Assises SI 2015 : le DSI face aux questions de Cybersécurité

7 octobre 2015 par 0 Commentaires

Cybersécurité… le défi majeur :
sensibiliser et instaurer la confiance !

TR-CIGREF-Assises2015Sensibiliser…

Le CIGREF est un habitué des Assises de la Sécurité des Systèmes d’Information (manifestation qui fête cette année ses 15 ans) et la sensibilisation à la sécurité numérique, une démarche récurrente pour lui. En 2012, il avait déjà annoncé aux Assises son projet de serious game pour sensibiliser les collaborateurs d’entreprises aux risques numériques.
Ce serious game, « Keep an Eye Out » est maintenant  en phase de déploiement dans les entreprises.

Il récidive cette année lors de la « Table Ronde CIGREF » en présentant sa « Hack Academy », campagne de sensibilisation (cette fois grand-public) à la cybersécurité. Et comme l’on ne change pas une équipe qui gagne, comme le serious game cette campagne privilégie l’humour et une approche ludique. Comme l’a précisé Pascal Buffard, Président du CIGREF lors du lancement de la campagne, « Sensibiliser à la cybersécurité, c’est beaucoup trop important pour être abordé « sérieusement » ! ».

Instaurer la confiance

Instaurer la confiance, c’est l’un des 9 défis que le CIGREF souligne pour l’Entreprise 2020 ! C’est aussi une dimension sur laquelle chacun des intervenants de la Table Ronde CIGREF « Le DSI face aux questions de Cyber » a particulièrement insisté !

Quand le DSI doit concilier ses fonctions originelles et « rassurer/protéger » les dirigeants !

Pour évoquer ces défis :

  • Christian Daviot, Chargé de mission stratégie – ANSSI
  • Christophe Leray, DOSI – PMU
  • Jean-Paul Mazoyer, Président du Cercle Cybersécurité du CIGREF

C-DaviotPour Christian Daviot, la responsabilité du DSI s’accroît proportionnellement à la transition numérique de l’entreprise. Le rôle du DSI est aussi désormais de protéger les dirigeants, la tête de l’entreprise : « On a pu remarquer qu’après une attaque informatique conséquente, c’est parfois le dirigeant qui saute ». Avec la Loi renforçant la sécurité des systèmes d’information des opérateurs d’importance vitale le DSI devra mettre en œuvre les mesures techniques demandées  également pour éviter des pénalités financières visant le dirigeant et l’entreprise.

Avec la numérisation de la chaîne de la valeur, le DSI est un « gardien du temple » puisqu’il se doit de protéger le patrimoine de l’entreprise et la continuité de l’activité , y compris en cas de cyberattaques. Il doit également veiller sur les clients de l’entreprise. Se faire dérober une base de données clients est un lourd handicap pour une entreprise à la fois en termes d’image mais aussi d’atteinte à la confiance.

Christian Daviot souligne également « qu’il est essentiel pour la vie et la survie de l’entreprise qu’il y ait une vraie connivence entre DSI et RSSI ».

Le Chargé de mission stratégie de l’ANSSI évoque une autre évolution en matière de cybersécurité.  Elle fait suite aux attentats qui ont frappé la France en début d’année et relève du symbolique. Même si ces attentats n’étaient pas de nature « informatique », ils ont eu des répercussions au travers des sites défacés qui ont marqué les esprits. Dès lors, la dimension de cybersécurité est ressentie par des acteurs externes à l’entreprise, comme les actionnaires, les assureurs. Le questionnement, voire la pression de ces différents acteurs, poussent les Directions Générales à la prise en compte des cybers risques.

De même, à l’instar de la consumérisation de l’IT, on commence à percevoir une consumérisation en matière de sécurité numérique : « le grand public est en train d’apprendre à ses dépens que les risques sur internet existent. Je crois à la force de l’impact sur le grand public qui se traduira par une demande de sécurité plus qu’à des règles très top-down, certes nécessaires, mais qui finissent par alourdir les dispositifs ».

