- Speaker #0
Le RSSI doit-il être consulté ? Non, le RSSI doit être intégré.
- Speaker #1
Le vrai sujet, c'est est-ce que le RSSI a accès au COMEX, faire passer les bons messages en collaboration avec le DSI.
- Speaker #2
Je pense que chacun a un prix. Demain, on propose à quelqu'un autour de cette table 50 millions d'euros pour donner un accès privilégié. Peut-être qu'on sera amené à se poser la question.
- Speaker #3
La sécurité arrive et il bloque tout. Parce que l'IT a pensé qu'on pouvait aller dans le cloud. La sécurité, non, ce n'est pas possible.
- Speaker #4
Il y a beaucoup de RSSI qui n'arrivent pas à faire le shift entre eux. Je suis IT versus qu'est-ce que ça amène vraiment au business ?
- Speaker #5
Donc si le fait d'intégrer le RSSI, c'est un prétexte pour les équipes informatiques, en disant « on s'en fiche, le type va régler les problèmes en fin de chaîne » , ça ne marche pas.
- Speaker #6
Bonjour à tous et bienvenue à notre nouvelle émission Risques Intel Média, aujourd'hui en partenariat avec Ivanti. On va parler de la thématique suivante, RSSI versus DSI, la grande confrontation ou la grande collaboration. Vous avez dû d'ailleurs pour plusieurs voir qu'on a eu deux communications cette fois-ci pour cette émission. Vous avez été nombreux à commenter, à nous envoyer des messages, justement parce que vous souhaitez échanger avec nous, mais également échanger avec les différents experts qui sont avec nous aujourd'hui. Et d'ailleurs, je vais leur donner la parole pour qu'ils puissent se présenter et je vais commencer par Luc Sabo.
- Speaker #3
Merci Yasmine de me laisser en premier lieu la présentation de moi-même. Je suis le directeur France d'Ivanti. Je travaille dans cette société depuis plus de 15 ans, autour d'expériences cumulées dans la production informatique pour accompagner nos clients. Ivanti, c'est une société internationale, leader dans un certain nombre de domaines, 4 en référence, la gestion des terminaux sécurisés, un terminal, un poste de travail, un équipement de mobilité, des actifs en termes d'IoT. Un autre pilier sur lequel on est reconnu, la gestion des services IT, tout ce qui accompagne la production informatique en termes de run, pour pouvoir gérer le changement, l'évolution, la transformation du SI, les ticketing, les incidents, les demandes. Un troisième pilier pour présenter la gestion de la sécurité autour des correctifs applicatifs et un dernier sur les accès aux réseaux d'entreprise. On est les premiers à avoir créé une plateforme qui réconcilie les DSI et les RSSI. L'idée derrière cette plateforme, c'est d'apporter par l'intelligence artificielle la transformation, l'hyper-automatisation, de manière à adresser mieux l'expérience de l'utilisateur, car au final, celle-ci est importante pour le développement business de l'entreprise. Voilà pour la présentation d'Iventi.
- Speaker #6
Vincent Champin.
- Speaker #5
Bonjour, Vincent Champin, je suis au comité exécutif du groupe Framatome. Framatome, c'est un leader mondial des composants nucléaires et des services nucléaires, mais aussi des solutions digitales et cybersécurité. Et au comité exécutif de Framatome, je m'occupe de trois sujets, le développement de nos solutions digitales, la digitalisation, c'est-à-dire augmenter la performance de l'entreprise avec du digital, et l'informatique et la cybersécurité dirigée par Julien.
- Speaker #6
Merci. Cédric Boisan ?
- Speaker #2
Bonjour à tous. Ravi de reparticiper à une émission avec toi, Yasmine, ça va faire quatre ans depuis la dernière. Pour ceux qui avaient... Je n'ai pas eu l'occasion de la regarder, donc je suis Cédric Voisin. Moi, je vais être le schizophrène de la table ronde, je pense, parce que j'occupe aujourd'hui deux fonctions chez Doctolib. D'un côté, j'ai cette casquette de RSSI, de l'autre, cette casquette de DSI. Une autre dont on parlera peut-être, qui est la production de toutes les plateformes qu'on livre à nos équipes. Mais voilà, j'espère pouvoir amener un œil un peu différent.
- Speaker #6
Benoît Moreau.
- Speaker #0
Bonjour à tous, je suis directeur cyber de Ariane Group depuis maintenant 3 mois. Auparavant, j'étais dans un autre industriel de la défense. Donc on a une continuité dans des gros enjeux de besoins en sécurité et en même temps des gros enjeux d'accompagnement des nouveaux usages et de la perf associée à la digitalisation et donc deux univers qui se rencontrent et qui doivent vivre ensemble.
- Speaker #6
Merci. Julien Dreyano ?
- Speaker #1
Bonjour, je suis Andrano, le RSSI du groupe Framatome, avec Vincent Champagne ici présent, qui est en charge de la protection du groupe. Vincent a présenté nos activités dans le nucléaire.
- Speaker #6
Et Fatima Jouba.
- Speaker #4
Et du coup, Fatima, je suis RSSI du groupe Accor, le groupe hôtelier qui a environ 5500 hôtels, environ 40 marques et un environnement assez complexe.
- Speaker #6
Merci pour ces présentations et puis merci surtout d'être avec nous aujourd'hui. Je vais commencer forcément par de l'actualité récente et je vais parler de ce qui s'est passé avec Free. Je pense que vous ne l'avez pas manqué, personne ne l'a manqué. Donc pour rappeler, Free a été piraté en octobre et le pirate a accédé notamment via l'OpenVPN d'un salarié avant de s'infiltrer dans l'ESI. Donc la réponse de Free est assez étonnante puisqu'ils ont fait le choix, à la suite de cette fuite de données, de supprimer le télétravail pour les collaborateurs. La première question est de savoir un peu si pour vous, c'est une décision qui vous semble cohérente. Est-ce que c'était la faute du VPN, des télétravailleurs, du protocole de sécurité ? Et puis surtout, j'aimerais avoir votre avis, car il me semble que justement, la mise en place de choses comme l'OpenVPN fait travailler autant l'ADSI que les RSSI. Voilà, je vous laisse la parole.
- Speaker #5
Je pense que quand on a une crise, la question qu'il faut se poser, c'est quelles sont les causes racines ? En général, dans une crise cyber, des causes rasines, il y en a plusieurs. Il y a des vulnérabilités techniques ou dans les processus. Il va y avoir un attaquant qui va chercher à s'emparer de secrets ou faire des dommages. Et puis, il va y avoir aussi la réaction de l'entreprise. C'est vrai qu'on regarde Free. Probablement que le télétravail a introduit des faiblesses dans les processus, mais on voit qu'il y a d'autres sujets à voir. Il se trouve que... On est presque tous concernés, puisque toutes les personnes qui à un moment ont eu une offre chez Free ont eu leur nom et leur IBAN qui ont été fuités. La première réaction qui était de mentionner uniquement les données nominatives et de ne pas indiquer qu'il y avait un IBAN, ça n'a rien à voir avec le télétravail. Je pense que resserrer les processus, c'est une bonne idée. Centrer sur celui entre les mains duquel le problème explose, ça peut être un peu limité comme approche.
- Speaker #1
Je vais rebondir. Sûrement que Benoît, à ma gauche, aura une autre position avec les activités fortement défenses vis-à-vis du télétravail. Mais si on se rappelle, pour Free, déjà, je crois, à priori, c'est une menace de l'intérieur. Ce n'est pas que lié au télétravail. Donc ça, c'est la vraie menace de l'intérieur. C'est comment on la gère, c'est un premier point. Et si on revient en 2020, quand on a eu le Covid, certaines grandes organisations ont tous activé massivement le télétravail parce qu'on n'avait pas non plus le choix. Enfin, on a ouvert les VPN. Et en 2020, pour certains grands groupes, il n'y a pas eu une augmentation d'attaque sur les entrées. Les KPI des SOC à l'époque, pas pour tous, on ne va pas faire une généralité, mais dans certains grands groupes sur lesquels on a pu le constater, le télétravail n'a pas généré plus d'attaques ou plus de fuites de données à ce moment-là. Mais par contre, on l'a activé effectivement pour un vrai besoin, un instant T. Et dans le cas de Free, c'est une menace de l'intérieur, le vrai sujet. Donc la root cause, comme le précisait Vincent, c'est la vraie analyse qu'on doit faire. Je suis désolé,
- Speaker #0
mais je ne vais pas te contredire. Alors, est-ce que Free a raison de couper le télétravail ? Oui, complètement. Juste dans la façon dont il était implémenté. Oui. Voilà, s'il y a une vulnérabilité, il faut le couper. Est-ce qu'elle a réellement raison d'arrêter le télétravail ? Parce que l'entreprise a fait l'analyse du risque un peu global pour son entreprise, à savoir les conséquences RH, les capacités à recruter, la fidélisation. Et voilà. Donc, je pense que c'est une analyse de risque instantanée qui a été faite sur une menace.
- Speaker #1
Sur une réaction.
- Speaker #0
soit de la réaction, peut-être trop à chaud, et qu'il va falloir la contextualiser, comme tu le dis, dans quelque chose d'un peu plus global dans les usages actuels.
