Secu
“Le RSSI doit sensibiliser l’utilisateur à la valeur des données qu’il manipule”
Par La rédaction, publié le 06 octobre 2016
Mylène Jarossay, cofondatrice du Cesin, le club des experts de la sécurité de l’information et du numérique, revient sur les enjeux sécuritaires du moment. Rare femme à ce poste, qui plus est dans une entreprise prestigieuse (LVMH), elle a une vision très claire de son rôle sans cesse en mouvement et souhaite impliquer toute la chaîne des métiers dans la sécurité autour de l’information.
Vous êtes cofondatrice du Cesin (Club des experts en sécurité du système d’information). À quels défis répond cette association ?
Mylène Jarossay : Le RSSI est relativement seul dans sa fonction. Le principal objet de ce club est de partager des retours d’expérience en sécurité et de comprendre à travers des projets, qu’ils aient réussi ou non, quelle est la direction à prendre. Les membres s’expriment avec beaucoup de sincérité et sans langue de bois. Cela permet notamment de démonter certains sujets très médiatisés qui sont des fausses problématiques.
Parlez-vous entre vous d’échecs ?
MJ : Oui, sans problème. On apprend beaucoup d’un retour d’expérience, qu’il soit réussi ou non. L’objectif est d’en tirer des enseignements, de s’enrichir des réactions de ses homologues et de faire monter le niveau de maturité de tous. C’est un secteur très mouvant, donc un RSSI n’a pas à craindre des écarts entre le moment où un projet a démarré et ce qui est mis en place réellement : il est normal qu’il y ait eu des évolutions tout au long du projet. C’est un métier où il faut avoir la capacité de se remettre constamment en question, qui demande de la réactivité. C’est aussi ce qui fait son intérêt. Les dirigeants aujourd’hui comprennent bien cette dimension agile de la sécurité.
Avez-vous des exemples de phénomènes ou modes trop médiatisés ?
MJ : Il y a de temps en temps des grosses tentatives marketing. Il y a quelques années par exemple, le DLP [Data loss prevention, NDLR] était l’objet des conversations dans toutes les bouches des RSSI. À ce moment-là, des solutions ont été mises en avant, mais ceux qui ont fait des projets de DLP ont à peu près tous échoué. Aujourd’hui, ces questions de DLP repartent de façon différente par rapport à il y a 5 ans. À l’époque, les solutions n’étaient pas mûres et ceux qui ont essayé ne pouvaient pas réellement y arriver. Le club des RSSI permet de comprendre ce genre de phénomène et tempérer les promesses du marketing.
Le rôle du RSSI diffère-t-il selon les secteurs, la marque ?
MJ : Il existe tronc commun. Mais c’est vrai que le domaine influence le périmètre d’action du RSSI car les enjeux ne sont pas toujours transposables. Dans certains secteurs, le RSSI va beaucoup plus agir sur la conformité, dans d’autres, il va être rivé sur l’opérationnel. Cela dépend aussi des personnes. Certains RSSI ont des profils assez techniques, ou sont des pédagogues ou encore des négociateurs. D’autres sont plus orientés vers l’organisation et la gestion des processus ou bien sont plus à l’aise avec des outils juridiques et contractuels.
Le RSSI est certes seul, mais maintenant il existe des cyber-assurances…
MJ : Le RSSI est face à un ensemble de risques. Pour chacun de ces risques, il va adopter une stratégie de protection à travers un déploiement d’outils. Cela peut être une stratégie de détection-réaction, de prévention, etc. Par exemple, certains RSSI déploient beaucoup de moyens sur de la sensibilisation pour réduire la probabilité d’occurrence de tel ou tel risque, s’il juge que c’est une stratégie pertinente dans son contexte. D’autres peuvent multiplier les systèmes de protection. La cyber-assurance est une stratégie parmi d’autres. C’est l’un des éléments du puzzle. Le RSSI a à sa disposition une palette d’approches pour traiter chaque risque et il doit juger quelle solution est la mieux adaptée. Cela peut être en effet une assurance, parce que qu’il ne sait pas forcément traiter le risque par des moyens techniques, où parce que la complexité des éléments à mettre en place est trop élevée. C’est une analyse à mener au cas par cas. Le plan de traitement des risques est en général la combinaison de plusieurs types de solutions. On a des airbags dans sa voiture et on prend une assurance, ce n’est pas antinomique ! D’ailleurs, en ce qui concerne les cyber-assurances, nous avons entendu au Cesin quelques témoignages intéressants. L’assurance a bien permis de couvrir des frais, tel que le contrat le prévoyait. C’est incontestablement un outil sur lequel les RSSI peuvent s’appuyer, même s’il doit encore gagner en maturité.
