Comment associer les collaborateurs aux démarches de sécurité ? Conseils d’experts

Comment associer les collaborateurs aux démarches de cybersécurité? Comment concilier ces impératifs avec vos contraintes métiers? Conseils d'experts.

Pour protéger votre entre­prise d’éventuelles cybe­rat­taques, il est essentiel d’associer vos col­la­bo­ra­teurs aux démarches de sécurité. Comment ? Découvrez l’avis d’experts, inter­ro­gés à l’occasion de la 9ème édition du Forum International de la Cybersécurité (FIC).

La notion de propriété des risques est-elle démodée ? Pierre-Luc Refalo, Directeur du pôle conseil stra­té­gique en cyber­sé­cu­ri­té de Capgemini, joue les pro­vo­ca­teurs. Pour lui, le schéma qui veut qu’un porteur de risque soit désigné pour chaque actif de l’entreprise ne peut plus s’appliquer aux envi­ron­ne­ments actuels :

« Nous sommes confron­tés à une digi­ta­li­sa­tion qui fait que l’on partage et que l’on échange. C’est très difficile de dire que l’on est pro­prié­taire de quelque chose »

« A l’heure où les hackers s’intéressent toujours davantage aux maillons faibles, de plus en plus de métiers sont concernés par la cyber­sé­cu­ri­té », ajoute Philippe Leroy. Face à ces nouvelles vul­né­ra­bi­li­tés, qui faut-il sen­si­bi­li­ser ou former ?  « Il ne faut pas consi­dé­rer que la sécurité est uni­que­ment l’affaire de la DSI, poursuit le Directeur du déve­lop­pe­ment de l’offre cyber de Thales. Tous les direc­teurs d’applications métiers sont concernés, doivent rendre compte de leurs risques par­ti­cu­liers et, face à la crise, doivent pouvoir tra­vailler avec la direction des systèmes d’information. »

Avec le digital, la notion de propriété des risques perd son sens

« Le monde digital com­plexi­fie la notion de propriété des risques, explique Sébastien Richard, citant un exemple qu’il connaît bien, celui du Mouvement des Caisses Desjardins, une coopé­ra­tive d’épargne et de crédit qué­bé­coise dont il est conseiller en inno­va­tion. Notre orga­ni­sa­tion est décen­tra­li­sée, nous essayons donc de parler de risques mutua­li­sés, de façon à ce que chaque ges­tion­naire de caisse soit aussi ges­tion­naire de risque. Ainsi, si une caisse fait l’objet d’une fraude, c’est tout le mouvement qui paie, puisque les fonds sont partagés, et que le risque est réparti. »

Au sein de la coopé­ra­tive d’épargne, le Chief infor­ma­tion security officer (CISO) va régu­liè­re­ment former les diri­geants. « Nous partons du principe qu’un expert en cyber­sé­cu­ri­té connaît notre orga­ni­sa­tion et sait l’orienter », poursuit Sébastien Richard. Et, pour déve­lop­per les com­pé­tences, c’est la formation interne qui est pri­vi­lé­giée : « Nous avons, par exemple, organisé un think tank sur la blo­ck­chain, initié et mis en place par un col­la­bo­ra­teur de l’IT, identifié comme ressource sur le sujet. »

Et, pour convaincre les diri­geants, il faut être didac­tique.

« On doit rester simple, note Ante Gulam, RSSI de MetaPackSouvent, les diri­geants ne parlent que de chiffres. Pour leur expliquer pourquoi telle ou telle procédure est si onéreuse, on doit les mobiliser au plus tôt. »

Quand les acquis permettent de porter l’innovation

Faut-il tout réin­ven­ter ? « On ne va pas tout mettre à la poubelle, rassure Pierre-Luc Refalo. Il faut s’appuyer sur les acquis pour apporter des approches inno­vantes. » Lorsqu’il est arrivé chez Capgemini, il a inter­viewé soixante-dix diri­geants métiers sur les risques majeurs pour les datas et le système d’information du groupe, mais aussi sur les process mis en place pour répondre à ces risques et sur les actions prio­ri­taires à lancer.

Il en est sorti un ensemble de 64 règles, aujourd’hui rendues obli­ga­toires dans tout le groupe, et un chan­ge­ment fon­da­men­tal de politique : chaque dirigeant d’entité métier est désormais membre d’un comité de sécurité interne et peut ainsi suivre l’ensemble des actions.

De nouveaux défis avec l’IoT

Avec l’IoT, ce sont de nouveaux risques qui appa­raissent : vol, sabotage, sur­veillance. « Jusqu’ici, la sécurité n’a pas été suf­fi­sam­ment prise en compte, remarque Philippe Leroy. Aujourd’hui, les voitures connec­tées peuvent être hackées : on peut prendre le contrôle à distance car il n’y a pas de processus de sécurité. »

« Comment spécifier la sécurité de ces objets quand on ne sait pas quelle forme la menace prendra demain ? » continue l’expert. La sécurité est-elle donc dans les mains des pres­crip­teurs ? Pas vraiment : « Non seulement cela nécessite de l’investissement, mais en plus, seuls les gens formés à la sécurité peuvent en parler, les pres­crip­teurs non ! »