- Speaker #3
Peut-être que c'est une opportunité aussi, un peu comme d'autres acteurs ou compagnies utilisent ce besoin de ramener les collaborateurs au bureau de manière à réduire leur masse salariale. Donc c'est peut-être utiliser cette situation.
- Speaker #6
Effectivement, j'en ai entendu parler, j'ai vu pas mal d'articles qui posaient cette question, de savoir ce qui est réellement... Parce que Free a utilisé cette opportunité, donc cette attaque. pour arrêter le télétravail. Mais il y a beaucoup d'entreprises qui sont aujourd'hui en train de revenir sur le télétravail en mettant en avant soit un manque de productivité, soit une augmentation de problématiques de sécurité. Amazon en fait partie puisqu'à partir de janvier, ils demandent à tous les collaborateurs de revenir sur site. Ce qui est intéressant avec Free, c'est qu'ils demandent à tous les collaborateurs qui ne sont pas développeurs. Donc les développeurs restent à distance. Ce qui pose aussi la question de savoir effectivement est-ce qu'il y a une volonté de baisser la masse salariale puisqu'au final, le business de Amazon passe quand même par l'ensemble de leur market. place, donc par leurs développeurs. Ça pose vraiment la question. J'avais vu une statistique qui disait que 87% des collaborateurs aujourd'hui seraient prêts à changer d'employeur si on leur interdisait le télétravail, pour dire à quel point c'est rentré dans nos habitudes.
- Speaker #0
Faire du dégraissage en complexifiant l'environnement de travail de la personne, en général, les premiers que tu perds, c'est les bons qui savent retrouver ailleurs. Tu gardes ceux qui te perdent.
- Speaker #3
C'est les talents qu'on perd.
- Speaker #2
Je ne sais pas s'il faut l'aborder comme ça, cette question. On la pose un peu de manière biaisée. Il y a une partie sur laquelle je suis d'accord, la menace interne, c'est une question d'éthique. Et je pense que chacun a un prix. Demain, on propose à quelqu'un autour de cette table 50 millions d'euros pour donner un accès privilégié. Peut-être qu'on sera amené à se poser la question. Cette question de l'éthique, il faut la traiter à un moment. Si on ne sait pas la traiter... Il y a des moyens technologiques de la traiter, et enlever le télétravail ou enlever le VPN, ce n'est pas une bonne solution. Dans tous les cas, vous serez toujours vulnérable à cette problématique de « à quel prix on va vous acheter ? » . Ça, c'est un premier truc, je pense.
- Speaker #5
Et plus largement, il y a aussi des sujets d'entreprise étendue. C'est-à-dire que si on supprime le télétravail, on supprime l'externalisation de ces femmes de ménage, on supprime l'externalisation de ces centres d'appel, si on ne le fait pas, on va avoir des gens qui travaillent pour l'entreprise, qui ont accès à des systèmes et qui sont à l'extérieur.
- Speaker #4
Et au-delà de ça, on n'arrêtera jamais l'accès distant aujourd'hui, même avant le Covid, après le fait que ça se soit déployé généralement. On a toujours eu des accès distants pour une certaine population, des administrateurs. La question c'est, aujourd'hui on a beaucoup de technologies qui ont des failles sur la partie VPN. Et aujourd'hui c'est une réalité, le CISA en janvier dernier a demandé expressément de retirer certaines technologies liées au VPN. Aujourd'hui c'est comment, dans une entreprise, on considère le risque lié. aux technologies qu'on utilise par rapport au VPN. Le reste, c'est vraiment sociétal. On ne pourra pas revenir sur du télétravail massivement comme on l'a fait. Il y a des enjeux RH, clairement, mais derrière, comme tu l'as dit, les bons partiront. Et sur la partie technologie, on a vraiment du mal à embaucher des gens compétents et retirer cet avantage ou pas avantage, enfin vraiment quelque chose de basique maintenant, ça va complexifier. Ça va complexifier les IT et la tech.
- Speaker #6
Surtout, je trouve, pour la nouvelle génération qui arrive sur le marché. La semaine dernière, on avait fait une émission un peu particulière, parce qu'habituellement, ce sont des experts qui sont autour de la table. Et là, on avait invité des jeunes, des jeunes qui étaient en études, plutôt jeunes, on était à 19, 20 ans. Et j'avais posé la question à l'un de ses étudiants en lui demandant est-ce que lorsqu'il arriverait sur le marché du travail, pour lui, le télétravail, c'était une obligation. Et en fait, il avait l'air très étonné, même que je pose la question. C'est-à-dire qu'ils ne concevaient pas finalement qu'il puisse y avoir des métiers dans lesquels on n'a pas de télétravail, c'est tellement ancré chez eux. Donc comme tu le dis, je pense qu'en termes de recrutement, ça va être compliqué si on se retrouve à l'enlever.
- Speaker #1
Ça dépend un peu des métiers. On est quand même très industriel, on a un temps métal qui est certain. Donc on a des machines, les machines ne tournent pas toutes seules. Oui, c'est sûr que oui. Je passe de col bleu. Eux, pendant le Covid, ils étaient présents dans les usines et on a ralenti toutes les chaînes de prod pour continuer à les maintenir, pas l'éteindre la chaîne de prod. C'est long à rallumer, mais on est obligé d'avoir une présence. Le télétravail, c'est une problématique très IT, pour les développeurs, pour certains métiers.
- Speaker #5
Il n'y a pas que les développeurs. Ce qu'il faut aussi penser, c'est que les personnes handicapées ou qui sont malades, ou qui ont des difficultés ou des contraintes particulières, avec le télétravail, on les a sauvées et on les a intégrées d'une façon complètement homogène. J'ai été opéré d'une hernie discale il y a deux mois. Il y a un mois pendant lequel j'étais bloqué, avant le télétravail. J'aurais été exclu de l'entreprise si j'avais durablement un problème de dos. J'étais exclu du marché du travail. Donc attention, parce que, comme tu le dis, on part d'une anecdote, on se dit tiens, pouf, on a une solution. On se dit voilà, ils ont pris une décision, c'est fort, c'est le télétravail. Ça n'a pas forcément réglé le problème et ça va en créer des tas d'autres.
- Speaker #0
C'est finalement dans la proche globale. C'est l'inversion des tendances dans le sens où, et si on se dit maintenant le télétravail c'est mandatoire. RSSI et DSI, comment on fait ensemble pour l'offrir ? C'est ce que tu disais, Cédric. Comment on fait pour l'offrir dans les bonnes conditions de sécurité ?
- Speaker #4
Et on l'a fait pendant le Covid.
- Speaker #0
Alors, on l'a fait rapidement.
- Speaker #2
Je ne dirais pas que ça a été bien fait pour toutes les entreprises.
- Speaker #0
Tout le monde n'a pas... Mais il n'y a pas eu beaucoup plus non plus d'impact. Bon, après, il y a eu d'autres sujets. Mais voilà, ça, c'est typiquement le moment où on se dit où le RSSI, il n'a pas le droit de dire non. Si l'entreprise dit que le télétravail devient un enjeu du groupe, et c'est là où RSSI et DSI, main dans la main, on se dit « Ok, c'est mandatoire, comment on fait pour l'offrir dans des conditions acceptables, à la fois de sécurité et puis aussi pour l'employé ? » Il n'y a pas 73 000 de trucs à rentrer, que ça ne tombe pas en panne, qu'il ne soit pas obligé de revenir tous les matins quand même.
- Speaker #3
Si le sujet n'est pas le télétravail, pour ce débat que l'on a, il est important de considérer qu'il n'est pas full en termes de journée. Pour les employeurs, il est partiel ce télétravail, une manière à garder un lien, parce que les plus jeunes qui rentrent aujourd'hui sur le marché ont besoin de garder le lien social qu'on a connu quand on était plus jeunes et dont on savait le profit que ça a de pouvoir créer avec nos collègues cette ambiance, cette idée de ce pourquoi on va au travail aussi, qui n'est pas que l'intérêt à l'entreprise, qui est aussi celui du lien social.
- Speaker #0
En plus, technologiquement, finalement, le télétravail, ce n'est pas une vraie question. Ce n'est pas une nouveauté, ça a d'ailleurs apporté beaucoup de choses. Pourquoi ? Parce que finalement, le télétravail, c'est juste des gens qui vont travailler à distance du bureau de chez eux. Mais aujourd'hui, notre population qui travaillait toujours loin du bureau, c'était tous nos VIP. tous nos cadres qui sont en mobilité, qui avaient besoin d'accéder. Alors, on bricolait, ils n'étaient pas forcément hyper sécurisés. Donc, finalement, traiter la sécurité pour tous a aussi pas mal permis de resécuriser la mobilité de tous nos gens qui se déplacent.
- Speaker #6
Alors,
- Speaker #1
avant, Vincent ? Je vais appuyer sur Benoît, il a raison. Le risque, il n'a pas changé, en fait. On avait déjà des populations de nomades, surtout les commerciaux qui se déployaient à travers le monde. Elle a toujours existé, cette population. Elle a toujours été accrochée à l'entreprise à distance. Et le risque, il n'a pas évolué en tant que tel, il s'est toujours matérialisé de la même façon. C'est le nombre d'utilisateurs de la solution qui a implosé suite au Covid et à cette généralisation du télétravail. Mais le risque, il a toujours été le même en tant que tel.
- Speaker #6
Alors avant de passer à la prochaine question, je vous donne un petit peu la température à distance. Forcément, vous avez des deux bords. Vous avez typiquement Boris et Elisée qui disent que le télétravail est maintenant tellement ancré dans notre société que plus personne ne s'ignorerait pour du flou présentiel. Elisée qui dit, c'est très très clair, dans le télétravail, je n'entre pas dans une entreprise. mais il y a elle qui quand même remet un point important, pas partout dans l'écosystème de défense, bien souvent le télétravail n'est pas autorisé. Alors on va passer à la seconde question, alors celle-ci c'est dans un processus de transformation digitale impulsé dans l'entreprise, à quel moment doit intervenir le RSSI ? Est-ce que c'est au début ? Est-ce que c'est au milieu ? Est-ce que c'est à la fin ? Est-ce que le RSSI doit-il être consulté dans tous les grands choix technologiques ? Je partage à l'écran notamment une citation de Mike Tower, qui est CISO de Takeda Pharmaceutical, qui dit « Il y a encore trop d'organisations où une mentalité surannée s'est ancrée. » et presque impossible à éradiquer. Trop d'exemples où les départements informatiques demeurent focalisés sur des choses comme les services d'assistance gérés du code VETUST. Qu'est-ce que vous en pensez ?
- Speaker #2
La citation est très juste. Une réponse très courte à ta question, ça serait dans toute la chaîne d'un processus de transformation digitale. Parce que si on le fait qu'au début et qu'après la qualité se délite, on ne répondra pas aux enjeux de sécurité. Si on le fait qu'à la fin, on risque d'avoir oublié des éléments dès le début qu'on aurait dû... intégrés dans le coût et la charge des équipes, et au milieu, évidemment, pour s'assurer de prendre la température de manière régulière. C'est très facile à dire comme ça. Ce n'est pas si compliqué que ça à mettre en œuvre. La grosse problématique, je pense, auxquelles la majorité des structures sont confrontées, c'est une problématique de culture. Et c'est là où on va commencer à avoir un achoppement entre l'ADSI qui a un enjeu de temps, de respect de budget, et de livraison de quelque chose qui est qualitatif, qui répond à un besoin, à un métier. et la sécurité qui est censée être le sparring partner de la DSI pour s'assurer que dans le cadre de ce processus, on va livrer quelque chose qui répond à des enjeux de qualité, sécurité. La problématique, c'est qu'en règle générale, et là c'est là où je vais être schizophrène, la sécurité a un discours qui est très mal compris de la DSI et la DSI laisse à penser à la sécurité qui sont absolument inutiles. Et là on commence à rentrer dans des discussions qui deviennent assez complexes où le récessif va dire mais... Moi j'existe, il faut que je fasse quelque chose, laissez-moi du temps, laissez-moi vous montrer que ce que vous faites c'est potentiellement dangereux. Ce à quoi le DSI serait tenté de rétorquer, oui, mais à chaque fois que vous intervenez, ça ralentit notre projet, ça engendre des surcoûts, et on explose les délais, le business n'est pas content, etc. Et en fait, il faut créer soit un couple qui fonctionne bien, couple au sens individu du terme, donc deux personnes qui arrivent à partager les mêmes enjeux et avoir une bonne compréhension des sujets, ou alors faire en sorte que DSI et sécurité soient parties prenantes au même poids de chaque projet. C'est-à-dire qu'aujourd'hui, on a des organisations qui sont très, pour la plupart, silotées. La DSI va délivrer des projets, essayer de délivrer de la valeur, gérer un budget. La sécurité doit gérer les risques, si on le résume assez simplement. Et en fait, en faisant ça... C'est comme si vous disiez à quelqu'un, voilà, je te donne une voiture, tu la conduis, on accepte que tu n'aies pas le permis, mais à côté de toi, de temps en temps, il y a un moniteur d'auto-école qui va venir et dire, là, tu as gréé un stop, ce n'est pas bien, là, attention au feu rouge, et ça, ça ne marche pas. Ça ne peut pas être du copilotage, parce que ce n'est pas possible dans les faits, mais il faut que ça soit quelque chose où il y ait une vraie cohabitation. Nous, on a eu une approche qui est un peu spécifique chez Doctolib, où en fait, pour que ça fonctionne pour nous, On détache des gens de la sécurité directement dans les équipes opérationnelles. C'est-à-dire qu'il y a pour chaque sujet ou chaque grand projet, un membre de mes équipes sécurité qui va travailler avec un groupe de travail DSI et il travaille vraiment sur le même projet. Il se parle dès le début, il crée les budgets, il crée les roadmaps, etc.
- Speaker #0
Je vais aller dans le sens de Cédric. Je vais juste rebondir sur un mot que tu as dit. C'est le RSSI doit-il être consulté ? Non ? Le RSSI doit être intégré, c'est ce que tu dis, doit faire partie. Alors après, sur tout le process, projet, pas forcément, mais tout en amont, on peut être aussi force de proposition sur comment on peut faire, sur l'imagination, et même en cyber, on peut innover. Je pense vraiment juste que, et c'est ce que tu dis, c'est que le lien DSI, RSSI et puis tous les autres métiers qui sont dans « mais qu'est-ce qu'on va faire demain ? » et qui, on parle d'un peu d'avenir, c'est là où on doit être intégré avant même.
- Speaker #3
Et nous, ça nous arrangerait, pardon, sur Ivanti et les vendeurs, c'est que quand on arrive dans un circuit d'évaluation technologique où seul l'IT nous accompagne à évaluer l'offre et qu'en fin de circuit pour décision… La sécurité arrive et bloque tout parce que l'IT a pensé qu'on pouvait aller dans le cloud et que la sécurité dit non, ce n'est pas possible. Il y a tout un nombre de critères à répondre et donc on repart quasiment de zéro dans le process. C'est chronophage pour le client, c'est chronophage pour le vendeur. C'est vrai que nous, on clame souvent à demander à ce que la sécurité vienne s'intégrer dans le process de construction et d'évaluation de la technologie et du projet.
- Speaker #5
En fait, la cybersécurité, c'est quoi ? C'est deux choses. Un, éviter d'avoir trop de vulnérabilité. gérer les vulnérabilités qu'on a. Pour éviter d'avoir trop de vulnérabilités, c'est là qu'on est sur les questions de projet, c'est un problème de qualité. C'est éviter qu'il y ait trop de défauts à la fin de la chaîne. Si je prends une métaphore industrielle, si vous faites des voitures, vous pouvez soit faire de la qualité en faisant n'importe quoi, puis à la fin, il y a un type qui retort les portes. Il y a une vidéo très amusante sur YouTube où on voit dans une vieille usine d'Allemagne de l'Est la façon dont ils faisaient. Il y a des types qui vont forcer les portes pour qu'elles entrent dans la voiture. Soit on fait du Secure by Design et on assure que la qualité soit l'affaire de tous. Donc ça c'est plutôt le modèle qui fonctionne, il n'y a pas d'autre modèle industriel pour faire de la qualité. Et pour ça, il faut que 1. le RSSI soit impliqué, mais ça ne suffit pas. Il faut aussi que ceux qui font le boulot aient une conscience de la qualité, considèrent que la qualité c'est leur problème et pas le rôle du RSSI. Donc si le fait d'intégrer le RSSI c'est... Un prétexte pour les équipes informatiques en disant « on s'en fiche, le type va régler les problèmes en fin de chaîne » , ça ne marche pas. Donc c'est non seulement la présence du RSSI, mais un esprit de cybersécurité qui est by design et dans l'ensemble de l'équipe de développement.
- Speaker #4
Et on tend de plus en plus vers ça, quand tu disais tout à l'heure qu'on ne fait pas partie du planning et sur la partie budgétaire on ne l'est pas. Aujourd'hui, c'est comment faire partie de l'équation et comment faire en sorte que les frictions diminuent ? Tu parlais tout à l'heure de déporter des gens. Il y a aussi dans certaines équipes des Security Champions, nativement dans des équipes. Et c'est comment on décentralise la cyber aujourd'hui dans les différentes équipes. Et c'est dangereux aujourd'hui de dire qu'on ne fait pas partie du plan parce qu'on arrive à la fin en disant la cyber est bloquante. Donc on revient sur comment se positionne le RSSI par rapport à tous ces projets-là qui sont structurants au final.
- Speaker #2
C'est là où je suis assez d'accord avec Vincent. Pour le coup, il y a un enjeu qui est culturel. C'est ça le gros enjeu, ce n'est pas d'intervenir au bon moment, c'est que tout le monde ait compris à quel point ne pas faire de sécurité mettrait à risque un business X ou Y.
- Speaker #1
C'est un peu la finalité en fait, donc ce n'est pas by design, dès le début on doit l'intégrer, en fait c'est une question de maturité en fait. Moins la sécurité est intégrée, moins il y a de la maturité cyber dans l'organisation, c'est un peu ça qui est dit. J'ai bien l'analogie sur les voitures. Et je rappelle qu'aujourd'hui, quand on achète une voiture, en fait, on achète, mais on ne négocie pas le prix de la voiture, sur son airbag, sa ceinture de sécurité, ses freins. Par défaut, c'est tout le package de la voiture, ça inclut. Et en fait, en termes cyber, c'est pareil aujourd'hui. Il serait par moments illusoire de ne plus mettre de sécurité sur les projets avant d'aller en prod, parce que de toute façon, si on ne le fait pas, dans la vraie vie, la prod, elle va tomber, et on va se faire attraper, pas par la police, mais par une attaque. Donc c'est by design, et c'est un business enabler. Il y a un côté darwiniste aujourd'hui, si on n'écoute plus la cyber. Enfin, c'est pas si on n'écoute plus, mais si on n'intègre pas, les projets auront des problèmes de performance, de qualité.
