DOSSIER FRAUDE INTERNE

RÔLE DU RSSI AUPRÈS DU CHEF D’ENTREPRISE ET DES COLLABORATEURS

Interview de Jean-François LOUAPRE Vice-président du Club des experts de la sécurité de l'information et du numérique et RSSI d’un grand groupe d'assurances.

 

Vous êtes Vice-président du Club des experts de la sécurité de l'information et du numérique (CESIN) et Responsable de la sécurité des systèmes d'information (RSSI) d’un grand groupe d'assurances. Avec l’évolution toujours plus grandissante des nouvelles technologies et la médiatisation croissante des faits de cybercriminalité, la place du RSSI en entreprise a-t-elle changé ?

Les missions du RSSI en entreprises ont beaucoup changé et ce changement s’accélère. C’est un métier assez jeune et nouveau. Vous savez les premiers RSSI ont été nommés en entreprises, il y a environ vingt-cinq ans, avec les premières ouvertures des systèmes d’informations. Cela ne fait donc pas si longtemps. Le RSSI a longtemps été perçu comme un expert technique et parfois comme « celui qui dit non ». Tout cela est complètement révolu depuis quelques années maintenant. La transformation numérique des entreprises, est aujourd’hui une réalité pour beaucoup d’entre elles. Nous voyons bien que le RSSI a un rôle de plus en plus stratégique au sein des entreprises. De plus en plus, il est le coordinateur de la démarche de sécurité de l’information de la société. Cela représente un périmètre extrêmement large d’actions qui nécessite d’être en contact avec des interlocuteurs très variés et, finalement, avec l’ensemble des collaborateurs de l’entreprise. Le RSSI a une démarche moins technique, qui est beaucoup plus proche d’une démarche de gestion de risques opérationnels. Il doit savoir communiquer, faire comprendre, vulgariser, accompagner. Aujourd’hui, notre expertise est davantage dans la capacité à convaincre et expliquer. Nous ne sommes plus du tout sur un discours purement technique même si effectivement une expérience ou une « culture » technique est nécessaire afin de maitriser tant les failles et les vulnérabilités que certaines des solutions qui permettent d’y faire face. Devant les nombreuses évolutions et transformations numériques, le RSSI a désormais un rôle d'influenceur, d’accompagnement et de facilitation au sein des entreprises. Sa posture vient en aide aux décideurs pour leur permettre de trouver le bon équilibre entre les apports de l’innovation et une juste maitrise des risques.

 

Pensez-vous qu’il soit toujours aussi difficile de sensibiliser les chefs d’entreprises et les collaborateurs à la sécurisation de l'information et des données aujourd’hui ?

En effet, cela a été difficile. Certains d’entre nous ont même parfois considéré que « sensibiliser à la sécurité des systèmes d’informations, c’est comme verser de l’eau dans le sable ». Aujourd’hui, c’est plus simple pour trois raisons principales. La première, est qu’il y a une vraie prise de conscience de nos dirigeants de la dépendance de leurs activités à leur système d’information ainsi que de la valeur de l'information qui y est traitée. Bien qu’il reste beaucoup à faire, il y a un changement important qui s’est opéré ces dernières années. La seconde raison est liée évidemment à la médiatisation, quoique parfois excessive, de certaines attaques cybercriminelles. De nombreux cas d’attaques réussies sont médiatisés dans la presse économique ou grand public. Ce n’est plus seulement l’apanage de la presse spécialisée. Ce sont d’ailleurs souvent des attaques de très grande ampleur qui peuvent mettre en question la pérennité même de l’entreprise. Je pense notamment à l’affaire de Sony qui a entrainé la démission de plusieurs dirigeants ou à celle d’Ashley Madison qui remet en cause la finalité même de l’entreprise. Enfin, ce qui facilite la communication et la sensibilisation auprès des chefs d’entreprises vis-à-vis des nombreuses évolutions numériques et la répétition de ce message de sécurité par les RSSI. Il faut aussi saluer les initiatives de communication d’associations professionnelles qui, à l’image de la récente campagne innovante du Cigref, ne sont pas nécessairement des associations d’experts de la sécurité.

 

Alors nous parlons beaucoup des dirigeants. Néanmoins, qu’en est-il des collaborateurs de l’entreprise ?

Concernant les collaborateurs, la sensibilisation est facilitée depuis plus longtemps. Ils se sentent concernés car ils sont la cible, à titre individuel, d’actions cybercriminelles visant au vol de données bancaires, au phishing, à l’usurpation d’identité. C’est le quotidien de tout internaute et aujourd’hui, nous le sommes tous. Il y a donc une forte attente de démystification et d’explication des bonnes pratiques de sécurité à appliquer dans la sphère personnelle. Une fois celles-ci acquises, elles constituent un excellent levier. Les bonnes pratiques à utiliser en entreprise pour protéger le patrimoine informationnel de celle-ci sont les mêmes bons réflexes que ceux à avoir à titre personnel

 

Par rapport à cela, comment le RSSI peut-il appréhender un éventuel acte frauduleux via les systèmes d’informations de la part d’un collaborateur de l’entreprise ? A-t-il un rôle de contrôle également ?

« Contrôler » les salariés est un terme un peu fort à mon sens. Tout à l’heure, je vous parlais de sensibilisation, elle vise avant tout à ce que les utilisateurs appliquent les bonnes pratiques de sécurité. Les dispositifs techniques de sécurité sont complètement inefficaces s’ils sont contournés par la pratique humaine. Néanmoins, les collaborateurs qui contournent les moyens de sécurité le font très rarement dans le seul objectif ne pas appliquer les règles et encore plus rarement dans l’objectif de fraude. La plupart du temps, les bonnes pratiques ne sont pas appliquées par méconnaissance des risques, par incompréhension des règles ou lorsque celles-ci pénalisent l’activité. Par rapport à cette problématique, une grande partie de la démarche de sensibilisation en entreprise consiste à expliquer quels sont les risques et en quoi les bonnes pratiques d’utilisation du système d’information permettent d’augmenter leur maitrise. Les démarches de sensibilisation permettent également d’établir un dialogue avec les utilisateurs et de mesurer l’impact des règles de sécurité sur leur activité. Si je reviens à votre question sur le contrôle, le RSSI n’est pas le « cyber flic » de l’entreprise. Néanmoins, la démarche de sécurité est un ensemble cohérent de gestion de risques, de balance entre risques - dispositifs techniques – contraintes et comportements des collaborateurs. Cela va de soi que des comportements de salariés en totale incohérence avec les bonnes pratiques engagées en interne peuvent mettre à mal la sécurité de l’entreprise. La sensibilisation n’aura aucune action sur une intention, au départ, malveillante. Dans ce cas la détection de celle-ci nécessitera bien évidemment un minimum de contrôle.

La culture d’entreprise joue énormément. Dans une majorité d’entreprises en France, nous sommes beaucoup plus orientés sur le préventif et la sensibilisation que sur le contrôle et le répressif. Je ne suis pas en train de vous dire que cela n’existe pas. Mais cela reste tout de même assez restreint. Cependant une évolution forte des démarches de sécurité vise à compléter l’approche préventive de capacités de détection au plus tôt d’incidents. Ces dispositifs, majoritairement techniques, facilitent l’identification, en amont d’incidents, ou de comportements à risques.

 

Et pourtant, toutes les entreprises ne peuvent pas s’offrir un RSSI afin de se protéger des menaces intérieures à la société…

C’est en effet un vrai défi qui est devant nous. Néanmoins, nous ne sommes plus seulement dans l’idée que le RSSI n’est présent que dans les grands groupes. Nous assistons actuellement à de nombreuses créations de postes de RSSI dans les grandes PME ou les entreprises intermédiaires. Ce n’est plus seulement l’apanage des grandes sociétés. Ceci étant, c'est un challenge pour les entreprises de plus petites tailles qui sont partagées entre ce besoin d’ouverture sur le monde extérieur et cette insuffisance en termes de compétences techniques et sécurité. Une première étape est la mise en place de bonnes pratiques très simples de sécurité, adaptées à la taille de l’entreprise. A ce titre, le guide élaboré en collaboration avec l’ANSSI et la CGPME semble une excellente initiative. Néanmoins, il reste beaucoup à faire, là encore, en matière de sensibilisation, de communication pour que les chefs de ces petites entreprises prennent conscience du risque tant interne qu’externe et acquièrent les réflexes sécuritaires.

 

Par rapport à tout cela, pouvez-vous me parler du rôle et missions du CESIN dont, vous êtes le Vice-président ?

Crée en 2012, le Club des experts de la sécurité de l'information et du numérique (CESIN) compte plus de 200 membres. Son objectif est de rassembler les professionnels de la sécurité qui se sentent souvent seuls dans leur entreprise ou leur organisation afin de leur donner l’occasion d’échanger avec leurs homologues, de partager leurs expériences et de participer à des groupes de travail. Il s'attache à promouvoir le rôle du RSSI, à réagir et à décrypter l'actualité auprès des médias; et à diffuser la culture de la sécurité, avec la volonté constante de privilégier une approche pragmatique et une logique d'anticipation. Nous organisons un Congrès annuel ouvert à tous les professionnels de la sécurité du numérique. C’est l'occasion d'un tour d'horizon complet des enjeux de la sécurité de l'information. Les travaux des groupes de travail y sont présentés et analysés. Nous laissons également la parole à des intervenants extérieurs pour alimenter le débat. En 2014, 130 participants ont été réunis autour de la thématique « Entre cyberguerre et sécurité numérique quel quotidien pour le RSSI en 2015 ? ». Cette année le sujet portait sur la réflexion de la « Sécurité des données dans un système d’information dispersé, l’exploit au quotidien ? ».