Ce mercredi, 2 octobre, a été l’occasion pour le cru 2013 des Assises de la Sécurité des Systèmes d’information d’ouvrir leurs portes à Monaco. Tout le gotha de la profession a répondu présent. A l’instar de ces deux dernières années, sous la houlette de Gérard Rio fondateurs de cet événement Patrick Pailloux, directeur général de l’Anssi (Agence nationale de la sécurité des systèmes d’information) a donné le coup d’envoi de cette manifestation dont le premier jour a également été marqué par la publication de l’enquête du Cercle Européen de la Sécurité.
D’entrée de jeu, Patrick Pailloux a tenu à rappeler ses propos des deux années précédentes, des propos qui invitaient à revenir aux fondamentaux de la sécurité informatique et la nécessité d’appliquer « les règles d’hygiènes » s’imposant en la matière, replaçant ainsi au centre des attentions, le fameux précis éponyme édité par l’Anssi et traduit désormais en anglais. S’il s’est réjoui de la prise en compte de ce guide en environnement opérationnel, il a reconnu que « le chemin à parcourir est encore très long. Et l’hygiène doit être la priorité aujourd’hui ». Parmi les sujets phares qu’il a également abordés, figure le Bring Your Own Device (BYOD), thème qui avait déjà retenu son attention l’an dernier, quand il invitait les Responsable de sécurité des systèmes d’information à dire « non » à ces composants au sein de l’entreprise. Cela lui a valu un certain nombre de critiques et autres quolibets. Une mise au point s’imposait donc : « Ma position est claire, le BYOD ne saurait être accepté au sein de l’entreprise sans contrainte de sécurité imposée à son utilisateurs ». Sur le secteur financier, il a rappelé le travail de l’Anssi en synergie avec la Banque de France en vue de contribuer à la sécurité des transactions dans ce secteur. L’autre point d’orgue de cette première journée aura été la publication des résultats de l’enquête annuelle du Cercle Européen de la Sécurité. Comme chaque année, ce groupe de travail a mené une étude pilotée par Pierre-Luc Refalo, directeur des offres « cybersécurité » de Sogeti Consulting auprès d’un échantillon de 300 responsables SSI. Sa vocation : évaluer l’impact du développement du numérique et des nouveaux usages (Cloud, mobilité, Big Data, media sociaux, outils collaboratifs, etc.) sur leurs activités. Plusieurs grands enseignements ont été relevés de cette enquête. Et démontrent une réelle transformation de la fonction « SSI » au sein des entreprises. Son principal défi : la protection des données et des informations des entreprises.
Plus généralement, les résultats de ce travaillent montrent que selon les 2/3 des RSSI, « la transformation de leur fonction est déjà bien engagée. 38 % des répondants se considèrent en forte instabilité, tandis que 22% voient déjà leur fonction en reconstruction pour faire face à ces nouveaux enjeux. Au sein d’entreprises encore plus dépendantes au numérique, 56 % des RSSI remarquent une plus grande sensibilité de leur management. Les faits d’actualité et la pression réglementaire poussent les décideurs à exiger une meilleure visibilité sur les risques numériques. C’est pour répondre à cette attente, que leur fonction se renforce en termes de contrôle des risques (68 %), de conformité (65 %) et risques / risk management (61 %) ». Autre conclusion, pour 28 % des RSSI interrogés, « le développement des nouveaux usages, lié au partage ou au stockage de l’information (Cloud, BYOD, réseaux sociaux), a rendu l’information plus volatile. 26 % considèrent qu’elle est également de plus en plus partagée à l’intérieur et à l’extérieur de l’organisation. La notion même de périmètre du SI perd aujourd’hui tout son sens et les concepts « anciens » de propriété ou de classification en sont bouleversés. Alors que 61 % des
RSSI considèrent manquer de cadre et de méthode pour valoriser les actifs informationnels, 43 % d’entre eux pensent d’ailleurs qu’il serait nécessaire de redéfinir la notion même d’information sensible comme les mesures de protection associées. Enfin, pour 67 % des répondants, l’atteinte aux données personnelles est l’attaque majeure pouvant porter réellement atteinte à la réputation de leurs entreprises ». Selon les auteurs de cette enquête, le développement du numérique et des nouveaux usages a également conduit les entreprises à une plus forte externalisation des services informatiques « eux aussi soumis à la pression et aux exigences « sécurité » de leurs clients. Dans ce contexte, 57 % des RSSI interrogés estiment qu’un contrôle permanent et renforcé (voire automatisé et industrialisé dans des Centres Opérationnels de Sécurité – SOC) est à envisager et 74 % d’entre eux souhaitent redéfinir et rendre obligatoire contractuellement les engagements de sécurité pour leurs prestataires. Le RSSI « opérationnel » sera de plus en plus chez les prestataires du Numérique. »
Enfin, outre ces tendances, 25 % des RSSI interrogés considèrent que l’un des défis à relever est désormais l’accompagnement des métiers qui s’équipent et gèrent leur SI sans impliquer la DSI – en en acceptant ou non les risques. En guise de conclusion apportée par Pierre-Luc Réfalo, le Cercle constate que « le RSSI, quel qu’il soit, tend à devenir partie prenante d’une approche toujours plus globale et professionnalisée de type « gestion des risques et conformité ». Et d’ajouter : « Au-delà de la protection des données, il doit et devra intervenir au niveau de la protection des infrastructures critiques et de la confiance numérique pour ses métiers dans une optique toujours plus stratégique et économique et en travaillant à l’évolution des polices d’assurance sur les risques numériques. »
Cinq personnages correspondant aux profils de la vie courante
Pour coller aux réalités de ses marchés, Allianz France a développé cinq personnages-types : l’universel est représenté par une femme active ; le TNS, cible à fort potentialité où tous les assureurs vont, est campé par un ancien employé qui reprend l’affaire de son patron. Quant au représentant du grand public, il rentre dans l’agence à la suite de recherches effectuées sur le net pour une assurance automobile ; de son côté, la pro-TPE, autre cible porteuse, est un commerçant-traiteur rennais employant huit collaborateurs. Enfin, sur le terrain du patrimoine, le personnage retenu est celui d’un couple pacsé ayant des besoins en prévoyance et en retraite.
E. M