- Speaker #2
Si j'étais Provoke, je te dirais que si on faisait tous les choses bien, on n'aurait pas Apache et des logiciels. Donc il y a encore des gens qui livrent des voitures sans airbag et sans ceinture de sécurité.
- Speaker #6
Alors, à distance, ça a vraiment ouvert des conversations. Le public est vraiment d'accord sur ça, donc je vais vous lire juste quelques commentaires. Donc Didier qui dit « Je partage à 100% cette vision et c'est d'autant plus compliqué pour un SSI s'il n'y a pas cette communication. » Fabien qui dit que le RSSI doit être présent et consulté au début de tout, tout en majuscules, projet IT en relation avec la DSI. Et Yves qui rebondissait sur ce que vous disiez, d'où l'importance du security by design. Donc on a un public qui est plutôt convaincu. Jonathan qui pose la question, les DSI et RSSI ont-ils des parcours similaires s'ils étaient dans la même promo ? Est-ce qu'ils ont des parcours d'études qui se ressemblent ?
- Speaker #1
On est le même barceau d'emploi en fait. C'est pour ça qu'on travaille fortement avec la DSI. C'est le même bras armé à la fin. C'est la DSI, le bras armé. C'est le même berceau d'emploi. Et à la question, on n'a pas rebondi dessus, mais est-ce que le RSSI doit être consulté dans tous les choix technologiques ? Ce n'est pas la question. Est-ce qu'on est consulté ? C'est comment on va accompagner toutes les transformations et comment on va sécuriser, protéger toutes les transformations. Donc, ce n'est pas vis-à-vis du choix de la techno derrière, du projet. Mais c'est comment on va l'accompagner. Et dans la vie d'un projet, il y a toutes les phases de design, tous les jalons, dont à un moment la sécurité. On va aussi regarder à un moment les données GDPR ou pas. Est-ce qu'il y a de la donnée personnelle dans le projet ? S'il y a de la donnée personnelle, c'est comment on va la traiter, comment on va la sécuriser ? C'est comment on accompagne.
- Speaker #4
Comment simplifier le process ? Aujourd'hui, nous, on est en train de faire en sorte d'avoir un calculateur de risque pour dire que ton projet, s'il y a de la donnée personnelle, il est dans telle catégorie, donc tu dois plus ou moins mesurer tel risque et tel risque. Et comment on les accompagne ? Comment on est des facilitateurs de compréhension du risque pour dire OK, potentiellement, j'amène un risque. Donc, on ne peut pas traiter tous les projets de la même manière.
- Speaker #5
Mais pour rebondir sur la question, puis je pense qu'il y a des jeunes qui nous écoutent, alors ça nous concerne beaucoup parce qu'on recrute beaucoup, on cherche à recruter des femmes. Vraiment, en IT et en RSSI, il y a deux profils. RSSI, vous avez les profils... qui sont plutôt process, donc eux ils vont être plutôt sur l'humain, l'application de l'ISO, mais moins fort techniquement. Et dans les entreprises qui ne sont pas très technologiques, ça peut tout à fait faire le job. Et puis vous en avez qui sont plus connaisseurs de la technologie, de la technique. Et donc ceux-là, et dans les DSI c'est la même chose, il y a des DSI qui ont fait des écoles de commerce, qui n'ont pas de formation, qui n'ont jamais écrit une ligne de code de leur vie, et puis d'autres au contraire qui ont plutôt des profils d'ingénieurs. Les DSI ingénieurs et les RSSI techniques auront fait les mêmes études. Les RSSI plutôt process et les DSI plutôt grand architecte, eux, n'auront pas forcément fait les mêmes profils.
- Speaker #6
D'accord.
- Speaker #3
Vous fonctionnez, là j'entends, entre RSSI et DSI. Mais comment vous pilotez aussi la transformation du business au travers de la direction qui impose un schéma ou un chemin ? Comment vous y associez l'un et l'autre, la combinaison ? Là, on a l'avantage d'avoir un RSSI et un DSI. Comment vous allez... je dirais, au front pour expliquer que la transformation peut être compliquée sans mettre en place un certain nombre de règles et de moyens.
- Speaker #2
Moi, j'allais venir un peu là-dessus. Vas-y, je t'en prie.
- Speaker #5
Alors, premier sujet, dans les tendances de Gartner de 2000, il y a deux ans, il disait quelque chose de très important, c'était le CIO devient CEO. C'est-à-dire que le responsable des outils informatiques va être responsable de processus. Donc, le travail et le métier que tu évoques, en fait, c'est en amont du travail en commun avec la RSSI. C'est que de plus en plus, de toute façon, on va s'intégrer dans le processus. Et pour une raison simple, c'est que le logiciel mange le monde. C'est vrai chez Accor. La personne qui s'occupe des ventes chez Accor, il y a 20 ans, elle n'avait rien à connaître de l'informatique. Aujourd'hui, si elle ne connaît pas le digital, elle n'est pas à sa place. Et donc, il y a tout un travail qui consiste aussi pour la DSI à être plus dans le process métier qu'on était auparavant. Et ensuite, pour moi, la sécurité. Déjà, je pense qu'un DSI qui n'a pas une compréhension forte de ses sujets. Au moins dans les boîtes où il y a des risques sérieux, je pense que c'est un problème. Après, il y a deux choix d'organisation. Il y a des organisations dans lesquelles le RSSI est plutôt du côté protection, donc c'est des gens qui gênent la sécurité physique, qui sont en relation avec les autorités militaires ou de police. Et puis des organisations, c'est plutôt du côté DSI. Je laisserai Julien s'exprimer. Moi, je considère que pour régler des problèmes techniques, c'est quand même mieux d'être dans une équipe ensemble. Le risque, à ce moment-là, c'est d'être jugé parti. Donc là, il faut le faire avec des personnes qui restent suffisamment exigeantes. pour que même si on est dans la même équipe, on n'ait pas trop de complaisance qui s'installe, sinon au bout d'un moment on fait de la mauvaise sécurité.
- Speaker #6
Cette question de juger parti, je l'ai effectivement vue dans les commentaires, c'était l'un des retours qu'on a pu avoir. Julien, tu voulais rajouter quelque chose ou c'était Cédric ?
- Speaker #2
Moi je voulais rajouter un truc. Je suis assez d'accord avec la transformation du rôle de CIO. La problématique, et peut-être que je vais pas me faire des amis en disant ça, c'est que autant le CIO a pris ce pas-là, d'avoir une compréhension très fine du business, de savoir ce que l'outil informatique amène comme valeur et à quel point c'est vraiment nécessaire pour transformer le business model d'une boîte qui est assez bien établie. Beaucoup moins vrai sur les boîtes digitales natives, mais restons sur cet exemple que tu as pris. A l'opposé du spectre, on a les RSSI historiques, qui ont une compréhension absolument proche de zéro des enjeux business de la boîte. Et c'est là où, en règle générale, on va avoir des gros chocs de culture. J'ai volontairement épaissi le trait pour... que ça réagisse peut-être un peu sur les commentaires, c'est que les RSCI sont juste en train de commencer à faire cette transformation-là, de se dire que je pense qu'on n'est pas beaucoup, alors je me mets encore dans le côté RSCI, bien que j'ai les deux casquettes, on n'est pas beaucoup à avoir fait ce chemin-là, d'avoir une compréhension fine de ce que représentent les enjeux de sécurité pour continuer à avoir un business qui fonctionne et qui se développe. On n'aurait pas de boulot s'il n'y avait pas de boîte et qu'il n'y avait pas de business derrière. Donc à partir du moment où... Ce déclic-là, il est arrivé avec la transformation du rôle de CIO que décrivait Vincent et je pense celui qui est en train de s'opérer sur les RSSI ou les CISO ou les CSO, indépendamment de comment on les nomme.
- Speaker #0
ça va aller de mieux en mieux. C'est juste qu'on part d'assez loin pour le coup.
- Speaker #1
Je l'aurais un peu dit autrement, sur le côté RSSI historique. Déjà, on va rappeler le mot-clé, cybersécurité n'existait pas dans les années 2000. On parlait de SSI, donc c'était notre approche de la sécurité, c'est qu'on allait patcher les vulnérabilités. La SSI, c'est l'approche par la vulnérabilité, la cyber, c'est l'approche par la menace. La discipline est arrivée dans les années 2010. Évidemment, le métier de RSSI existait vaguement avant les années 2000, il a évolué et il s'est élargi. Donc, oui, il y a eu. Ce n'est pas qu'il y ait un choc des cultures, mais il y a des générations différentes. Il y avait une génération avant, il y a une génération qui arrive, et demain, il y aura une nouvelle génération, et le métier va s'étoffer. C'est une discipline, maintenant, le métier. C'était un des points sur lesquels on allait aborder, mais on se doit… Ce n'est pas que de l'IT, ce n'est pas que de la gestion des risques, de la cybersécurité. Moi, j'aime bien le NIST. J'en parle assez souvent, mais c'est quoi les six fonctions du NIST ? C'est l'identification, la protection, la détection, la résilience, la réponse à incidents et la gouvernance. Et le RSSI, il doit faire 360 degrés d'activité pour protéger un métier et un business. Ça, c'est vrai.
