Retour sur le 3ème congrès du CESIN

Sécurité de l'information
Retour sur le 3ème congrès du CESIN

À l’occasion du troisième Congrès du CESIN, qui a réuni plus de 120 RSSI, Advens a pris part aux débats concernant la sécurité des données dans un système d’information dispersé. Notre intervention a porté sur le sujet de l’audit. Cette problématique reflète bien les enjeux auxquels doit désormais faire face la fonction Sécurité. Retour sur quelques points clés de notre plénière.

Rien n’a changé. Tout a changé.

Pour de nombreuses organisations, le SI est désormais éparpillé. Les facteurs d’éparpillement sont multiples, propres à chaque structure : disparités géographiques et culturelles, appropriation de l’IT par les métiers, budgets accordés à la DSI, etc.

Les évolutions récentes soulignent tout de même deux facteurs structurants, communs à de nombreuses entreprises ou structures publiques. Le premier concerne le « cloud ». D’une manière ou d’une autre, le recours à différents modes d’externalisation a rendu flou les frontières du SI. Cloud public, privé, hybride, infogérance, interne : l’informatique est partout, les responsabilités parfois nulle part.

Le second facteur est cette fameuse transformation numérique dont on parle tant. Ce poids accordé au « digital » donne lieu à une informatique à deux vitesses. Tout ce qui touche au numérique doit aller vite et bénéficie de budgets parfois conséquents. Quant au reste, ce bon vieux « legacy », il avance à son rythme, avec toutes les contraintes et lourdeurs qu’on peut lui trouver.

En matière d’audit, il faudrait alors composer avec :

  • des périmètres internes et des périmètres externes,
  • des composants dont on maitrise toute l’infrastructure et des éléments plus vaporeux cadrés par un contrat - quand il existe,
  • face à des métiers et des dirigeants, demandeurs d’innovation et d’agilité, mais parfois peu enclins à accepter les risques associés,
  • le tout dans un contexte d’explosion des attaques et des faits de cybercriminalité.

Aussi important soit le challenge associé, l’audit et le contrôle demeurent  des fondamentaux de la démarche de sécurité. Ce volet de la fonction Sécurité est rarement le plus simple à animer sur le terrain. Alors, cloud ou pas cloud, numérique ou non, que faut-il vraiment changer pour dépoussiérer nos plans d’audit ?

Retours d’expérience

Dans l’esprit du CESIN, Advens a proposé quelques retours d’expérience pour présenter les clés d’une approche d’audit renouvelée. Ces expériences ont porté sur différentes missions menées par nos consultants ou nos auditeurs pour accompagner RSSI et équipes Sécurité. Nous aurons l’occasion de présenter dans le détail certaines de ces missions. (voir présentation ci-dessous)

Le RSSI témoignant à nos côtés a exposé la démarche qu’il a instaurée à sa prise de poste pour accompagner le « digital » dans son entreprise. Une approche simple, basée sur quelques principes que chacun peut appliquer à son niveau.

1.

Se doter d’une boite à outils et méthodes d’audit : il faut couvrir tous les cas de figure, du bon vieux test d’intrusion à l’audit de code en passant par l’homologation de sécurité,

2.

Accompagner les métiers au travers d’un catalogue des services Sécurité, pour faciliter et accélérer la transformation numérique, en l’encadrant des garde-fous nécessaires, 

3.

Travailler de pair avec le service Achat pour intégrer la sécurité dès les contrats de services et lutter progressivement contre le shadow IT,

4.

Communiquer, partager et orchestrer une démarche Sécurité tournée vers l’entreprise, sans dogme ni excès d’autorité.

Ainsi l’audit devient progressivement un outil au service de la confiance que la fonction SSI peut apporter à l’entreprise et à ses projets. Le contrôle est de plus en plus intégré dans les projets et les initiatives de la DSI comme des équipes Métier. Le RSSI devient plus que jamais un tiers de confiance, pour favoriser la mise en œuvre de nouveaux services et faire du numérique un vecteur de développement et de valeur.

Chief Trust Officer ?

Comme l’a exprimé la CDO d’un grand groupe d’assurances français, témoignant devant les membres du CESIN, les nouvelles initiatives numériques à destination des clients doivent s’accompagner de confiance – confiance en la qualité des services, confiance en la protection des données confiées, confiance en l’entreprise elle-même.

Qui mieux que le RSSI pour travailler aux côtés du marketing et des métiers pour intégrer la confiance dans les nouveaux produits proposés aux clients et prospects ? Une démarche mesurée et agile d’audit et de contrôle peut alors devenir un véritable levier pour la fonction Sécurité. Nous poursuivrons ces réflexions au travers d’autres articles, partageant et illustrant quelques-uns des retours d’expérience présentés au congrès du CESIN.

 

Présenation Advens lors du congrès du cesin 2015

 

Benjamin Leroux, Innovation & Marketing, Advens