Gouvernance
Pourquoi CISO et CSO ne peuvent plus s’ignorer…
Par Michel Juvin, membre du CESIN, publié le 22 novembre 2018
Complémentaires, les rôles de Directeur de la Cyber-sécurité et de Directeur de la Sûreté ne peuvent plus opérer séparément l’un de l’autre. Leur collaboration étroite s’impose même comme une nécessité dans un monde gouverné par l’information…
Tribune du CESIN par Michel Juvin
L’impact des nouvelles technologies entraîne des changements à un rythme effréné – qui est même aujourd’hui supérieur à la loi de Moore – en particulier dans le domaine de l’information. Omniprésente, l’information, la data, est devenue vitale pour la vie des entreprises. Elle est une source de croissance et une richesse qui a canalisé les rivalités entre les entreprises et les pays. Des cyber-armes sont aujourd’hui utilisées contre les entreprises publiques ou privées sur un terrain de guerre mondiale via les réseaux connectés avec des technologies puissantes, innovantes et des méthodes proches de celles développées pendant la guerre froide. Pour répondre à cette cyberguerre, deux rôles complémentaires doivent s’entraider au sein des entreprises.
Le Directeur de la Cyber-sécurité ou CISO (Chief Information Security Officer) est l’un de ces nouveaux postes dont le rôle est de protéger l’information dans l’ensemble de l’écosystème de l’entreprise. Ce rôle est en relation avec, s’il en existe un, celui de Directeur de la Sécurité ou CSO (Chief Security Officer) dont l’objectif est, quant à lui, de s’assurer de la protection physique des employés : il intègre la notion de sûreté (« safety » en Anglais). La protection des données à caractère personnel est désormais dévolue aux Data Protection Officer (DPO).
D’où la nécessité de définir qui fait quoi et organiser la coopération entre ces différents acteurs.
Des prérogatives qui se recoupent
Le CSO est amené à prendre en charge la sécurité des accès aux locaux, y compris les accès réservés aux lieux sensibles ; c’est-à-dire ceux contenant des informations classifiées (confidentielles ou hautement sensibles). En cas de perte de ces dernières, l’évolution de l’entreprise peut être impactée négativement.
Cette fonction du CSO couvre aussi l’espace de travail. Il doit faire appliquer les recommandations décrites à la fois dans la charte informatique et la politique de sécurité de l’information : laisser son poste de travail fermé en cas d’absence, vider les espaces non surveillés de documents sensibles, etc. Cela concerne notamment les espaces de coworking (salle de réunion ou open-space), mais aussi les locaux d’impressions qui doivent être équipés de broyeur de papier et exempts de papiers classifiés.
L’autre domaine important de coopération est une activité qui est peu souvent évoquée. Il s’agit des investigations à l’encontre d’employés qui auraient commis une malversation. Cette action est parfois l’objet de tensions entre protagonistes de culture différente. Le rôle du CISO sera alors de s’assurer que l’investigation s’effectue en conformité avec la charte informatique et la loi française qui définit les règles de protection de l’employé et de ses données personnelles ; données qui auraient pu être stockées sur l’ordinateur professionnel de l’employé. Il est évident que des traces de fraudes (majoritairement à l’origine de la procédure de licenciement) peuvent avoir été cachées par ce dernier sur son poste de travail et il faut souvent recourir à un expert technique pour les retrouver ; cette action sera plutôt de la responsabilité du CISO qui maitrise bien les aspects techniques d’une telle investigation.
Des cadres juridiques à respecter
De fait, cette inspection du poste de travail et d’autres données potentiellement hébergées sur des serveurs de l’entreprise doit se faire en respectant la loi de manière à ce que ces preuves soient opposables devant un tribunal en cas de recours au Conseil des prud’hommes par l’employé incriminé. Seul un auditeur assermenté auprès d’un tribunal – ou non assermenté mais associé à un huissier de justice présent lors de l’investigation – pourra attester de l’origine et de l’intégrité des preuves remises aux tribunaux. Au sein du CESIN, nous recommandons que le CISO identifie à l’avance cet expert judiciaire qui aura à intervenir. Pour anticiper ces cas d’inspection, il est donc souhaitable de préparer un contrat type avec un auditeur assermenté(1), externe de préférence (pour limiter les risques de fuite dans l’entreprise), d’éviter de faire cette action dans l’urgence et de bien respecter les étapes d’une procédure écrite au préalable par le CISO et validée par les RH et le CSO.
Une entraide salutaire
Par ailleurs, il s’avère nécessaire pour la profession de CSO d’utiliser des technologies qui s’appuient fortement sur des solutions informatiques puissantes, comportant parfois des moteurs d’analyse de données. C’est le cas, par exemple, des solutions de gestion de badges intelligents(2) ou de solutions qui analysent les images de vidéosurveillance et permettent, à l’aide de la reconnaissance visuelle, de détecter les comportements suspects car différents de ceux habituels des salariés(3). Il est impératif que le CSO s’appuie sur l’expertise du CISO pour s’assurer que d’une part, l’installation de ces technologies est conforme à la loi française et la réglementation Européenne(4) ainsi qu’à la charte informatique, et d’autre part, que ces installations sont faites en toute transparence vis-à-vis des employés et en particulier auprès des Instances Représentatives du Personnel, pour éviter tous les problèmes qui pourraient prendre une grande importance et nuire à l’image de l’entreprise. Le recours au CISO permettra aussi de s’assurer de la mise en place de solutions qui s’assureront de l’intégrité des données et des accès à ces données classifiées ; ceci aussi en accord avec les Ressources Humaines.
On le voit encore, le rôle transversal du CISO est important mais il doit se mettre en capacité de coopérer avec le CSO de façon constructive. Ils pourront ensemble mieux comprendre les risques à l’encontre de l’entreprise dans un monde de cyberguerre froide. CISO et CSO sont donc deux domaines complémentaires et leur coopération est essentielle pour apporter de la valeur dans la protection de l’information de l’entreprise.
Tribune de Michel Juvin, membre du CESIN
(1) Ou un auditeur non assermenté mais associé à un huissier
(2) Mise en place de zones sensibles, d’accès réglementé ou encore de sas à passage unique, …
(3) Analyse comportementale (UBA : User Behavior Analytic) permettant d’anticiper une situation à risque pour l’entreprise.
(4) GDPR ou règlement Européen de protection des données personnelles