- Speaker #2
Mais il y a une question d'évolution du poste aussi. La notion de RSSI, de SISO, elle est arrivée en 1995, dans les années 2000. Mais au début, c'était très IT, c'était on protège la machine. La vulnérabilité. Voilà, la vulnérabilité, la machine, les assets IT. Et ensuite, là, depuis quelques temps, on change de paradigme en disant la cyber, c'est un risque business aussi. Et aujourd'hui, il y a beaucoup de RSSI qui n'arrivent pas à faire le shift entre... Je suis IT, je gère du matériel IT et je fais en sorte que la data slash les machines soient sécurisées, la partie très tech, versus qu'est-ce que ça amène vraiment au business. Et c'est là où la place ou le duo est parfois compliqué à se mettre en place.
- Speaker #3
Je suis complètement d'accord. Ça rejoint ce que tu disais, Vincent. Aujourd'hui, la cyber, c'est devenu un métier. un métier support finalement de l'ensemble des autres business de la boîte, un peu comme les RH, mais qui finalement a des besoins de projets, d'outils et qui coûtent cher. Et aujourd'hui, si on le met dans la DSI, finalement que ça tombe dans le budget de la DSI, que c'est transparent, c'est que la DSI coûte trop cher. La DSI, parfois, elle a du mal à défendre son budget cyber, puisque c'est elle qui défend le budget global de la DSI. Le fait de faire de la cyber un métier... avec son budget, avec son coût, c'est que l'arbitrage, il n'est plus au niveau du DSI, il est au niveau de l'EXCO, en disant, dans les projets métiers, on a une nouvelle appli RH, on a un nouveau... puis on a le budget cyber, vous, membres de l'EXCO, regardez les risques métiers, les enjeux, à quel niveau on le met par rapport aux autres métiers. Et c'est important d'en faire un métier pour qu'on arrive à avoir des arbitrages d'intention, parce que finalement, c'est le seul arbitrage qu'on peut attendre d'un EXCO, c'est ce qu'on investit ou pas dedans. Et aider le DSI aussi. finalement apporter ces enjeux, qui souvent aimeraient en faire plus, mais on lui dit non mais t'es trop cher, et là il doit faire des arbitrages tout seul, et on lui oblige à faire les projets métiers. Donc il faut le métier de la cyber qui soit clairement identifié, pour que les arbitrages ne soient rendus bas par les porteurs de décision.
- Speaker #4
Et Benoît, t'as raison, en 2025, ça sera 13,6% du budget qui est alloué au budget de l'IT, c'était en 2020 8,2%. Donc la proportion de la cybersécurité prend valeur, alors que les budgets sont assez…
- Speaker #1
Il sort 12,
- Speaker #0
13 ? Oui.
- Speaker #1
Le 3 août, il arrive.
- Speaker #5
Alors, justement,
- Speaker #1
comme on est en train de parler des budgets,
- Speaker #5
je vais avancer un petit peu, justement, comme on parle des budgets, parce que c'est une question que je comptais justement vous poser, donc je partage à l'écran certaines informations. Donc, en 2025, le budget de la cybersécurité doit être calculé comme un pourcentage du budget IT. Donc, c'est une question. Est-ce qu'il doit continuer à être calculé comme un pourcentage du budget IT ou est-ce qu'il faudrait avoir un budget peut-être à lui tout seul ? Je ne sais pas. D'autant plus qu'en fait, je pense que vous le savez bien, donc... On a des vrais impacts suite à des cyberattaques qui jouent. Donc là, je partageais justement à l'écran. Un, on voit quand même que les coûts liés à une cyberattaque sont quand même très, très importants pour les entreprises. Donc ça, c'est un rapport de IBM. D'autre part, sur une étude de Comparitech de 2024, on montre bien qu'il y a une baisse sur les marchés boursiers. Deux, en termes de réputation pour les entreprises. Et puis après, il y avait une petite information que je trouvais assez pertinente, c'est que les gens semblaient, en tout cas quand il y avait des fuites de données, plus choqués. beaucoup plus craintif quand ce sont des adresses mail que quand ce sont des numéros de sécurité sociale. Or, c'est beaucoup plus simple de faire fuiter des adresses mail, c'est la majorité de nos fuites de données, je pense, avant d'arriver à des choses comme des ibans, qu'on a pu voir avec Free. Donc, qu'est-ce que vous pensez de cette question du budget, puisqu'on en a parlé ? Est-ce qu'en 2025, on devrait maintenir le budget de la cyber dans le budget IT ?
- Speaker #6
Sur le budget, j'ai été financier dans le passé. Un bon budget, en fait, vous faites en sorte que, quel que soit le domaine, la valeur marginale de l'euro en plus est la même. Donc si vous avez un bon budget, une gouvernance budget efficace, c'est ce que vous faites. Et si vous êtes dans cette situation-là, peu importe où vous mettez l'enveloppe, c'est-à-dire que vous êtes très rigoureux. Si vous avez un budget qui est fait à une version plutôt où chacun a une enveloppe, chacun se débrouille, effectivement, on a un risque de sous-investir dans l'IT en disant que ça coûte cher, donc on bloque. Là, on va laisser filer d'autres dépenses. Et donc par rapport à ça, c'est toujours utile d'avoir des benchmarks. Alors le benchmark en pourcentage... du chiffre d'affaires pour l'IT, il n'a pas beaucoup de sens. Vous comparez une boîte qui fait beaucoup d'achats-reventes type Carrefour à une boîte qui a 100% de valeur ajoutée ou presque comme Framatome, c'est des ratios qui n'ont pas de sens. Le ratio qui a du sens, c'est le ratio de dépenses par utilisateur connecté. C'est celui-là qui vous permet de savoir, dans l'IT, si vous êtes au bon niveau. Et puis effectivement, par rapport à ça, avoir un pourcentage pour savoir si on est à peu près dans la bonne zone, c'est utile. Après, à 20 ou 30%, ensuite, la vraie question, c'est est-ce qu'on a de l'efficacité de la dépense ? et surtout en cybersécurité, où est-ce qu'il faut investir pour renforcer le maillon faible de la chaîne ? Et il y a beaucoup de cas où on surinvestit dans les applications technologiques et on sous-investit dans la culture. Je vais donner un exemple. Beaucoup d'entreprises industrielles, vous allez visiter avec le PDG une usine, il y a un type qui ne porte pas ses gants, il va se faire rappeler à l'ordre. Vous venez le lendemain, il n'a toujours pas ses gants, ça va être plus ferme. Vous revenez une troisième fois, il n'a toujours pas ses gants, il va se faire virer. Maintenant, imaginez une entreprise dans laquelle il y a un salarié qui, trois fois de suite, échoue au test de phishing. Qu'est-ce qui va lui arriver ? Dans une entreprise où on tolérerait une réponse faible au test de phishing, ce n'est pas forcément sur les solutions techniques qu'il faut mettre l'argent, c'est plutôt plus sur les comportements.
- Speaker #3
D'accord. On avait essayé de jouer l'exercice à l'époque où on faisait la PSSI de l'État, à une époque où je faisais partie d'un ministère. Et la première question, c'est finalement, c'est quoi le budget de la cyber ? Mais quoi dedans ? Est-ce qu'un routeur qui a des capacités de filtrage, c'est dans le budget de la cyber ou c'est dans le budget de l'IT ? Donc, juste la définition de qu'est-ce qu'on met dedans était un peu compliquée au début. Après, on était arrivé à une définition un peu simple, c'est que tout ce que tu peux retirer et que ton SI continue à fonctionner, c'est que c'est de la sécurité additionnelle. Voilà. Bon. Si tu enlèves tout et que ça marche, c'est de la sécurité. C'est comme quand on est électeur de fumée, tu l'enlèves, tu peux continuer à vivre. Après, on sait bien que tu as des phases de build et des phases de run. Donc, c'est un peu ça yoyote. Donc, cet indicateur, c'est une moyenne de moyenne de moyenne. Par contre, le budget à la fois financier et RH donne un indicateur sur ce que j'appelle la conformité capacitaire. On fait beaucoup de la conformité. réglementaire, technique, est-ce qu'à un instant donné vous avez bien tout à jour, vous avez bien les bons équipements et tu peux te faire aider par un prestat qui va venir tout mettre à jour. Si dans les trois années suivantes tu n'as pas les investissements pour le maintenir, c'est mort, tu vas redescendre très vite au niveau de sécurité. Et puis on ne sait jamais de quoi il fait demain. Nouvelle vulne, à zéro dette, tu ne sais pas sur quel bout de ton truc ça va toucher. Donc il est important en continu d'avoir les moyens de traiter l'inconnu. Et ça finalement une façon de l'évaluer c'est est-ce que j'ai les ressources, les gars qui sont un peu formés, le budget pour réagir. Souvent le budget cyber en début de l'année, en fin d'année, tu ne l'emploies pas exactement de la même façon parce que ce que tu disais, la menace elle a évolué. Mais donc, est-ce qu'on a les capacités de faire notre métier ?
