Comment associer les collaborateurs aux démarches de sécurité ? Conseils d’experts en sécurité informatique.
Temps de lecture : 3 minutes
Publié le 15 juin 2017
Pour protéger votre entreprise d’éventuelles cyberattaques, il est essentiel d’associer vos collaborateurs aux démarches de sécurité. Comment ? Découvrez l’avis d’experts en sécurité informatique, interrogés à l’occasion de la 9ème édition du Forum International de la Cybersécurité (FIC).
- Pierre-Luc Refalo, Directeur du pôle conseil stratégique en cybersécurité de Capgemini
- Philippe Leroy, Directeur du développement de l’offre cyber de Thales
- Sébastien Richard, Conseiller en innovation du Mouvement des Caisses Desjardins (coopérative d’épargne et de crédit établie à Québec)
- Ante Gulam, Responsable de la sécurité des systèmes d’information (RSSI) de MetaPack
La notion de propriété des risques est-elle démodée ? Pierre-Luc Refalo, Directeur du pôle conseil stratégique en cybersécurité de Capgemini, joue les provocateurs. Pour lui, le schéma qui veut qu’un porteur de risque soit désigné pour chaque actif de l’entreprise ne peut plus s’appliquer aux environnements actuels :
Nous sommes confrontés à une digitalisation qui fait que l’on partage et que l’on échange. C’est très difficile de dire que l’on est propriétaire de quelque chose
« A l’heure où les hackers s’intéressent toujours davantage aux maillons faibles, de plus en plus de métiers sont concernés par la cybersécurité », ajoute Philippe Leroy. Face à ces nouvelles vulnérabilités, qui faut-il sensibiliser ou former ? « Il ne faut pas considérer que la sécurité est uniquement l’affaire de la DSI, poursuit le Directeur du développement de l’offre cyber de Thales. Tous les directeurs d’applications métiers sont concernés, doivent rendre compte de leurs risques particuliers et, face à la crise, doivent pouvoir travailler avec la direction des systèmes d’information. »
Avec le digital, la notion de propriété des risques perd son sens
« Le monde digital complexifie la notion de propriété des risques, explique Sébastien Richard, citant un exemple qu’il connaît bien, celui du Mouvement des Caisses Desjardins, une coopérative d’épargne et de crédit québécoise dont il est conseiller en innovation. Notre organisation est décentralisée, nous essayons donc de parler de risques mutualisés, de façon à ce que chaque gestionnaire de caisse soit aussi gestionnaire de risque. Ainsi, si une caisse fait l’objet d’une fraude, c’est tout le mouvement qui paie, puisque les fonds sont partagés, et que le risque est réparti. »
Au sein de la coopérative d’épargne, le Chief information security officer (CISO) va régulièrement former les dirigeants. « Nous partons du principe qu’un expert en cybersécurité connaît notre organisation et sait l’orienter », poursuit Sébastien Richard. Et, pour développer les compétences, c’est la formation interne qui est privilégiée : « Nous avons, par exemple, organisé un think tank sur la blockchain, initié et mis en place par un collaborateur de l’IT, identifié comme ressource sur le sujet. »
Et, pour convaincre les dirigeants, il faut être didactique.
« On doit rester simple, note Ante Gulam, RSSI de MetaPack. Souvent, les dirigeants ne parlent que de chiffres. Pour leur expliquer pourquoi telle ou telle procédure est si onéreuse, on doit les mobiliser au plus tôt. »
Quand les acquis permettent de porter l’innovation
Faut-il tout réinventer ? « On ne va pas tout mettre à la poubelle, rassure Pierre-Luc Refalo. Il faut s’appuyer sur les acquis pour apporter des approches innovantes. » Lorsqu’il est arrivé chez Capgemini, il a interviewé soixante-dix dirigeants métiers sur les risques majeurs pour les datas et le système d’information du groupe, mais aussi sur les process mis en place pour répondre à ces risques et sur les actions prioritaires à lancer.
Il en est sorti un ensemble de 64 règles, aujourd’hui rendues obligatoires dans tout le groupe, et un changement fondamental de politique : chaque dirigeant d’entité métier est désormais membre d’un comité de sécurité interne et peut ainsi suivre l’ensemble des actions.
De nouveaux défis avec l’IoT
Avec l’IoT, ce sont de nouveaux risques qui apparaissent : vol, sabotage, surveillance. « Jusqu’ici, la sécurité n’a pas été suffisamment prise en compte, remarque Philippe Leroy. Aujourd’hui, les voitures connectées peuvent être hackées : on peut prendre le contrôle à distance car il n’y a pas de processus de sécurité. »
« Comment spécifier la sécurité de ces objets quand on ne sait pas quelle forme la menace prendra demain ? » continue l’expert. La sécurité est-elle donc dans les mains des prescripteurs ? Pas vraiment : « Non seulement cela nécessite de l’investissement, mais en plus, seuls les gens formés à la sécurité peuvent en parler, les prescripteurs non ! »
