La sécurité autrement

Comment faire de la sécurité informatique autrement ? Avant de répondre, il faut se demander pourquoi faire de la sécurité informatique « autrement », et avant même cela, « pourquoi faire de la sécurité ».

Parole de DSI / Par Thomas Chejfec, Directeur des systèmes d’information 

Lors d’une rencontre avec des dirigeants, financiers et directeurs opérationnels, tous alumni d’une grande école de commerce, à qui je présentais, entre autres, les mécanismes qui régulent la sécurité informatique des entreprises, je me suis arrêté dans ma présentation, et je suis revenu aux fondamentaux.

Juste pour cerner avec eux la perception qu’ils ont de la sécurité informatique, les conséquences de la négligence de cet aspect, et leur appétence à intégrer ce risque comme l’un des risques fondamentaux de l’entreprise, bien au-delà des risques IT endogènes.

Très clairement, la maturité n’est pas encore là. Loin de là, même. À main levée, moins du tiers des auditeurs s’estimaient au courant, ou avaient intégré le risque dans leur entreprise. L’idée qui ressortait le plus souvent de leur discours était sans nul doute que « la foudre tombe souvent dans le champ du voisin »…

Donc, s’il faut donner du sens au « pourquoi » de la cyber-résilience, c’est assez simple. On parle de la survie pure et simple de l’entreprise.

Le travail fondamental que nous, DSI/DSIN, avons à réaliser, c’est de faire prendre conscience, sans être alarmiste et sans en faire un combat interne de spécialistes ; c’est de fédérer au maximum les directions opérationnelles et de support pour que nous soyons tous acteurs de cette résilience.

Plus facile à dire qu’à mettre en place. Prenez le problème par la peur, et vous n’en obtiendrez que le résultat qui en découle, à savoir des réactions complètement instinctives, dépourvues de sens.

Prenez-les par l’appropriation, et vous aurez une adhésion et une maturité extrêmement fortes de la part de vos homologues et du reste de l’entreprise.

Intéressez-les non pas aux conséquences techniques, mais aux conséquences business avant tout.

Pour l’exemple, si vous leur dites que votre serveur qui héberge le MES est hors-service ou crypto-locké, et que par conséquent il n’y a plus d’activités en usine, vous attaquez le problème par la peur de la défaillance technique.

L’orientation qui me semble la plus propice au dialogue et à la création de valeur est de ne pas parler techniquement du problème, mais de l’aborder sous l’angle PRA et PCA : « De quoi as-tu besoin pour fonctionner dans ton métier a minima ? »

En sollicitant, non pas le système de défense, mais le processus minimal de survie, on gagne une coloration très constructive, et on n’implique pas seulement le dépositaire de l’intégrité technique du serveur, mais aussi les BPO, les key users, les directeurs métier.
Là où la mise en sécurité se concentrait sur un élément technique, elle en vient à se déplacer sur le champ de la construction et de la mise en sécurité des processus avant tout.

Faire tout cela revient donc à donner du sens aux équipes métiers et à embarquer l’entreprise dans une protection globale et concertée, et pas seulement une protection axée sur la résilience des éléments techniques la composant.

Le cadre du sens étant posé, la seconde question va tourner autour du processus de défense. Le jeu du chat et de la souris pourrait très bien résumer le dilemme auquel nous sommes confrontés. Une typologie d’attaque apparaît, un système de défense apparaît. Si ce n’est plus rentable pour les assaillants, ceux-ci changent la typologie, ce qui entraîne un autre type de défense. Un jeu sans fin, si tant est qu’il s’agisse d’un jeu.

Il m’arrive souvent d’intervenir sur demande, dans des conférences, pour expliquer en quoi et comment mon entreprise se protège. Ce que je répète généralement, c’est que si nous avons tous les mêmes mécanismes de défense, cela sera totalement inefficace, car favorisera d’autant plus la compréhension de nos systèmes de résilience par un attaquant potentiel.

Le seul conseil que je donne est donc de faire « autrement », en trouvant des processus qui viennent prendre le contrepied des systèmes traditionnels.

J’ai en mémoire cette société qui m’avait contacté pour me vendre un Security Operation Center 24/7 sous-traité pouvant intervenir en une heure. La promesse était belle, et j’ai passé une demi-heure avec ce patron d’ESN pour lui expliquer que notre SOC interne était plus efficace puisqu’intervenant en moins de dix minutes – ce qui est la réalité. Sans rentrer dans les détails, je lui ai expliqué comment nous y étions arrivés : en pensant différemment.

J’aime beaucoup cette maxime : « Quand notre seul outil est un marteau, on voit tous les problèmes comme des clous ». J’invite donc mes homologues à se projeter sur leur stratégie de cyber-résilience en abordant ces deux points essentiels : donner du sens à la résilience, par et pour le métier, et avec l’IT en support ; et surtout trouver des moyens d’adopter des systèmes de protection complètement novateurs, et je ne parle pas ici des fondamentaux techniques de protection, mais bien des processus de protection.

À LIRE AUSSI :

Data / IA

IA : du Roman de la Rose à Terminator…

La rédaction

18 Sep

À LIRE AUSSI :

Gouvernance

Réussir la fusion de l’IT et du business

Laurent Delattre

27 Oct

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !