Stratégie

Alain Bouillé (CESIN) : « la sécurité n'est pas nécessairement au rendez-vous dans le cloud »

Retrouvez cet article dans le CIO FOCUS n°150 !

Cybersécurité : nouvelles menaces, nouvelles solutions

Les RSSI réagissent-ils aussi vite que les hackers ? Cette question est posée. Et les participants à la conférence CIO du 21 Novembre 2017 y ont répondu en présentant les meilleures pratiques.Philippe Loudenot (Fonctionnaire de Sécurité des Systèmes d'Information, Ministères Sociaux), Stéphane...

Découvrir

---

Alain Bouillé, président du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), a été le Grand Témoin de la conférence « Cybersécurité : nouvelles menaces, nouvelles solutions » organisée par CIO le 21 novembre 2017 à Paris.

PublicitéNé il y a cinq ans avec une soixantaine de membres, le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) a récemment fêté son 350ème membre. Ce club fédère des RSSI (et fonctions similaires) dans les entreprises. Son président, Alain Bouillé, par ailleurs Directeur Sécurité des SI Groupe du Groupe Caisse des Dépôts, a été le Grand Témoin de la conférence « Cybersécurité : nouvelles menaces, nouvelles solutions » organisée par CIO le 21 novembre 2017 à Paris.
Le CESIN organise de nombreux travaux entre pairs. Mettre des pairs d'accord entre eux sur les sujets de cybersécurité, c'est bien. Mais qu'en est-il des directions générales, des directeurs financiers ou même des DSI ? « Cela fait beaucoup de gens avec qui il faudrait être d'accord » a reconnu Alain Bouillé. Mais l'intensité des menaces est un bon facteur de mobilisation de toute l'entreprise. Et le bruit fait par les cyber-attaques remonte bien jusque dans les Comités Exécutifs.

Faites du bruit !

Avec son enquête annuelle le « Baromètre des Menaces », le CESIN a pu montrer que 85 % des entreprises ont déclaré avoir subi au moins une cyber-attaque conséquente, 30 % en ayant subi plus de 15. Alain Bouillé a précisé : « la menace se rapproche et il est clair que, ici, nous ne parlons pas d'un anti-virus qui aurait détecté quelque chose dans un mail, bien d'une pénétration réelle ayant entraîné des dégâts et du bruit. » Ce bruit remonte parfois d'ailleurs jusqu'en Conseil d'Administration.
Ce niveau, dans les entreprises, n'entendaient parler d'informatique, jadis, que lorsque le DSI venait faire sa présentation annuelle ou semestrielle sur les projets Legacy, surtout ceux dépassant les budgets et les délais. Aujourd'hui, le Digital a rendu l'informatique « un peu plus sexy » et, du coup, pour Alain Bouillé, « on peut aussi parler de sécurité. Comme on le martèle, le Digital ne se fera pas sans sécurité. Mais il vaudrait mieux que le sujet n'arrive pas au Comité Exécutif via une attaque mais plutôt par des bonnes nouvelles. » Les entreprises conscientes d'avoir été attaquées sont évidemment plus sensibles. Le DSI parle plutôt budget et impact sur les plannings avec le RSSI. Le CDO a au moins l'avantage de parler d'impact sur les usages.

Pour une conception orientée sécurité dès l'origine

Mais le message du RSSI au CDO est clair pour Alain Bouillé : « ou bien le développement des démonstrateurs est fait proprement dès le départ, avec prise en compte de la sécurité by design, ou bien la mise en production supposera un redéveloppement complet. » Le coût est alors évidemment différent. Mais le second choix reste possible, avec des avantages évidents de timing et d'agilité, pourvu qu'il soit assumé ! Le digital a, de toutes façons, l'avantage d'être généralement une surcouche au SI. Une bêtise est donc aisée à isoler le cas échéant.
Il en est tout autrement avec des outils ayant accès au coeur du SI, notamment les terminaux mobiles. Les outils collaboratifs ou autres en SaaS, le cloud d'une manière générale, posent aussi des soucis de base : les données sont par définition en dehors de l'entreprise. Il ne peut plus être question de sécurité périmétrique pour ces parties du SI. « Les frontières de l'entreprise ont totalement explosé et bien malin serait aujourd'hui celui qui serait capable de dire où sont exactement ses données et comment précisément elles sont traitées » a soupiré Alain Bouillé. Mais il a voulu tordre le cou à une idée reçue : « la sécurité n'est pas nécessairement au rendez-vous dans le cloud. Il est faux de dire, si vous êtes une grosse entreprise (pas si vous être une petite PME), que chez Monsieur Microsoft, Monsieur Salesforce ou Monsieur Google, la sécurité serait meilleure que chez vous. » D'autant que les mails contenant des données sensibles sortent désormais de l'entreprise avant d'éventuellement y retourner pour un échange entre bureaux.

