Allier sécurité , digital & innovation : Retour sur notre atelier des assises de la sécurité 2016

Sécurité de l'information
Allier sécurité , digital & innovation : Retour sur notre atelier des assises de la sécurité 2016

Pour la 16ème édition des Assises de la Sécurité, Advens a choisi un thème d’actualité, qui fait s’arracher les cheveux de bon nombre d’organisations : le « digital ». Ce mot valise, associé à la transformation numérique des entreprises, est synonyme de plusieurs des problématiques du RSSI en ce moment.

  • Ouverture de l’entreprise et de ses systèmes d’information,
  • Effervescence de projets et soif d’innovation,
  • Nouvelles technologies (Big data, blockchain, IoT et autres buzzwords à la mode) et nouvelles approches, mâtinées d’agilité !

Le RSSI n’a donc pas le choix : il doit « digitaliser » ses plans. Faut-il laisser faire les autres et uber-iser la sécurité comme le propose les plateformes de Bug Bounty ? Doit-on céder aux sirènes de l’agilité et mettre en production ce qui hier encore était un PoC ? Comment faire du CDO un allié et être le garde-fou d’une innovation maitrisée et consciente des risques ?

Comprendre le digital pour le protéger

Pour trouver les clés, quoi de mieux que de demander à un spécialiste de cet univers numérique ? Advens a sollicité Justin Ziegler, l’un des co-fondateurs de PriceMinister, désormais CTO Europe du Groupe Rakuten. Nous avons travaillé avec lui pour comprendre ses enjeux et identifier les solutions les plus adaptées.

Ses multiples expériences nous ont donné les clés pour affiner notre programme de sécurité dédié à ce fameux « digital ». De prime abord, la sécurité est associée à la disponibilité, ou plutôt aux indisponibilités et aux incidents de production. C’est bien entendu l’un des fondamentaux. Mais il appartient au RSSI d’aller plus loin. La disponibilité peut être garantie par des mécanismes bien connus, mais elle doit être anticipée, grâce aux services de « cyber watch », à l’écoute des signaux faibles et à une implication permanente dans l’activité des métiers.

La démarche Sécurité doit aller plus loin. Plus question de se concentrer sur l’infrastructure quand celle-ci est une simple commodité, commandée à la demande chez le fournisseur de cloud habituel. Il faut suivre le vent de la donnée. Et pour Justin Ziegler, de nombreuses problématiques de sécurité concernant la protection de la donnée.

  • Ouvrir tout ou partie du SI aux clients ou aux partenaires ? Bien sûr, dès lors que la sécurité des applications est pensée en amont et intégrée aux développements.
  • Collecter d’importants flux de données sur les habitudes des internautes ? Facile, tant que le DPO a vérifié qu’on respecte les droits des personnes et qu’on a mis en ligne les mentions nécessaires.
  • Éviter les fuites d’information sensibles ou les bad buzz sur les réseaux sociaux ? Évident, après avoir sensibilité les « digital native » de façon plus efficace qu’en leur rappelant qu’il faut verrouiller la station de travail (… que l’entreprise n’a pas mis à leur disposition, car ils ne travaillent que sur un Mac).

Les solutions sont là, ce qui n’est pas nécessairement une surprise. Le problème réside, on le sait, dans la capacité à appliquer les bonnes pratiques, à retenir les leçons que la sécurité ne cesse de répéter. Il faut donc taper fort, taper haut, et sensibiliser le Comex !  La « cyber » doit être inscrit à l’agenda du comité de direction. Pour faciliter la sensibilisation, il faudra trouver les bons leviers et par exemple faire appel aux bons indicateurs.

Le SOC à la rescousse ? Oui, mais un SOC aligné sur les enjeux de cette transformation numérique. Chez PriceMinister, Justin avait multiplié les indicateurs techniques pour maitriser la plateforme et toute la chaine d’intervenants associés. Le plus efficace pour suivre la sécurité d’un site eCommerce reste de piloter le nombre de transactions. Le SOC doit se contextualiser aux métiers et doit s’alimenter d’une matière première issue des strates fonctionnelles et applicatives. Corréler le nombre d’avis Clients sur le dernier livre à la mode et les tentatives de phishing n’est pas un non-sens. C’est peut-être  la voie à suivre pour démontrer en haut lieu les apports de la Sécurité pour le business.

Vers une sécurité à valeur ajoutée

Quelle est alors la meilleure stratégie pour faire face à la vague du digital ? Toutes les clés sont là. Pour réussir les challenges d’une sécurité à valeur ajoutée, le RSSI doit travailler sur trois axes.

  • Devenir un sujet à l’agenda du comex
    & diffuser une culture digitale consciente des risques
  • Renouveler ses méthodes
    & se doter d’un catalogue de services agile et complet
  • Promouvoir la confiance
    & intégrer la sécurité et de la conformité a l’expérience « client »

Grâce aux échanges avec Justin Ziegler et de nombreux acteurs du digital, Advens a mis au point un programme dédié à cette problématique. Il s’articule autour de l’orchestration et de l’automatisation.

Orchestrer

Les demandes de tous les acteurs
La variété des problématiques
Les projets naissant jour après jour

 

Automatiser

Les travaux de la sécurité opérationnelle
Les contrôles et le traitement des incidents
La prise en compte de la sécurité par les non-initiés.

 

Ce programme s’appuie sur les quatre briques de basse de notre offre (lien vers page offre) et agit comme un facilitateur et un accélérateur pour maitriser les enjeux de sécurité associés à la transformation digitale.

Benjamin Leroux, Innovation & Marketing, Advens