les éditeurs annoncent toujours des solutions 100% opérationnelles, mais une bonne idée demande à être développée. Au démarrage, une solution proposée par une start-up n’est pas encore industrialisée et il faut généralement beaucoup de temps pour aboutir à une solution réellement mature. C’est très compliqué d’estimer le niveau de maturité d’une nouvelle offre tant qu’on ne l’a pas déployée soi-même. Remonter ce type d’information implique un travail de concert entre les RSSI, un travail en réseau pour remonter des informations sur l’efficacité réelle des solutions. Il existe des outils intéressants comme le radar Wavestone des start-up de la cybersécurité par exemple, mais le rôle d’un événement comme les Assises de la sécurité est essentiel dans ce partage d’expériences. Le campus Cyber a sans doute aussi un rôle à jouer dans cette capitalisation d’expérience, nous verrons quelles seront les propositions qui émergeront de cette nouvelle structure qui s’organise actuellement sur ces sujets.
