Transformation digitale

Sécurité du SI : 4 points pour sécuriser votre transformation digitale

C’est sous les auspices de la sécurité du SI que s’est réalisée l’ouverture de la conférence Big Data Paris de 2017 (dont Visionary Marketing est partenaire médias). Le premier invité était en effet Guillaume Poupard, directeur général de l’ANSSI, l’agence nationale de la sécurité des systèmes d’information. Car la sécurité informatique n’est pas un gadget, et elle est parfois abordée avec légèreté par certains professionnels du Web, selon M. Poupard, alors que les menaces sont réelles. Un discours mesuré et incitatif dont je n’ai rien raté. 

La sécurité du SI ne devrait pas être le sujet de tensions entre vieux et nouveaux informaticiens

La sécurité du SI ne devrait pas être le sujet de tensions entre vieux et nouveaux informaticiens
La sécurité du SI avec le DG de L’ANSSI 

Il existe des menaces certaines et sérieuses sur la sécurité des SI car le monde est devenu entièrement digital (le sujet de notre prochain ouvrage qui sera lancé le 16/03/2017 « le digital expliqué à mon boss »). « Mais ce qui est surtout ce qui est intéressant est comment on fait pour éviter ces problèmes de sécurité et de confidentialité de l’information » nous a dit Guillaume Poupard dans son introduction.

« La transformation numérique ne se fera pas sans la sécurité » a-t-il poursuivi. Et de faire remarquer, à juste titre qu’on a trop souvent opposé les deux. La frontière se décale et « on rencontre trop d’informaticiens classiques en opposition aux acteurs de la transformation numérique » nous explique le directeur de l’ANSSI. Cela ne devrait pas être.

Une assistance concentrée et nombreuse pour cette nouvelle édition de ce superbe salon dont – cette année – nous sommes partenaires

Le paradoxe sécuritaire de la transformation digitale

C’est que selon lui, nous vivons dans un paradoxe de la sécurité des SI: « les menaces sont fortes mais jamais les parades n’ont pas été aussi simples » a expliqué Guillaume Poupard. Les menaces sont différentes et les responsables sont plus proches de la mafia que des Geeks fabricants de virus des anciens temps de l’IT. « Les criminels, la mafia et les trafiquants en tout genre vont vers le digital » nous a-t-il dit car « comme pour vous, c’est un nouvel eldorado des criminels ». On parle de milliards d’euros pour de simples groupes de malfaiteurs et il faudrait même imaginer que « ce sont de petites startups ». De quoi être inquiet assurément mais les parades existent, rien ne sert de paniquer, il faut rester rationnel.

D’une part, il faut voir la réalité : le DG de l’ANSSI nous met en garde. « Le ransomware est la partie visible de l’iceberg » poursuit-il. La réalité est double :

  1. D’une part, les attaques pour voler de l’information. Et là, c’est l’incompréhension sur le terrain : « il y a des patrons qui n’y croyaient pas et qui ont découvert leurs produits sur des salons avant même qu’ils soient sortis chez eux ». C’est un problème de sécurité nationale dans lequel l’ANSSI est impliqué ;
  2. D’autre part le sabotage : Ici le but n’est pas de voler mais de perturber les SI. Car le monde, en ces temps de transformation digitale, est devenu entièrement digital, tout est connecté et interconnecté, et il est possible de toucher tous les compartiments de la vie au travers des télécoms, de la gestion de l’eau, des infrastructures, des usines, etc. Tout est « piratable » car tout est connecté. Or, il faut éviter ces points de faiblesse de la sécurité des SI insiste Guillaume Poupard.

Des solutions bon marché pour la sécurité des SI

Mais des solutions existent et beaucoup sont bon marché. « C’est un problème de volonté et de compréhension des enjeux » nous explique M. Poupard. C’est pour cela que l’ANSSI a préparé des listes d’ OIV, les opérateurs d’importance vitale. Voici 4 points, selon le patron de l’ANSSI qui ne sont pas techniques mais plutôt « du ressort de la gouvernance » :

La sécurité des SI n’est pas une option de la transformation digitale, elle est incontournable

  1. Trop souvent les victimes d’attaques de sécurité des SI sont des membres du Comex qui découvrent le sujet au moment où c’est déjà trop tard. « Ces problèmes n’étaient pas jusqu’ici des questions de Comex mais il est impératif que ça le devienne » nous dit Guillaume Poupard car la gouvernance de l’entreprise doit se préoccuper de la sécurité des SI, c’est une question de « survie de l’entreprise » ;
  2. « L’humain : on a besoin d’expliquer aux gens quels sont les gestes élémentaires l’hygiène informatique ». Il y a des choses à faire et à ne pas faire. Cela doit être porté et la gouvernance doit montrer l’exemple ;
  3. Au delà il y a la technique : « le SI doit avoir été conçu pour résister et ce n’est pas toujours le cas » nous dit M. Poupard. Or, dans ce cas, que fait-on de l’existant ? La question est posée. Et il faut penser aussi bien en termes de sécurité que d’analyse de risques ;
  4. Enfin, il n’y a pas de risque 0. Il faut donc être capable de repérer les signaux faibles (intrusions préliminaires) qui sont des signes avant-coureurs d’attaques.

Pour mettre en œuvre cette doctrine pour la sécurité du SI dans cette transformation digitale

L’ANSSI a cet effet a mis en oeuvre des guides sur son site, du plus simple au plus expert. Mais aussi une démarche de qualification sur la base d’un référentiel public afin d’apporter de l’assurance. Ceci sur les prestataires d’audit qui sont des tiers de confiance par exemple mais aussi les prestataires de cloud. Enfin et surtout il y a la formation: « je suis fasciné de voir qu’il existe des informaticiens qui ne connaissent rien à la sécurité des SI » a-t-il insisté, en indiquant également que les métiers doivent aussi s’y mettre et que cette sensibilisation doit toucher tout le monde dans l’entreprise.

Yann Gourvennec
Follow me

Yann Gourvennec

Yann Gourvennec created visionarymarketing.com in 1996. He is a speaker and author of 6 books. In 2014 he went from intrapreneur to entrepreneur, when he created his digital marketing agency. ———————————————————— Yann Gourvennec a créé visionarymarketing.com en 1996. Il est conférencier et auteur de 6 livres. En 2014, il est passé d'intrapreneur à entrepreneur en créant son agence de marketing numérique. More »
Bouton retour en haut de la page