Au niveau du Cesin, vous êtes la seule femme au Conseil d’administration…
MJ : De façon générale, les RSSI sont assez souvent issus d’une filière ingénieur. Or il y a effectivement peu de femmes dans ces filières, et donc cela se retrouve dans la profession. Ce serait souhaitable qu’il y ait plus de femmes parce que forcément cela crée plus grande diversité de style. Je ne pense pas que les femmes RSSI aient beaucoup de difficultés pour être acceptées. Je crois que dans ce type de communauté, les hommes ne sont pas mécontents de voir arriver de temps en temps un élément féminin !
Plus généralement, existe-il une pénurie des profils sécurité informatique ?
MJ : Il est clair que la sécurité est un sujet de plus en plus sensible pour toutes les entreprises. Elles ont besoin de s’armer de compétences, et la demande est plus forte que ce que peuvent fournir les écoles. Celles-ci ont réagi et ont augmenté les filières sécurité, mais il faut encore accentuer l’effort et former plus d’ingénieurs. Il est nécessaire de pousser cette profession, de lui accorder plus de place proportionnellement dans les cursus des écoles.
Quelles sont les problématiques actuelles en matière de sécurité informatique ?
MJ : Pendant un temps, l’informatique industrielle n’était pas dans les radars. Beaucoup avaient complètement oublié qu’elle pouvait être exposée. Maintenant, la question est clairement posée et il commence à y avoir un vrai effort pour définir des politiques, réfléchir à des solutions. C’est un vaste sujet, comme les objets connectés qui sont également une problématique de par le côté exponentiel de la fabrication de ces objets. Le cœur de la sécurité reste la protection des données. C’est un challenge pour les RSSI d’expliquer aux utilisateurs la valeur de leurs données et comment préserver cette valeur. Ceux-ci ont bien compris qu’il ne fallait laisser traîner un portable ou une clé USB, ou en trouver une et la connecter sur leur ordinateur. Les bonnes pratiques ont été dites et redites. Maintenant, il faut montrer comment circulent et se multiplient les informations. La donnée ne reste plus dans un sanctuaire, dans une base de données. Elle va être extraite, copiée dans un fichier Excel, exposée dans des présentations PowerPoint, exportée en PDF, voyager par mail, etc. Cela signifie que l’utilisateur doit comprendre et poursuivre une démarche de sécurité au-delà du système d’information d’où il a extrait la donnée. Tout cela doit influencer la façon dont il travaille et échange avec ses interlocuteurs. Ce n’est pas intuitif ni évident de comprendre qui va pouvoir accéder à l’information et quel est l’enjeu. Le RSSI est là pour éduquer et aider. Et ce travail n’est pas simple. La valeur d’une donnée peut évoluer dans le temps. Une donnée peut prendre de la valeur dès qu’elle est, par exemple, combinée à une autre information. Une donnée peut avoir une valeur à un instant t, mais ne plus rien valoir l’instant d’après. Il n’existe pas beaucoup de métriques ni de méthodes pour vraiment estimer les valeurs informationnelles. C’est un sujet qui va nous donner du travail dans les années qui viennent, et qui est complexe.
La localisation de l’information représente-t-elle encore un enjeu ?
MJ : C’est vrai que la question de l’accès à la donnée est quelque chose d’essentiel. La territorialité est un sujet qui n’est pas encore limpide, parce que l’on peut avoir hébergé ses données physiquement en Europe, mais dans un datacenter exploité par des sociétés dont les agents sont en Asie. Et si effectivement la donnée est hébergée en Europe, elle l’est sur des matériels qui ne sont probablement pas européens. Et elle est transportée sur des réseaux avec des équipements qui sont le plus souvent américains ou asiatiques. Il convient par conséquent de travailler sur sa protection intrinsèque : que met-on dans les données ? Comment nos applications les protègent-elles ? Il y a bien sûr le nouveau règlement européen qui arrive. Les entreprises sont désormais prêtes à se lancer. Elles ont un peu temporisé avant d’avoir le « Go », mais maintenant elles démarrent des projets pour être conformes à ce règlement d’ici deux ans. L’une des difficultés est que l’on manipule des informations personnelles par mail ou par d’autres moyens d’échange et de stockage, et que de plus en plus de métiers prennent des initiatives vis-à-vis de l’usage de ces données personnelles en souscrivant directement à des offres cloud. Il est rare que ces initiatives prennent en compte les questions de souveraineté des données et les différentes exigences du décret. Le RSSI n’est pas toujours consulté. L’un de ses rôles est d’identifier le shadow IT. Et d’aller au-devant des métiers, pour éviter qu’ils ne se dispersent dans des solutions qui ne sont ni conformes ni adaptables. Il faut que le RSSI soit bien visible des métiers sur ces sujets, qu’il soit ou non rattaché à la DSI. Il faut absolument sensibiliser et faire monter en compétences les métiers sur ces questions. Il faut leur donner l’outillage nécessaire. Et ils sauront venir consulter le RSSI dès que ce sera nécessaire. Ce qui est important, c’est de travailler avec les propriétaires de la donnée pour les sensibiliser, pour leur faire réfléchir à la bonne façon de les produire et de les manipuler.
