Secu
Cybersécurité et marketing : pour un dialogue sans risques
Par CESIN, publié le 13 février 2018
En résumant, le rôle de la direction marketing a pour objectif de traduire la volonté stratégique d’évolution de l’entreprise et donc, nécessite de connaître les clients mais aussi la concurrence et les marchés représentant des potentiels développements. Les innovations dans les solutions digitales sont nombreuses dans le domaine du marketing avec de nouvelles fonctionnalités liées aux Fintech et surtout la possibilité d’acquérir les usages et comportements des clients. Ces solutions s’appuient sur le cloud et de nombreuses bases de données sous forme de services (SaaS).
De fait, cela devient un vrai challenge pour la DSI que de répondre à ces demandes qui nécessitent d’ouvrir le système d’information vers le cloud public, adopter des nouvelles technologies et, toujours dans des délais qui sont très courts. Elle doit faire preuve d’agilité et de vitesse. En l’absence de ces deux qualités, la direction marketing va chercher une solution externe SaaS ; ce qui s’apparentera à du Shadow IT.
L’évaluation des risques comme entrée en matière
Au sein du CESIN (club des experts de la sécurité de l’information et du numérique), un éditeur a mis à notre disposition une solution pour analyser les flux vers l’extérieur : sites Internet et autres solutions de stockage des données. Les résultats globalement mettent en évidence le recours important au shadow IT dans les entreprises et donc les risques de voir des données gérées hors du contrôle de la DSI dont c’est initialement la responsabilité.
L’apport du CISO est alors très important car il va étudier les risques de ces nouvelles solutions dès le lancement du projet, proposer de les réduire pour enfin, soit faire accepter les risques résiduels, soit les transférer vers un tiers. C’est grâce à une approche par les risques que le dialogue va s’établir avec le marketing et développer des opportunités pour construire les solutions qui permettront le développement de l’entreprise.
La notion de risque est souvent un concept qui est évalué différemment dans les différents secteurs de l’entreprise. Au sein du département marketing, les responsables ont depuis longtemps compris les risques relatifs à la perte ou la fuite d’information ayant déjà été confrontés à la copie de leurs idées par la concurrence. Il n’est pas besoin alors de rappeler que la contrefaçon s’est développée grâce à la mondialisation ; la copie des produits par les concurrents détruisant alors quelques années de recherche et développement. La protection de l’information est très importante et commence dès la conception de la campagne marketing ; le rôle du CISO n’est pas de ralentir ces innovations mais bien au contraire de trouver les meilleures solutions pour conjuguer la vitesse de développement avec la mise en œuvre des opportunités de croissance dans un environnement sécurisé.
Réputation et confiance client, mots-clés pour le marketing
Les informations consolidées par le département marketing ont un niveau de confidentialité qui sont considérées soit confidentielles, soit hautement sensibles ; c’est-à-dire que la perte de ces informations peut nuire à l’évolution de l’entreprise ou pire encore, sa réputation ou son image en détruisant la confiance des clients. A ce titre, et à minima, les données personnelles, sont des données qui doivent être protégées suivant la nouvelle réglementation (GDPR[1]) ; ce qui impose de nouvelles contraintes que le CISO en accord avec le Data Protection Officer[2] va gérer pour préserver la conformité avec cette réglementation.
Le rôle du CISO est d’anticiper cette situation pour éviter d’être sous la contrainte du temps et nécessite de définir les limites en termes de risques que l’entreprise peut prendre. Les questions relatives à la localisation du stockage des données confidentielles, ou encore les personnes autorisées à accéder aux données sensibles, etc… sont des points de discussion avec le management pour éviter de prendre des décisions sous la pression et réduire le shadow IT.
Enfin, pour répondre aux attentes du marketing, il est nécessaire que l’entreprise définisse un processus d’acquisition de prestations qui intègre les départements Achats, Juridique et Informatique pour que le rapport d’analyse de risques du CISO soit partagé et que les responsabilités soient connues du management.
Tribune réalisée par Michel Juvin, membre du CESIN
[1]GDPR : General Data Privacy Regulation : règlement Européen de la protection des données personnelles
[2]Le Data Protection Officer (DPO) est recommandé dans le cadre de la mise en place de la nouvelle réglementation RGPD