Secu
Les lauréats 2013 des trophées 01 Business de la sécurité
Par La rédaction, publié le 22 mai 2013
Sur les 19 candidatures sélectionnées cette année, la plupart mettent l’accent sur les projets de mise en conformité à la réglementation et sur les campagnes de sensibilisation des utilisateurs.
Cette sixième édition des Trophées 01 Business de la sécurité dévoile son palmarès 2013. Parmi la vingtaine de nominés, quatre ont été distingués. Systalians a décroché le Grand Prix. Le Prix spécial du jury a été attribué au PMU. Le GIE GIPS s’est vu remettre le Prix de l’efficacité et l’Académie de Versailles celui de l’innovation.
Cette année, les trophées ont été organisés avec trois partenaires institutionnels : le Cesin (Club des experts de la sécurité de l’information et du numérique), le CDSE (Club des directeurs de sécurité des entreprises) et l’Amrae (Association pour le management des risques et des assurances de l’entreprise).
Les dossiers de candidature ont révélé des projets riches où les démarches de mise en conformité occupaient une place importante. Une tendance notable, puisque ces contraintes réglementaires contribuent à inscrire la sécurité informatique parmi les priorités des chefs d’entreprise, avec une influence notable sur les budgets investis dans le domaine.
Qu’il s’agisse d’ISO 27001, de Sarbanes-Oxley, de Solvabilité ou de PCI-DSS, elles offrent toutes un cadre pour maîtriser la gestion de cette sécurité. Autre fait marquant : le nombre de campagnes de sensibilisation organisées chez des utilisateurs. Ces démarches témoignent d’une réalité : le poids de plus en plus marqué de la sécurité IT dans les organisations.
En conclusion, même si ces deux tendances – contraintes réglementaires d’un côté, plan de sensibilisation de l’autre – ne sont pas forcément liées, le fait qu’elles apparaissent comme les points saillants des stratégies de sécurité préfigurent d’une prise de conscience et d’une maturité plutôt rassurante de la part des entreprises.
Fin 2006, Emmanuel Garnier émet l’idée d’une démarche de certification ISO 27001. Appuyé par sa direction générale, désireuse de voir son entreprise se démarquer de ses concurrentes dans le monde de la protection sociale, le responsable de la sécurité (RSSI) de Systalians se lance, début 2007, dans une évaluation de la gestion de la sécurité du système d’information. « Il fallait que je prenne la mesure des écarts à combler pour atteindre le niveau de certification », raconte-t-il.
Au total, près de 200 jours/homme auront été nécessaires à cet examen, qui se révélera très instructif et encourageant. « Le trou à combler n’était pas aussi important qu’on le pensait. Nous avons donc décidé de partir sur un alignement complet », se souvient le RSSI.
Dès le départ, l’accent a été mis sur la gestion des incidents, alors quasiment inexistante. « Il nous a fallu dresser une topologie des incidents pour réaliser un classement optimal. Aujourd’hui, nous tirons de ces analyses des statistiques et déterminons en conséquence les actions à mener », détaille Emmanuel Garnier.
A titre d’exemple, le RSSI s’est aperçu que beaucoup des appels passés au service support étaient liés à des oublis de mots de passe. Un dispositif de signature unique a été immédiatement mis en place, réduisant le nombre de sollicitations par deux.
Mi-2009, Systalians obtient sa certification. Pour Emmanuel Garnier, il s’agit alors bien plus qu’un simple coup de tampon, mais de l’aboutissement d’un « beau projet d’entreprise qui aura monopolisé tout le monde ».
Autre démarche bénéfique mise en place par le RSSI du GIE, celle consistant à intégrer les trois systèmes de management de Systalians (sécurité, qualité et services). Démarrée en 2010 et aboutie depuis 2012, cette approche intégrée procure une vision globale du GIE et de ses processus. Elle permet de fédérer les audits et les contrôles, et de consolider la gestion des risques (sécurité informatique et risques opérationnels).
Le PMU est une entreprise technologique où l’innovation est omniprésente », lance tout de go Pascal Basset, responsable conformité et sécurité des systèmes d’information (SI) du PMU. Son modèle de sécurité a évolué d’une posture d’interdiction à un rôle de facilitateur contribuant à la création de valeur et la compétitivité de l’entreprise, tout en maintenant un fort niveau de protection.
Un infocentre, baptisé BI-Safe, a ainsi été mis au service des opérationnels de l’informatique, mais aussi des métiers. Objectif : détecter les anomalies liées au SI et, surtout, lutter en temps réel contre la fraude.
A la rentrée 2011, quatre collèges des Yvelines et du Val-d’Oise ont distribué des tablettes numériques à leurs élèves de sixième. Dans le cadre de cette expérimentation, l’académie de Versailles a réalisé un outil de blocage de sites au contenu inapproprié (pornographique, violent, raciste…).
« La solution filtre les accès Wi-Fi et 3G », explique Harold Mulciba, RSSI adjoint. Elle sert aussi d’outil d’authentification et conserve les traces de navigation. Une innovation applaudie par Orange, partenaire du projet, qui travaille à son industrialisation.
Démarré en 2011, le projet de gestion d’identités du Groupement informatique de la protection sociale (GIPS) a coûté 5 millions d’euros. Celui-ci s’est étalé sur vingt-quatre mois, avec un total de 1 800 identités pour 500 rôles différents définis en collaboration avec les métiers.
Entré au GPIS en 2010, Pierre Belin, responsable sécurité, a débuté comme coordinateur Itil. « Ma mission : aligner l’informatique sur les besoins métier », raconte-t-il. Ces bonnes pratiques sont la clé du management par le processus, déjà mis en oeuvre pour gérer la sécurité.
C’est dans cette logique qu’il a endossé le maillot de responsable de la sécurité des systèmes d’information pour remettre à plat toutes les pratiques de protection de l’information. Et de préciser « J’aurais souhaité une conduite du changement plus importante. Ce qui a été fait en termes d’accompagnement n’est pas suffisant. Le centre d’appels reçoit encore trop de demandes d’informations. »
Crédit photo : Remy Deluze
Les membres du jury
Nathalie Risacher, COO de Natixis Americas (présidente du jury). Sophie de Visme, responsable sécurité et qualité d’Elfe. Michel Cazenave, RSSI du ministère des Affaires étrangères et européennes. Mylène Jarossay, DSI adjointe et RSSI de l’Institut Curie, et secrétaire général du Cesin. Gilbert Brat, directeur des assurances du groupe La Poste et vice-président de l’Amrae. Gilles Afchain, membre de la Commission cybersécurité du CDSE, et responsable de la protection de l’information chez Areva. Stéphane Bellec et Stéphane Parpinelli, journalistes à 01 Business.
Les nominés de l’édition 2013
Académie de Versailles
Adrea Mutuelle
AG2R La Mondiale
Alsace e-santé
Groupe Altran
Bibliothèque nationale de France
Brink’s
Centre Oscar Lambret
CHRU de Lille
CHU de Nantes
Crédit Agricole CIB
GIPS
Groupe Bouygues
Groupe Ircem
Multimedia Business Services
Orange Business Services
PMU
Renault
Systalians