- Speaker #1
Pour revenir sur le ratio entre le budget cyber et le budget de la DSI, il y a des abats, je ne sais pas, le 13%, je n'ai pas compris, mais on parle en général de 5-10%. Il y a un autre point de vue aussi qu'on pourrait voir, c'est qu'il faut mettre au regard peut-être le budget de la cyber par rapport à ce qu'on souhaite protéger. Est-ce que c'est le petit projet de la machine qui va contrôler une machine-outil ? La machine, ça va être un Windows qui ne coûte pas cher. La machine-outil, elle va coûter 50 millions d'euros. Donc, il y a aussi un moment où il faut peut-être mettre au regard les enjeux de la cyber vis-à-vis des enjeux métiers. C'est quoi notre patrimoine informationnel, notre patrimoine industriel à protéger ? Et là, ça change peut-être l'équipe. Je n'ai pas de bonne réponse. Je ne sais pas c'est quoi le ratio. Ce n'est peut-être pas qu'un ratio cyber-DSI, enfin Slash IT, mais c'est peut-être cyber vis-à-vis business, investissement matériel. C'est un point. Et à une analogie, il y a eu un débat il y a quelques mois sur... On avait des frégates françaises en mer Rouge, je croyais. Donc il y a des drones qui arrivaient près des frégates. Et le débat, c'est, on tirait des missiles, les frégates, pour se défendre des drones. Le missile coûtait très cher, le drone, pas cher. Et la position de l'armée française, c'est de dire, on ne garde pas ce déséquilibre-là, on garde la cible à protéger qui la frégate. Donc OK, le missile coûte cher par rapport au drone, pas cher, mais avant tout, c'est de la protection. Donc ce n'est peut-être pas qu'un enjeu, en fait, cyber-IT. mais c'est comment positionner la couverture du risque de l'entreprise vis-à-vis de la cyber.
- Speaker #2
Et tu as plusieurs risques. Tu as le risque stratégique de qu'est-ce qu'on fait sortir de la boîte comme payer de la boîte. Tu as aussi la partie opérationnelle. Est-ce que j'accepte le fait d'avoir un downtime de je ne sais pas combien de temps parce que mon service peut résister ? Tu as la partie réputationnelle, tu en as parlé tout à l'heure, mais tu as aussi le risque financier sur la partie régulation. Et tu as plein de... Tu as la CNIL, tu as... Moi, si je prends l'exemple d'un concurrent qui a eu beaucoup de data qui sont sorties de sa boîte, qui s'est retrouvé à avoir des fees énormes, des pénalités à droite à gauche, cet impact de pénalité est très gros pour une boîte. Donc cette partie-là, ce n'est pas juste « je vais perdre de l'information » , c'est « qu'est-ce que vaut l'information par rapport à d'autres régulations ? »
- Speaker #6
Il y a une autre question à poser, c'est la part des dépenses actives versus les dépenses passives. La cybersécurité, c'est de l'argent qu'on met pour régler des problèmes de qualité. Quelle est la part des moyens qu'on met pour régler des problèmes versus la part des moyens qu'on met pour éviter qu'ils se posent ? Quelle est la part de l'investissement qu'on fait dans le SecurePayDesign versus celle qu'on met pour régler des problèmes qu'on aurait mieux fait d'éviter ? Ça, c'est le bon indicateur.
- Speaker #0
Il n'y a pas que les indicateurs, je pense. Oui, il y a... Il y a un truc qu'on a tous tendance à oublier, et toi, avec ton passé de financier, tu sais très bien comment ça marche, c'est les provisions pour risque. Tu parlais tout à l'heure des sociétés qui se sont fait hacker. L'impact financier, pour elle, au-delà des pénalités financières réglementaires, il est nul. On peut en prendre quelques-unes. Free, je serais curieux de connaître les chiffres du nombre d'abonnés qui ont résidé leur contrat.
- Speaker #5
J'ai essayé de chercher, je n'ai pas trouvé.
- Speaker #0
Je pense que ce n'est pas public. SFR, pareil.
- Speaker #6
Je serais à Gobain quand même.
- Speaker #0
Je vous donne un autre exemple. Equifax, il y a quelques années, aux US, plus grosse boîte de credit scoring des États-Unis. Ils ont fait fuiter 300 millions de records. Ils font encore du credit scoring sur l'intégralité de la population US. Et ça ne pose de problème à personne. Donc en fait, aujourd'hui, au-delà de la provision pour risque que pourrait mettre une entreprise dans son budget, et on pourrait imaginer que le budget de la cybersécurité ne serait qu'une provision sur risque. Est-ce que c'est ce qu'il faut faire ? Je ne sais pas. Mais en revanche, l'impact derrière, il est quasiment nul. Je n'ai pas vu à date une société qui a mis la clé sous la porte parce qu'elle a eu un leak.
- Speaker #1
Il y a eu quelques sociétés en France,
- Speaker #0
par ailleurs. Qui a mis la clé sous la porte, vraiment.
- Speaker #1
Il y en a.
- Speaker #0
Là, il y en a quelques-unes qui ont pris un pet sur leur business. mais ça n'a pas fermé du jour au lendemain. Elles ont perdu le départ du marché.
- Speaker #1
Les PME ne se redressent pas. Saint-Gobain a perdu quelques centaines de millions. L'évaluation est dure.
- Speaker #0
Les PME ne mettent pas de budget sur la cyber. C'est pour ça que je dis que c'est assez important d'avoir cette vue-là aussi. Les grosses structures font des provisions sur risque ou un budget sécu pourrait être une provision sur un risque puisque c'est ça finalement. Les petites acceptent de prendre le risque et si ça pète, ça pète. Mais ce n'est pas grave. Les grosses boîtes ne peuvent pas faire ça.
- Speaker #3
Après, dans la gestion du risque, oui. Il y a un certain nombre de réglementations derrière. Mais tu as aussi les risques induits par, si tu attaques un service rendu à la population, de l'eau, de l'énergie, c'est aussi le risque qui ne va pas que être pour la boîte et son fonctionnement et ses finances. Ça va être possible si tu en...
- Speaker #0
Mais ça, c'est réglementé.
- Speaker #3
Alors,
- Speaker #5
nous on finit, et après on va faire justement la mi-temps.
- Speaker #3
C'est réglementé. On parlait de la conformité juste avant. La conformité, tu lui fais dire un peu ce que tu veux. L'appréciation du risque réel. Si tu protèges le SI qui est hypersensible, mais que tu ne protèges pas le fonctionnement de la boîte, sur du non réglementé, tu peux dire que si on perd cette fonction là, on va avoir du mal à assurer l'autre. Ça c'est pas réglementé.
- Speaker #0
Mais c'est l'approche étatique aujourd'hui,
- Speaker #3
on est d'accord. On est d'accord. Et donc finalement la conscience du risque, elle ne doit pas être que réglementaire. Il faut vraiment se dire, c'est ce que tu disais, l'impact sur le risque c'est mes finances, ma boîte, mes pénalités, mais les conséquences aussi pour les mairies qui se font taper, il n'y a pas d'enjeu financier. C'est pas réglementé. Par contre, ils perdent le cadastre des cimetières, ils ne savent plus enterrer les gens.
- Speaker #0
À quel point ça interdit les opérations d'une structure ?
- Speaker #1
Ça dépend des structures. Une structure digitale,
- Speaker #0
ça dépend, ça dépasse.
- Speaker #1
Non, ce n'est pas ce qu'on dit. Le risque, c'est que ça impacte différemment.
- Speaker #0
En fait, l'impact d'une problématique cyber, c'est toujours la même chose. Ça a un coût pour les structures qui ne l'ont pas prévu, vraiment. Ça a des enjeux sur les opérations, ça peut les disrupter complètement. Et ça peut amener à carrément arrêter le business. Ça, c'est vrai pour n'importe quelle entreprise. Vraiment. Et donc, si à chaque fois, on dit « ça dépend » , ça ne peut pas marcher. La résultante du risque, elle est identique quel que soit le business. Tu auras un... un coup, des problèmes sur tes opérations et potentiellement un arrêt complet de ton business. Et donc, une perte financière conséquente. Et c'est indépendant de l'industrie, vraiment.
- Speaker #3
C'est rigolo ce qu'il y a. Il y a ce sujet sur la BITD, sur le niveau de maturité cyber de la supply chain, des fournisseurs. Et en fait, il y a deux approches un peu différentes. Il y a nous, industriels, où on a besoin de nos fournisseurs, et on a un mono-fournisseur qui fournit un boulon, par exemple. Et on se dit, si lui ne nous fournit plus le boulon, nous, on ne peut plus produire, donc on a un impact chez nous. Donc, il faudrait qu'on augmente, il faudrait qu'il ne meure pas d'un incident cyber, ou alors, il faut qu'on en ait un deuxième qui ne nous fournit plus le boulon. Et c'est là où il y a deux grandes approches différentes, une approche un peu étatique qui dit, l'intégralité des fournisseurs doivent avoir un bon niveau cyber parce qu'il faut qu'ils survivent tous, mais ça veut dire qu'ils vont investir, donc le boulon va être plus cher pour nous. Il y a une approche plutôt plus égoïste qui veut dire, mais en fait, finalement, moi, ce qui m'intéresse, c'est d'avoir le boulon. Donc, ça rejoint ce que tu dis sur l'impact derrière pour chaque entreprise, même vis-à-vis des tiers. Nous, on peut gérer l'impact sur le tiers qui va avoir des conséquences chez nous.
- Speaker #5
Alors, pour ceux, justement, à distance, qui nous ont rejoints peut-être avec quelques minutes de retard, on vous a préparé les trois grands messages à retenir de cette première partie d'émission. Donc, le premier message, c'est... technologiquement, le télétravail n'est pas une nouveauté. Il y a toujours eu du travail à distance avec cadres en mobilité, par exemple. Le RSSI doit-il être consulté ? Non, il doit être intégré. De plus, la Security by Design doit être intégrée par tous les professionnels IT et cyber. Ce ne doit pas être que de l'inquiétude des RSSI. Et le troisième point, les RSSI sont parfois en retard par rapport aux DSI dans la compréhension fine des enjeux business de leur entreprise. De leur côté, les DSI conçoivent de plus en plus la cyber comme un risque. Voilà pour cette première partie. On va avancer, je rebondis notamment sur un commentaire qui a été fait dans le chat et qui correspond justement à une de mes questions. La personne disait « le RSSI, it's not the bad guy, not the good guy, it's the guy » . Donc, j'aimerais bien justement parler de cette image qu'on a du RSSI, parfois critiquée comme des freins en business. Est-ce que c'est justifié et comment changer ce stéréotype et encourager justement une meilleure collaboration entre la DSI et la RSSI ?
- Speaker #6
Le sujet est assez classique en fait, on peut l'avoir avec toutes les fonctions support. Le juriste, ça peut aussi être le good ou le bad guy, le financier, le good ou le bad guy. Donc, dans une fonction support comme ça qui peut bloquer, je pense qu'il y a différents... Un, il y a différents contextes, c'est-à-dire que dans une entreprise très financiarisée où les gens comprennent vraiment les métriques, c'est plus facile d'être financier que dans une entreprise où les gens savent dépenser, mais pas forcément tenir leur P&L. Et puis, il y a aussi une façon de faire son job, c'est-à-dire qu'effectivement, pour moi, et c'est ce que tu disais, le... L'objectif ultime de la cybersécurité, ce n'est pas de maximiser la dépense de cyber, ce n'est pas de réduire à zéro les vulnérabilités, c'est d'assurer que dans la cartographie des risques, la cybersécurité ne soit plus en rouge et que dans la chaîne des risques, le maillon faible ne soit plus du côté de l'informatique. Pour faire ça, il faut le faire d'une façon où on travaille avec les métiers. Après, la difficulté, c'est ce que j'évoquais tout à l'heure, c'est que le logiciel mange le monde. De plus en plus de choses sont digitales. Et la difficulté du RSSI, c'est de les confronter à des personnes qui sont responsables d'un métier, mais en fait qui ne comprennent pas une partie de leur métier, toute la partie qui est devenue digitale. Et beaucoup des confrontations, elles sont liées d'une incompréhension de la personne responsable du process, des contraintes ou du coup des contraintes qu'il devrait intégrer s'il comprenait parfaitement la façon dont fonctionne sa machine.
- Speaker #3
Pour faire évoluer les choses, c'est un, plus écouter. Enfin, les RSSI prennent le temps d'écouter les métiers, pour vraiment comprendre les enjeux, c'est ce que tu disais. Et je pense aussi que dans tous les modules de formation RSSI, ou d'ailleurs métier support, il va y avoir un module de communication. Il y a un devoir d'expliciter ce que c'est que notre métier, les enjeux, les risques, les menaces, et que si on le fait, ce n'est pas juste pour embêter le monde, c'est parce qu'on a envie qu'ensemble, la boîte aille le plus loin possible, de façon sécurisée. Mais c'était ce volet d'expliciter. de communication. Il est hyper important. Et on peut parler du micro-sujet technique de la boîte, mais il faut parler aussi des enjeux, de la menace en cours, des presque-incidents. Tous les RSSI qui ont failli mourir parce qu'il y a eu un presque-incident. Mais qui n'en parle pas. Il faut le dire au bord. Il faut dire, vous savez quoi, on n'est pas passé loin. On a eu de la chance, donc on a réussi à rattraper. Mais on n'est pas passé loin. On est exposé. Et tous ensemble, on doit le traiter. Il y a un sujet notamment vers les utilisateurs. On parlait des campagnes de phishing, tous y cliquent, enfin il y en a forcément au moins 10% qui y cliquent et tout ça, c'est pas grave, c'est des humains, ils sont faillibles. Par contre, ça permet de dire aux utilisateurs, nous sommes, nous, humains, faillibles, tous ensemble. Donc on met en place des mesures de sécurité, donc il ne faut pas les contourner. Ça augmente drastiquement l'acceptabilité des contraintes cyber, et c'est un outil de com. C'est pour embarquer tout le monde dans le sujet, ce qui n'est pas très drôle. La sécurité, c'est pas « qui est-ce que ça amuse à échanger sa pile de vol de son détecteur de fumée ? » Non, mais voilà, c'est pas très drôle, on comprend pourquoi on le fait, et on embarque les gens. Et on a vraiment gagné en cyber, quand finalement c'est les métiers qui viennent nous voir. Et qui exprime l'exigence avant même qu'on ait eu le temps de la dire.
- Speaker #4
Je pense que le partage de l'univers, le « vie ma vie » favorise en effet l'empathie et la confiance de ce pourquoi la sécurité essaye au quotidien, non pas de mettre des freins au business, mais de sécuriser ce business pour l'entreprise.
- Speaker #1
Ça c'est une question de posture, ça dépend de notre approche en termes de cyber. Est-ce qu'on est dogmatique ? On n'a plus que les référentiels, on a plutôt une posture défensive. Est-ce qu'on est pragmatique ? On accompagne le business ? Et la réponse, elle est simple. Il faut être pragmatique parce que, de toute façon, comme tu disais, si on met trop de sécurité, si on est tout le temps de façon dogmatique, les métiers vont nous contourner. Et on aura perdu parce que le métier va chercher à avancer, va chercher à faire du business et trouver une solution courte. Donc autant qu'on trouve la solution ensemble pour les accompagner, plutôt que de se faire contourner. Et dans la communication, tu as raison. Moi, j'aime bien considérer que dans un groupe de 20 000 salariés, ce qui est le cas de Fravato, que j'ai 20 000 capteurs. de sécurité. J'ai 20 000 humains qui peuvent nous remonter de l'information et j'ai 20 000 capteurs humains de renseignement. Et in fine, avec une belle communication, une belle sensibilisation, par capillarité, ça nous remonte instantanément.
- Speaker #5
Alors ma prochaine question est de savoir est-ce que le rapport DSI-RSSI est-il le même dans les entreprises cloud natives, digital natives ?
- Speaker #0
Je peux peut-être commencer sur celle-là, pour le coup. Avec lequel ? Avec le RSSI ? Avec les deux.
- Speaker #3
Ça peut apparaître des petits panneaux.
- Speaker #0
Je vais faire les deux en un. Ça va être assez simple comme ça. Ce ne sont absolument pas les mêmes approches parce que ce ne sont pas les mêmes enjeux. On en parlait avant le début de l'émission. Je prends l'exemple de Doctolib que je connais plutôt bien maintenant. On n'a pas de système on-premise. On n'a pas... d'intérêt à protéger fortement nos locaux. On ne développe pas d'application métier. Notre seul produit, c'est finalement ce qu'on met à disposition des praticiens et des patients. Donc notre seul enjeu en tant que structure, c'est ça. Ce que ça représente pour la DSI, c'est que la DSI chez Doctolib, c'est une fonction assez peu représentée dans les populations. C'est assez petit. Et son seul rôle, c'est d'amener du matériel et de préparer les connexions. pour le faire simplement, à tout le panel d'applicatifs SaaS qu'on a choisi. Et ça va se résumer à ça. Donc c'est assez facile. En revanche, pour les RSSI, c'est un petit peu plus complexe. Pas parce qu'on n'a pas grand-chose à gérer, mais parce que les risques sont complètement différents. Nous, on a beaucoup plus de risques composites que de risques très faciles à identifier. Si j'en reprends l'exemple de tout à l'heure, la supply chain, pour nous, c'est un risque énorme, notamment dans le cadre de notre activité de développement logiciel. On utilise énormément de librairies pour produire le code. Ça, c'est quelque chose dont il faut qu'on s'occupe. C'est lourd, c'est coûteux. Nos utilisateurs, enfin nos collaborateurs, ne le voient pas. Et puis, ils le vivent très bien. On a évidemment aussi des problématiques de phishing, on a pas mal de trucs. En revanche, on a eu une approche qui est assez différente des structures classiques, je dirais, qui n'ont pas la même empreinte cloud que nous. Alors nous, on est vraiment à l'opposé du spectre. 99,9999% de notre système d'information ne nous appartient pas. si on le dit comme ça. Là où, pour les boîtes du CAC, c'est plutôt 10% qui a été claudifié, 20% pour celles qui ont fait des très gros progrès. L'enjeu de la DSI là-dessus, il est assez simple, c'est d'accompagner bien le business sur le choix de ses solutions, de s'assurer que ça répond aux quelques exigences qu'on aura posées. Et après, l'enjeu de la sécurité, c'est de faire attention à ce que tout ça vive bien, ça cohabite bien, et que nos utilisateurs, en fait, on leur impose... On n'a pas de posture imposée à nos utilisateurs, ça peut paraître un peu délirant, ou ça va faire sauter les gens de leur fauteuil. Moi aujourd'hui je me fiche du comportement de mon utilisateur, parce qu'en fait on a essayé de construire quelque chose qui est idiot-proof. On est parti du principe qu'on avait que des idiots, ils ne comprendraient jamais rien à la sécurité ni aux technologies, et donc du coup on s'est dit, si on prend ça comme postulat, est-ce qu'on ne va pas construire quelque chose qui est un peu plus smart ? que si on essayait de tous leur expliquer à quel point le métier de Cédric sur sa casquette de RSSI, c'est un truc qui est complexe et il faut avoir une bonne compréhension de tous les enjeux technologiques, que la DSI fait ça, que les développeurs font ça. Et on est parti complètement à l'inverse. Alors évidemment, on fait de la sensibilisation, on n'a pas que des idiots, c'était juste pour illustrer un peu ce qu'on a pris comme approche. Mais on a essayé de retirer... Vous avez sûrement déjà vu cette image Bob de l'équation. Donc Bob c'est l'utilisateur qui va faire un truc qui est imprévu, il va utiliser une solution, vous ne savez même pas pourquoi il a pensé à faire ça, mais il a fait péter. Nous on a essayé de se protéger de Bob en premier, avant de regarder même ce qu'il y avait dehors.