PublicitéLe cloud n'est pas la panacée de la sécurité

Ces outils mutualisent en effet la sécurité entre ses clients avec un effet d'alignement, peut-être pas sur le bas, mais au mieux sur un niveau médian. Quand on a des exigences très fortes de sécurité, soit il faudra renoncer à recourir au cloud, soit il faudra acheter des solutions de sécurité à rajouter, avec un coût associé. « Par exemple, si vous voulez un anti-spam sur Office 365, vous n'aurez jamais l'efficacité de l'outil que vous pouviez personnaliser en interne et vous devrez en ajouter un à celui fourni en standard... garanti contractuellement (en petites lignes) uniquement pour la langue anglaise ! » a cité Alain Bouillé. Le CESIN a donc réalisé un vademecum de recommandations et de précautions à prendre pour le cloud. Alain Bouillé a plaisanté : « le cloud, c'est comme le mariage. Le mariage, c'est résoudre à deux des problèmes que l'on n'avait pas seul. Le cloud implique lui aussi de résoudre des problèmes que l'on n'avait pas avant. »
Mais insister ainsi sur tous les problèmes du digital, du cloud, bref de tout ce qui est à la mode n'est-il pas transformer le RSSI en « Monsieur Non » ? « On n'est plus dans cette position » a voulu rassurer Alain Bouillé. Mais le shadow-IT, qui entraîne par définition des fuites de données, est de fait davantage une préoccupation du RSSI que du DSI. Ce qui est dommage. Car aujourd'hui le SI Legacy reste le socle, le digital-cloud officiel vient par-dessus et il faut ajouter le shadow cloud. Quand on mène un recensement des services cloud inconnus utilisés via des solutions dédiées, on arrive souvent à près d'un millier dans une entreprise d'une certaine taille, parfois plus de 1500. Le patrimoine immatériel de l'entreprise se retrouve ainsi dispersé aux quatre vents.

Et le GDPR...

De plus, actuellement, le RSSI se voit confronté au GDPR. « Même si je frôle l'overdose » a soupiré Alain Bouillé, se plaignant de recevoir quotidiennement quantité de messages sur le sujet, surtout des propositions commerciales de solutions techniques (aucune solution technique n'étant une solution magique à la question de la conformité GDPR) ou de cabinets de conseil inconnus. Mais le rôle exact du RSSI au sujet du GDPR est variable et dépend notamment de la répartition des tâches et de l'entente entre RSSI et CIL/DPO. Mais il reste exact que la difficulté principale du GDPR relève de la sécurité. Alain Bouillé a confirmé que « il faut que le RSSI et le CIL/DPO se parlent, et se parlent intelligemment, même si ce n'est pas le cas dans toutes les entreprises. Le RSSI doit en effet assurer la sécurité de toutes les données, même celles qui ne sont pas personnelles. Or, si on écoute certains CIL, il ne faudrait s'occuper que des données personnelles... »
La démarche doit donc être équilibrée. Alain Bouillé a surtout regretté qu'une telle réglementation ait été nécessaire : « quand une réglementation de ce genre arrive, c'est que quelque chose a été raté avant, dans nos approches et systèmes de protection. » En mai 2018, il faudra donc être conforme... même si rien ne se passera dans les jours qui suivront l'échéance. Pour Alain Bouillé, le chantier GDPR est une évidence. Mais il ne doit pas tout monopoliser.

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article