Gérer les risques
Aujourd'hui et demain

Risques industriels et environnementaux

Alain Bouillé (Cesin): « Il faut s'habituer à vivre avec une menace permanente »

Interview du président du Club des experts de la sécurité de l'information et du numérique (Cesin) qui réunit près de 200 responsables de la sécurité des systèmes d'information (RSSI) de grandes organisations.

Quel est le degré de conscience des entreprises concernant la menace de la mobilité numérique ?
A l’époque du Blackberry, la sécurité mobile était plus simple. Depuis le BYOD (Bring Your Own Device) et la diffusion de smartphones plus conviviaux et plus ouverts, tout se complique ! D’autant que, malgré des investissements non négligeables en solutions de sécurité mobile, il y a toujours un décalage entre le moment où l’on découvre une faille, la solution du constructeur (ou de l’éditeur) et le moment où l’entreprise la met en œuvre. On est en permanence dans une situation risquée, quel que soit le constructeur.
Que penser des smartphones qui chiffrent conversations et données ?

Ils concernent certains salariés qui travaillent dans des pays à risque, au ministère des Affaires étrangères ou dans la Défense nationale. A l’autre bout, l’interlocuteur doit également s’en équiper. Ces téléphones sont plus onéreux. Dans les grandes entreprises, les déploiements sont rarement supérieurs à quelques dizaines pour les membres du Comité exécutif et des personnels exposés.
Selon une étude récente de PwC, la menace interne des employés atteint 35%. Pourquoi ?
Dès lors que tout le monde ou presque détient un compte sur Facebook et Linked-in, le phénomène de la fuite d’information, notamment par inadvertance, s’amplifie. Ce risque est connu pour générer du Social Engineering, qui est connu pour générer des attaques au  »faux président ». Il s’agit, par exemple, d’un pirate qui se fait passer pour un dirigeant de l’entreprise afin de se faire payer une somme d’argent destinée à honorer la facture d’un fournisseur… mais sur un faux compte ! Par conséquent, les salariés deviennent effectivement des menaces plus grandes.
Qu’en est-il de la menace des consultants et prestataires externes qui, selon PwC, s’élève à 18% et celle des compétiteurs à 24% (+10% en un an) ?
Pour les prestataires, on est peut-être face à l’effet Snowden. Ce problème ne peut que se développer dans la mesure où les entreprises sous-traitent des pans entiers de leur système d’information (SI). Avec les outils actuels de surveillance des SI, on peut commencer à s’en prémunir. Pour les compétiteurs, il n’y a rien de nouveau. Le SI de l’entreprise n’est plus une forteresse. Outre les technologies, il reste surtout à sensibiliser les salariés aux bonnes pratiques.
Où en sont les entreprises dans leur stratégie de protection contre la cyber-criminalité ?
Toutes les grandes entreprises ont un RSSI (Responsable de la sécurité des systèmes d’information et un DSI (Directeur des systèmes d’information). Mais mettent-elles toujours les bons moyens en place ? Une choqse est sûre : dès qu’une entreprise se fait pirater de façon visible, elle augmente considérablement ses moyens de protection. Le vrai problème se situe dans le tissu des PME-PMI . Elles sont souvent détentrices de brevets et technologies innovantes mais, généralement, sous-éduquées en matière de sécurité informatique. Il y a alors un véritable pillage des savoirs et savoir-faire. Parfois, c’est à pleurer ! Pourtant, il est à noter que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) publie bon nombre de guides qu’elle met à la disposition de tous. Le Medef aussi. Le problème, c’est que les PME ne disposent pas de moyens suffisants pour s’offrir un RSSI afin de mettre tout cela en œuvre. Il faut trouver des moyens innovants pour leur venir en aide.

© Propos recueillis par Erick Haehnsen

Commentez

Participez à la discussion