- Speaker #3
Non je suis d'accord, ce que disaient les utilisateurs sont humains et faillibles, je ne vais pas dire que c'est tous des idiots.
- Speaker #0
Moi j'ai dit idiot de prouf.
- Speaker #3
Voilà, c'est idiot de prouf. Non mais dans le sens de dire, mais je suis d'accord, il faut, voilà, de toute façon l'utilisateur il est fragile, on ne pourra pas toujours faire reposer sur lui l'erreur humaine, et alors taper sur le pauvre mec qui a fait une erreur, ce n'est pas forcément toujours la bonne approche, c'est un truc humain. S'il l'a fait trois fois d'affilé, alors là on peut revenir le voir quand même, et dire, prendre un postulé de base, comme pour le télétravail, ok, l'utilisateur il est faillible, oui les RH vont cliquer sur des PDF, c'est leur boulot en même temps. Donc, dire... partir du postulat, l'utilisateur est faillible, qu'est-ce qu'on lui propose ?
- Speaker #6
Ce que tu disais, effectivement, sur l'erreur, l'erreur elle existe, effectivement, la cybersécurité elle est là pour corriger des erreurs et comme tu le disais, on a le droit à l'erreur, en revanche, ceux qui commencent à en faire un métier, il faut s'en méfier. Puisqu'on était sur les entreprises cloud native, il y avait vraiment pour moi trois différences entre une entreprise cloud native et une entreprise historique. Un, Dans l'industrie cloud-netic, il y aura un meilleur alignement sur la valeur et l'intérêt de l'IT comme cœur du moteur. Je pense que le PDG de Doctolib n'a aucun doute sur le fait que son système web doit marcher. Deuxième point, la part dans la structure de coût de l'IT sera beaucoup plus importante. Je ne sais pas quel pourcentage ça représente chez Doctolib, mais c'est très significatif. Et troisième point, puisque tu es de chez Ariane, il n'y a pas de legacy. Et le legacy... C'est régler les problèmes de ceux qui nous ont précédés. Personne n'a envie de gérer du legacy, mais il y a des entreprises dans lesquelles on est obligé de faire avec. Il y a une part significative de nos moyens qui sont liés au legacy. Et quand tu peux construire en neuf avec des choses qui ont des paradigmes de sécurité de 2020, ce n'est pas la même chose que quand tu dois maintenir des millions de lignes de code Fortran qui datent de...
- Speaker #3
En 40 ans, et tu as l'obligation contractuelle de le garder. C'est cool.
- Speaker #4
C'est vrai que nous, on voit dans les entreprises cloud natives qu'elles sont sujets à de l'automatisation, d'avoir une visibilité en temps réel de ce qui se passe, pouvoir manager et gérer de manière proactive tout dysfonctionnement. Parce que la sensibilité, elle est très forte du fait du cœur du métier.
- Speaker #5
Alors, on arrive à la fin de cette émission, donc j'ai une dernière question avant de mettre fin. En termes d'organigramme, est-ce que l'ORSSI doit-il toujours être attaché au DSI ? Cela dépend-il de la structure ou du secteur d'activité ? Quels sont les avantages ? et les désinconvénients de ce type de rattachement ?
- Speaker #3
J'ai déjà répondu au début sur le fait d'en faire un métier qui porte ces enjeux, qui peut aller faire arbitrer conjointement avec le DSI.
- Speaker #6
Il y a les deux options principales, c'est de mettre sous la sécurité-protection d'un côté et l'IT de l'autre. Je pense que ça va dépendre de la maturité technologique. Plus on a une maturité où on pense que les risques sont les risques de police, plus on va mettre les cybersécurités de ce côté-là. Plus on pense que c'est du côté de la technologie, plus on va le mettre de l'autre côté. Et l'autre point, c'est que si on veut faire du secure by design, c'est quand même mieux d'avoir une équipe intégrée, en vérifiant que dans cette équipe intégrée, on garde un niveau d'exigence important. Et ça, c'est normalement l'échange avec le COMEX et la cartographie des risques qui sert un peu de signal de rappel.
- Speaker #1
Pour aller dans cette direction, on l'a dit en début... Je considère le berceau de l'emploi du RSSI et côté IT. Le bras armé, c'est la DSI, celle qui est les opérateurs, tous les intervenants. Et nous, on est prescripteurs, on accompagne les projets. On a besoin de la DSI, on a besoin de cette collaboration. Le vrai sujet, c'est est-ce que le RSSI a accès au COMEX, pour faire passer les bons messages, en collaboration avec le DSIF. C'est ça le vrai sujet, c'est la collaboration qu'il faut viser. C'est globalement aussi un accès pour augmenter les points de décision, les risques. C'est ça l'approche. Après, savoir où est-ce qu'on est rattaché. A la rigueur, c'est de la cosmétique.
- Speaker #3
C'est beaucoup de l'humain derrière. Il faut un RSSI et un DSI qui s'aiment.
- Speaker #0
Oui, il n'y a pas que de l'humain. Si vraiment on prend la question du rattachement, il y a une appétence au risque de la structure. Je rejoins plutôt ton point. On pourrait imaginer qu'un DSI et un RSSI sont au convex tous les deux. En théorie, ils ne sont pas censés porter la même portion de risque. Moi, ça, ça dénote d'une certaine maturité des entreprises qui ont identifié que le risque technologique était très important pour elles d'un point de vue business. En France, c'est très rare. Moi, je suis parent au COMEX, en profil RFSI. C'est pas pour autant qu'on fait pas les trucs bien. Effectivement, tu as raison. À partir du moment où tu as un accès assez privilégié, plutôt aux boards qu'aux comex d'ailleurs, parce que c'est là où les grosses décisions structurantes sur l'avenir peuvent être prises, y compris sur des impacts comex, mais les deux sont très bien. Il y a d'autres structures, c'est assez vrai aux États-Unis pour le coup, où je pense que là-dessus, ils ont une belle avance sur nous. C'est quelque chose, peut-être qu'on verra en France, le RSSI, là-bas, il est pénalement responsable. Et donc, du coup, quand vous mettez pénalement responsable quelqu'un, au même titre qu'un représentant légal d'une structure, le poids dans la structure, il est tout de suite très différent.
- Speaker #1
Et puis, les gens se battent moins pour être son chef.
- Speaker #0
Exactement. Donc, peut-être que c'est ce vers quoi il faudrait qu'on aille. En tout cas, sur ce sujet-là vraiment particulier, il n'y a pas de bonne réponse. S'il y a une très bonne entente entre DSI et RSSI... et les autres fonctions business, ça devrait bien marcher. S'il y a une forte appétence au risque de la part du comité de direction et du board sur le risque cyber, probablement qu'on va avoir quelqu'un très proche du COMEX ou au COMEX. Et puis, si c'est juste plutôt un risque qui est porté, comme tu le disais, sur la partie juste technologique, auquel cas, c'est plutôt le CIO ou le DSI qu'on va représenter.
- Speaker #1
Parfait. Eh bien, écoutez, merci beaucoup pour vos réponses. On arrive à la fin de cette émission. Merci aux experts d'avoir répondu à mes questions. Merci également au public qui nous a suivis. Vous avez beaucoup commenté, interagi entre vous, également interagi avec nous. C'était l'émission Table ronde des experts de Risques Intermediats en partenariat avec Ivanti. Vous aurez le replay dès la semaine prochaine. C'était la dernière émission de 2024. Je vous retrouve en 2025, en janvier, pour reprendre nos émissions. Je vous souhaite une excellente après-midi. Au revoir.
- Speaker #0
Merci.