Pour Christophe Leray également, lC-Lerayes dirigeants attendent de plus en plus du DSI qu’il s’occupe des sujets de cybersécurité dans leur globalité : « on a le rôle de protéger l’entreprise ». Pour autant, selon lui, il reste un vrai travail à faire par les DSI pour sensibiliser les dirigeants à la cybersécurité. D’autant que les systèmes d’information sont protéiformes : interne, externe, en cloud

Il souligne à son tour l’impact de la prise de conscience du cyber risque par l’opinion publique. Pour autant, les utilisateurs ont un niveau de maturité extrêmement faible en matière de cybersécurité. Par exemple, bien qu’avertis par des campagnes d’information sur les risques de phishing liés à des ouvertures de mails intempestives, un test emailing de « faux phishing » a quand même piégé 22% de collaborateurs (qui en ont été quitte pour la peur) !

Christophe Leray regrette que l’on évoque beaucoup le numérique sous ses différentes composantes (la mobilité, la référence client, etc.), mais insuffisamment par celle de cybersécurité : « dans les discours actuels, la composante sécurité n’est pas adressée. Ce n’est pas sexy, pas vendeur. Il reste un vrai travail à faire pour mettre en lumière cet aspect sécurité, en le présentant de la bonne façon. On ne pourra pas faire l’économie, dans ce monde numérique, de le traiter avec le même niveau d’importance que le marketing par exemple ».

Retour sur la naissance de la « Hack Academy », campagne de sensibilisation du CIGREF

JP-MazoyerJean-Paul Mazoyer, Président du Cercle Cybersécurité du CIGREF revient sur la genèse de cette campagne de sensibilisation grand public. Il explique que cela part d’un constat ressenti notamment par des DSI membres du CIGREF à l’origine de la création du Cercle Cybersécurité : « l’importance de sensibiliser l’ensemble des DSI sur la cybersécurité, en leur expliquant qu’il ne faut pas la considérer comme étant purement technique. Il ne faut pas non plus considérer que cela ne concerne que les RSSI. On ne peut imaginer réussir la transition numérique sans obtenir la confiance, donc sans être capable de traiter les sujets de sécurité. C’est aux DSI de porter ce message auprès de leurs Directions Générales, d’aller défendre des budgets pour que les RSSI n’aient pas à se poser des questions budgétaires pour lancer des protections ou des analyses en matière de sécurité ».

Il explique également qu’il est nécessaire de sensibiliser les Conseils d’Administration (comme l’a déjà fait le CIGREF avec l’IFA1) pour qu’ils demandent des comptes sur ce qui est fait en matière de risques cybers comme ils le font sur les risques traditionnels pour lesquels il existe des plans de continuité d’activité, par exemple en cas d’incendie. Autre catégorie à sensibiliser, les représentants du personnel.

On constate ainsi que toutes les composantes de l’entreprise doivent être sensibilisées, se sentir concernées, si l’on veut gagner en efficacité. Dès lors, pourquoi pas une campagne ? L’entreprendre au sein d’une seule entreprise, ce serait attirer le regard, s’exposer aux polémiques. Tant qu’à l’engager pour toutes les entreprises, autant la mener « urbi et orbi » !

Les premiers soutiens recueillis ont été celui de l’ANSSI et du Ministère de l’Intérieur. La démarche ensuite a été de solliciter les fournisseurs informatiques, concernés au premier chef. Puis toutes les grandes entreprises. « Aujourd’hui, 25 très grandes entreprises sont impliquées dans une campagne pour la première fois entièrement financée par des fonds privés » précise Jean-Paul Mazoyer.

La campagne a démarré le 1er octobre, avec l’ouverture du site « hack-academy.fr » sur le thème d’une émission de télévision sur internet, reprenant les codes de la téléréalité.

visuel-site-hack-academy____________________

1 Institut Français des Administrateurs

Cet article s’appuie sur les notes prises pendant la table ronde, avec tous les risques d’interprétation que cela induit. Il n’engage donc pas les personnes citées.

Catégories
Étiquettes
Partager sur Facebook Partager sur Twitter Partager sur linkedin Partager sur Google+
0 Comments
0 Pings & Trackbacks

Laisser un commentaire