Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurité numérique : par où commencer ?

mai 2022 par Marc Jacob

Beaucoup d’organisations de taille moyenne s’interrogent sur la gestion de leur sécurité numérique. Quelles sont les priorités ? Comment faire l’analyse de risque ? Est ce que cela coûte très/trop cher ? Quels sont les impacts à court et moyen terme ? Cette table-ronde basée sur des retours d’expérience va permettre de mettre en avant les bonnes pratiques, de bousculer quelques idées reçues et de fournir aux DSI et aux RSSI des clés pour avancer rapidement. Autour de Florence Puybareau, Directrice des contenus et de la communication, DG Consultants, Jérôme Notin, Directeur Général du GIP ACYMA, Cybermalveillance.gouv, Jean-François Louapre, RSSI à temps partagé et Président d’Hackena, Sébastien Daix, IT Infrastructure Manager, Devialet et Stéphane Gomez, CISO, OpenClassRooms ont animé cette conférence organisée dans le cadre de Ready For IT.

Florence Puybareau a lancé la conférence en demandant aux intervenants qu’elle était selon eux la première démarche à faire en matière de cybersécurité dans les PME/ETI. Ainsi, Jean-François Louapre pour commencer à rappeler les fondamentaux de la sécurité numérique en particulier pour les PME et les ETI. A chaque démarrage d’une mission ces entreprises disent qu’elles ne font rien alors que les équipes IT ont déjà déployé des mesures des protections. En fait, le problème pour elle reste de mettre en place une roadmap en mettant des priorités. Pour lui, il faut contextualiser les mesures de l’ANSSI par rapport à la taille et aux risques de l’entreprise. Il y a souvent un déficit de la connaissance des mesures mises en place par les équipes techniques. En fait, les premières mesures qu’ils préconise concerne les reporting et les tableaux de bords. Le déficit concerne le plus souvent les capacités de détection qui est souvent comparé au SOC et fait un peu peur aux équipes. De ce fait, il faut démystifier la détection et démontrer qu’elles sont aisées à déployer.

Pour Jérôme Notin, il y a deux fondamentaux la technique et la sensibilisation. cybermalveillance.fr s’adresse aux petites entreprises, pour elles la nécessité de la prise en compte des risques est prééminente. Ainsi, cybermalveillance.fr édite des guides pédagogiques dont il est possible de reprendre les contenus sous licences libres avec les codes sources libre de droit et avec la possibilité de les personnaliser.

Il rappelle qu’il y a encore quatre ans, la CPME ne proposait que très peu de thèmes de conférences sur la cyber, aujourd’hui les dirigeants des PME sont très demandeurs de ce type de conférences. Le Président de la République est aussi très sensibilisé sur la lutte contre la cybercriminalité.

Stéphane Gomez, CISO d’OpenClassRooms, un site web de formation sur le numérique qui a grossi très vite pour atteindre aujourd’hui 550 personnes. Il y a neuf mois il n’y avait pas d’équipe sécurité. Avant son arrivée, il y avait des administrateurs qui connaissaient la sécurité et la pratiquaient dans leur domaine. Par contre, chez lui l’audit n’aurait pas apporté grand-chose. En revanche, il travaille dans le run ce qui lui a permis de mieux connaître les équipes techniques et de ce fait de renforcer au fil de l’eau la sécurité. Dans son cas, le besoin de sécurité s’est fait sentir du fait de la pression des investisseurs et des clients qui viennent auditer la société sur ce domaine. Sans compter le développement à l’international qui est devenu un prérequis. A son arrivée il a mené plusieurs actions :

- Il a dû construire sa crédibilité et son image de la sécurité qui soit bienveillante, fun...
- il a voulu adresser très vite traiter le phishing
- Il a traité les demandes des clients en matière de sécurité
- Enfin, il est partie sur la certification ISO et l’acquisition d’un outil de CASB.

Sébastien D’Aix, IT Infrastructure Manager chez Devialet a été recruter il y a quelques mois avec un budget. Cette entreprise spécialisée dans les enceintes acoustiques a 385 brevets déposés. Au départ il a dû faire une formation à la sécurité auprès de la DSI avec l’envoi d’une campagne de phishing très réussi. En effet, il obtenu de très nombreux mot de passe. De ce fait, un budget a été débloqué rapidement. Il a mis en place une solution de gestion des devices car tout le monde est administrateurs de ces devices. En troisième lieu un outil de sensibilisation a été acquis.

Dans les PME la prise de conscience de la nécessité de la cyber vient soit par la pression des clients soit suite à une attaque

Jean-François Louapre rebondi et explique qu’il y a une prise de conscience de dirigeants par contre, souvent dans les entreprises françaises on pense que l’on ne peut pas être la cible d’attaque. Les équipes IT mènent des actions de protections en déployant des outils souvent sans le dire au DSI, et parfois la prise de conscience vient de la nécessité d’avoir une certaine cohérence des action menées.

Jérôme Notin explique que les cas précédents se passent dans des entreprises où il y a une prise de conscience par contre dans la majorité des PME cette conscience n’est pas au rendez-vous sauf suite à une attaque.

Chez OpenClassRooms, Stéphane Gomez a tenu à faire un lien entre les commerciaux et la SSI grâce aux questionnaires envoyés par les clients qui contenaient des volets sécurité. Il a aussi travaillé avec le service juridique. Enfin, il a eu un incident de sécurité suite à une mauvaise configuration. La correction a pris une heure, mais il a fallu avertir les clients ce qui a eu un coup financier.

Pour Sébastien Daix il est important d’embarquer la communication et le marketing dans la stratégie de sécurité il est en train de mettre en place des outils avec des jeux amusants afin de motiver les collaborateurs.

En conclusion, Jean François Louapre considère que les entreprises doivent se tourner vers des experts en sécurité plutôt que vers leurs intégrateurs historiques. D’autant que des listes de prestataires labellisés ou référencer par cybermalveillance.fr et sur le site de l’ANSSI qui au final ne sont pas plus chers. Il rappelle que la sécurité n’est pas que de la technique mais aussi du bon sens. Il faut aussi que les entreprises doivent mette à jour leur infrastructure.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants