La cybersécurité à l’heure des choix

La cybersécurité à l’heure des choix : Service ou sécurité ? Ces deux notions ont longtemps été opposées. L’uberisation, connectée et associée à l’émergence du cloud computing et du Big Data, a bouleversé de nombreux usages. Face à l’ampleur du phénomène, les entreprises ont été prises de court.

La cybersécurité à l’heure des choix : comment empêcher les données d’une société de circuler sans contrôle sur le web et dans le même temps garantir aux collaborateurs une productivité optimale ?
À l’occasion des dernières Assises de la Sécurité, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) a apporté des éléments de réponse et en appelle aux RSSI.

Les professionnels de la sécurité doivent accompagner ces nouveaux usages. Bonne nouvelle : ils ne sont pas seuls pour réussir dans cette mission.

La cybersécurité : confiance ou Défiance numérique, l’heure du choix pour l’ANSSI

Pour la conférence d’inauguration l’ANSSI s’est posé en médecin-urgentiste, voyant arriver des blessés et il y en a de plus en plus ! Comme en sécurité routière les excuses sont souvent les même : « Je ne savais pas que rouler à 200km/h sans casque sur l’autoroute c’était dangereux ! ». Malheureusement les entreprises l’apprennent tard quand une ou des cyberattaques les ont frappées.

Guillaume Poupard, Directeur de l’ANSSI, n’a pas hésité à utiliser des mots très forts pour qualifier ces mauvais usages.

En 2015, il rappelait que « Pendant très longtemps, ce sont les gens qui faisaient de la sécurité qui étaient considérés comme une menace pour les projets, pour le développement de l’économie numérique et de la société en général ».

Transformation du Digital, rapidité de développement, « Nous sommes à l’heure des choix, et nous sommes au sommet de l’arrête. Tout peut basculer d’un côté ou de l’autre » rappelle-t-il.

En 2012, son prédécesseur à la tête de l’Agence, Patrick Pailloux, donnait exactement au même endroit une conférence intitulée « Osez dire non ! » et qui incitait les RSSI à interdire des usages jugés dangereux comme le BYOD (Bring Your Own Device). En l’espace de quatre ans, le discours a bien changé et nous sommes bien à l’heure des choix.

Le rôle de la sécurité est d’accompagner et non de porter un discours rétrograde et passéiste. Il est possible d’aller très vite dans le développement numérique et en plus de le faire dans de bonnes conditions. La sécurité comme frein à l’innovation sera peut-être bientôt de l’histoire ancienne.

Un voyage sécurisé vers la transformation numérique

De CDiscount en passant par le Parti Socialiste, ces derniers mois, nous avons pu assister à une série d’avertissement de la CNIL sur des manquements sécuritaires. Conséquence possible : des dizaines de milliers de données personnelles dans la nature. Et pour les entreprises concernées, une image de marque sérieusement écornée et un impact fort sur le business. « La réalité des attaques est un fait même si une toute petite partie est rendue publique aujourd’hui, souligne Guillaume Poupard, Directeur de l’ANSSI. Nier la menace est devenue difficile et certainement irresponsable ».

Charge aux Responsables de la sécurité des systèmes d’information (RSSI) d’assurer la protection des données au sein de leur entreprise. Mais pas question de bâtir une forteresse numérique complètement hermétique et ultra-verrouillée. À l’heure du cloud et de la mobilité, la sécurité, c’est rendre possible les nouveaux usages.

« En entreprise, la sécurité doit être pensée en amont et non en réaction aux attaques » selon Franck Mong, Senior Vice President de Palo Alto Networks.

Les technologies existent pour permettre aux professionnels d’exploiter tous les outils à même d’augmenter leur productivité. Reste à savoir en tirer parti. Face à des solutions très avancées techniquement, toutes les sociétés n’ont pas les compétences pour déployer et opérer les technologies qui leur font défaut. Pour mémoire en 2013, la moitié des organisations professionnelles ont ainsi choisi d’externaliser au moins une de leurs solutions de sécurité informatique.

Mais alors au court de cette 16ème édition, faudra-t-il pensez autrement ?

C’est bien l’objectif de cet événement. Ecouter, partager et accompagner les professionnels du secteur dans l’élaboration de leur stratégie de sécurité, dans leur programme de transformation digital, de la réflexion à l’exploitation.

La réflexion avant l’action

La technologie n’est pas une finalité. Nous pouvons mettre en place des infrastructures sécurisées mais en si en amont il existe des problèmes de processus, d’interaction entre les services ou d’organisation, il sera toujours beaucoup plus facile pour un attaquant de profiter d’une faiblesse dans le système.

Alors, qu’elles sont les tendances ?

Pour sortir des chantiers battus, les 151 partenaires des assises ont misé une fois de plus sur les tendances du moment à savoir : GDPR, Blockchain, DevOps, supervision du SI, etc…

« Pensez Autrement », et voir l’avenir de la sécurité différemment, c’est peut-être cela la transformation de ce secteur.

L’ère de la « Security-as-a-Service »

« Les nouvelles technologies de l’information (mobilité, Cloud, interconnexions généralisées) créent des vulnérabilités supplémentaires ». Face à ces évolutions, il est nécessaire d’apporter des réponses différentes.

Security as a Service, Service ou sécurité ? Un paradoxe qui tient au fait qu’il est impossible aujourd’hui de faire l’impasse sur les nouvelles technologies, et pourtant, les vulnérabilités viennent de nouveaux business model qui sont eux-mêmes des menaces à la survie des entreprises.

On comprend mieux dans ces conditions les transformations actuelles de l’IT mais le RSSI et la sécurité doivent-ils changer ?

Oui et non, ils doivent évoluer et se transformer. D’ailleurs, les entreprises ne veulent plus de profils exclusivement techniques, mais des personnes aptes à traiter aussi les questions règlementaires et à assurer la communication sur les sujets de cybersécurité.

Le RSSI doit donc être en mesure de faire respecter le règlement européen GDPR. D’ailleurs au court de ces 3 jours à Monaco, Le GDPR a été mis à l’honneur. 2 tables rondes et pas moins de 4 ateliers sur le sujet. Autant dire que ce sujet européen a été fortement suivi puisque son application est fixée à mai 2018 et pour beaucoup de société le compte à rebours a commencé.

Pour conclure cette édition il faudra retenir deux choses.
Premièrement, la cybersécurité s’est affirmée comme « un sujet essentiel à la préservation des libertés, à la sécurité des citoyens, ainsi qu’à la maîtrise et au développement de l’espace numérique », comme le précisait Patrice Cellario,
la seconde que « Le monde qui naît, est celui de l’économie numérique, ne peut émerger qu’avec une cybersécurité de bon niveau » indiquait Jean-Noël de Galzain.