Management

Jean-Paul Mazoyer (Cigref) : « Il n'y a pas assez de DSI aux Assises de la Sécurité »

Lors d'une table ronde organisée aux Assises de la Sécurité, (de gauche à droite) Jean-Paul Mazoyer, président du cercle Cyber du Cigref, Christian Daviot, chargé de mission à l'ANSSI et Christophe Leray, DOSI de PMU, sont revenus sur l'investissement et

Lors des Assises de la Sécurité, le Cigref, en la personne du président de son cercle Cyber, Jean-Paul Mazoyer a participé à une table ronde. Avec Christian Daviot de l'ANSSI et Christophe Leray, DOSI du PMU, ils ont déploré le manque d'investissement des DSI mais ont évoqué quelques astuces pour les aider à s'en sortir.

Publicité« Je constate qu'il n'y a pas assez de DSI aux Assises de la Sécurité ». Pour ouvrir la table ronde qu'il animait le 2 octobre dans le cadre de cet évènement phare de la cybersécurité en France, Jean-Paul Mazoyer, président du cercle cyber du Cigref et DSI du Crédit Agricole, a dressé un constat alarmant. « Ils ne peuvent pas considérer le sujet de la sécurité comme un sujet purement technique qui est la seule responsabilité du RSSI », lance-t-il.
D'après lui, c'est le rôle du DSI de défendre les budgets alloués à la sécurité et de porter les projets auprès de la direction générale. Sur ces points, il est largement rejoint par Christian Daviot, chargé de mission à l'Agence Nationale pour la Sécurité des Système d'Information (ANSSI). « Le DSI est en première ligne, nous l'avons vu avec les affaires Target et Sony, ce sont les dirigeants qui sautent. C'est à lui de les protéger », déclare l'expert.
Il tempère toutefois ses propos en rappelant, non sans une grosse pointe d'ironie, qu'en France, personne ne saute officiellement. « Certains assurent qu'il n'y a pas d'attaque mais nous en avons pourtant subi 10 majeures ces dix dernières années, dont deux ont failli mettre Areva et Bercy par terre », poursuit Christian Daviot.

La sécurité concerne toutes les strates de l'entreprise

Pour lui, le DSI est d'autant plus impliqué dans ces problématiques de sécurité qu'elles touchent aujourd'hui toutes les strates de l'entreprise. « Il doit protéger ses dirigeants et leur patrimoine, ses clients ainsi que l'activité de l'entreprise. C'est clairement dans le cadre de sa mission d'assurer la continuité », rappelle Christian Daviot.
De l'autre côté de la table, Christophe Leray acquiesce. Le DOSI du PMU estime que la direction générale de l'entreprise s'attend à ce que ce soit la DSI qui s'occupe des problématique de sécurité. « En ce sens, nous avons d'ailleurs un gros travail d'éducation à réaliser auprès des dirigeants », argue Christophe Leray. Il raconte avoir mené au sein de son entreprise une vaste campagne de sensibilisation au phishing. « Nous avons décidé de lancer une fausse attaque pour voir si le message était passé. 22% des cadres ont ouvert la pièce jointe et 6% ont cliqué sur le lien et rentré leurs coordonnées sur le faux site que nous avions mis en place », déplore-t-il.

Éduquer les comités de direction

Christian Daviot ajoute de son côté qu'il faut apprendre aux comités de direction la gestion des crises. « Nous gérons des crises en permanence et nous apercevons à quel point certaines entreprises sont désarmées face à celles-ci », raconte-t-il. « Les dirigeants doivent prendre conscience des risques et ne plus faire n'importe quoi et ce à tous les niveaux et dans tous les secteurs. Lors de l'affaire Ashley Madison, nous avons quand même retrouvé six adresses en .gouv.fr », poursuit-il.
Il est rejoint par Jean-Paul Mazoyer qui déplore d'ailleurs que certains OIV (Opérateurs d'importance vitale) n'ont encore ni CERT (Computer Emergency Response Team) ni SOC (Security Operation Center). « C'est dramatique », déplore le DSI du Crédit Agricole. De son côté, Christophe Leray assure mener des simulations de crise au moins une fois par an avec le comité de direction.
« Au niveau des directions générales, le message commence à passer mais du côté des direction administrative et des actionnaires, nous sommes encore à la préhistoire », estime Christophe Leray. Il rappelle que eux aussi peuvent amener les ressources nécessaires à la mise en place de politiques solides de sécurité. Le DOSI du PMU ajoute : « La composante cyber n'est pas porteuse. Pour s'adresser à ces sphères là, il faut parler directement des impacts que cela peut avoir sur l'entreprise. Et là, ils peuvent comprendre l'urgence ».

PublicitéL'ANSSI s'en mêle

Afin de plus investir les DSI dans ces problématiques, l'ANSSI commence d'ailleurs à s'adresser directement à eux. « Historiquement, nous venons du service du chiffre donc les contacts ce n'étaient pas trop notre truc. Nous avons commencer à discuter avec les RSSI mais maintenant nous allons aller plus vers les DSI. C'est en tout cas la volonté de notre directeur général, Guillaume Poupard », explique Christian Daviot.
Une politique globale de sensibilisation devrait d'ailleurs être lancée cette année. Sous l'impulsion du Cigref et avec le concours de l'ANSSI, des spots télévisuels seront lancés dans les prochains mois pour sensibiliser les gens aux cyber-risques.