La solution est-elle le chiffrement ?
MJ : Le chiffrement offre une protection, à supposer qu’il s’accompagne d’une bonne gestion des clés de cryptage. On peut avoir chiffré ses données, mais on ne va pas empêcher un utilisateur d’extraire des informations d’une base de données chiffrée pour en faire un tableau de calcul Excel, puis un PDF. Et la donnée va finir par faire le tour de la Terre parce que l’utilisateur l’a échangée avec un certain nombre de personnes. Ce n’est pas de la malveillance du tout, simplement un usage mal contrôlé. Il faut penser la protection de la donnée de bout en bout, sous toutes ses formes et pendant son cycle de vie. La multiplication de la donnée sous différentes formes constitue la principale difficulté : c’est pourquoi il faut faire en sorte que chaque utilisateur d’information soit contributeur à la protection de celle-ci. Autrement dit, chiffrer l’information à la source est insuffisant. Savoir utiliser la donnée, la stocker temporairement, la communiquer, la relier à d’autres données : c’est là que réside tout l’enjeu. Il y a un travail très important à faire, en matière d’éducation, pour le RSSI.
En quoi l’Internet des objets nécessite-t-il une politique de sécurité spécifique ?
MJ : Les objets connectés peuvent envoyer des données très sensibles, comme des informations médicales par exemple. Un objet connecté peut être attaqué, entraînant, par exemple, une récupération de données ou une action sur l’objet grâce à une prise de contrôle à distance. Il existe donc deux problématiques : la perte de données et la perte de contrôle. Les projets autour des objets connectés doivent être délivrés très rapidement, comme tous les nouveaux projets IT d’ailleurs. C’est très bien, on arrive à éviter les effets tunnels. Mais dans ce cas, la sécurité doit être prévue d’emblée. Comme sur l’informatique industrielle, la prise de conscience de la sécurité pour l’Internet des objets s’est largement développée. Les RSSI constatent qu’il y a beaucoup plus d’oreilles attentives sur ces sujets. Les incidents importants qui se sont produits ont donné à réfléchir à un certain nombre de dirigeants.
L’approche « Security by design » est-elle appliquée réellement ?
MJ : Dans un projet, les RSSI sont maintenant consultés de façon plus systématique. Le schéma idéal est effectivement de placer la sécurité dès le début. C’est aux RSSI de donner les clés, et de faire comprendre aux chefs de projets que faire appel au RSSI dès le démarrage du projet n’est pas du tout une source de blocage ou de ralentissement, bien au contraire. Le RSSI peut donner de la valeur, de l’efficacité et même de la visibilité aux projets. Mais cela passe par des formations ou au moins de la sensibilisation. Il faut démontrer le bénéfice de cette approche en termes de coût et de délai pour convaincre les chefs de projet.
L’open data risque-t-elle d’engendrer de nouveaux risques ?
MJ : Cette question est très intéressante. Avec l’open data, on est dans une attitude inverse : on publie des données, on les exhibe volontairement. Par exemple, on met en accès libre des quantités de plans détaillés : est-ce que l’usage de ces plans peut être détourné à des fins d’attaque terroriste ? Cela ne veut pas dire qu’il ne faut pas faire de l’open data, il faut juste se poser les questions avant… et pendant, si les données vont être combinables avec d’autres. Toute donnée peut acquérir une nouvelle valeur et constituer un nouveau risque dès qu’elle est publiée.
Le cloud est souvent critiqué, pour des raisons de confidentialité. Mais n’est-il pas mieux sécurisé ?
MJ : Deux réponses. Oui, le cloud peut être mieux sécurisé car certains fournisseurs ont les capacités de mettre les moyens adéquats. Mais si une infrastructure cloud subit une attaque, cela peut être catastrophique au vu du nombre de clients impactés. En mettant ses applications et ses données chez plusieurs fournisseurs de cloud, on répartit les risques. Et il faut pousser les offres de cloud à être meilleures sur la sécurité, en faisant des audits et en poussant les négociations sur la responsabilité des différents acteurs. Le cloud est une évolution irréversible. Ce n’est pas un épiphénomène, mais une stratégie devenue prioritaire pour les entreprises. Construire ses propres défenses et ses propres centres de données n’est plus accessible pour la plupart des sociétés. Ce qui fait d’ailleurs changer le travail des RSSI. Maintenant, il touche de moins en moins à des infrastructures. Il s’appuie davantage sur des armes telles que des contrats… Et son métier reste toujours aussi intéressant.
Propos recueillis par Pierre Berlemont
MYLÈNE JAROSSAY
2015 : RSSI du Groupe LVMH
2012 : Cofondatrice du Cesin
1998 : RSSI de l’Institut Curie
1992 : Architecte Réseaux et Télécoms SEEE-Applications militaires