GOUVERNANCE DES DONNÉES NUMÉRIQUES

mardi 14 novembre 2017

Par Isabelle MAURANGES-DALMAYRAC

Spécial Assises de la sécurité 2017 – DSI et RSSI témoignent. Article écrit par Olivier Bouzereau

Spécial Assises de la sécurité 2017 – DSI et RSSI témoignent
DSI et RSSI au plus près des métiers

Les décideurs et RSSI présents aux Assises de la Sécurité à Monaco confirment que le RGPD, le Cloud computing et l’IoT bousculent les processus, les équipes et les outils de sécurité en place.

L’édition 2017 des Assises de la sécurité confirme l’externalisation croissante des solutions de sécurité. Une nouvelle opportunité, pour le DSI et le RSSI, de se rapprocher des métiers, des responsables achats, financiers et juridiques, de sensibiliser chaque acteur du SI pour maîtriser la facture globale, les usages et la conformité de la nouvelle chaîne de services sécurisés.

Connaître ses données pour mieux les protéger

 

«Le règlement européen RGPD aide l’entreprise à faire l’identification des données personnelles, mais tout reste à faire pour les autres données numériques » , signale Alain Bouillé, le RSSI de la Caisse des Dépôts et Consignations et président du CESIN.

Les rançongiciels du printemps dernier – Wannacry et NoPetya – ont ouvert les yeux des dirigeants. De multiples infrastructures de communication d’entreprise ont été paralysées par une cybermenace devenue diffuse, qui emprunte indifféremment la piste d’objets connectés, de liaisons sans fil ou de messageries Cloud. « L’entreprise doit s’attendre au pire » , prévient-il. Imprudents, les utilisateurs ouvrent encore trop souvent une pièce jointe douteuse. Un code malveillant profite alors d’une ancienne faille d’un système mis à jour trop tardivement pour s’immiscer, de proche en proche, jusqu’au serveur de données. Le malware obéit, avant tout, à un modèle économique, réclame une rançon en échange d’une clef de décryptage. Il prend littéralement en otage « les données professionnelles ventilées dans les Cloud hybrides, sur un périmètre impossible à cerner désormais » , explique Alain Bouillé. Avec l’avènement du Cloud et des objets connectés, une nouvelle gouvernance des données numériques s’impose.

 

Coller au rythme d’innovation des métiers

Le RSSI de l’entreprise contribue à la transformation numérique des métiers. En contrepartie, il doit suivre un rythme plus soutenu d’innovations, déployer vite de nouveaux services sécurisés. « La sécurité entre à un niveau fonctionnel et pas à un niveau de support. A ce titre, elle se doit de s’adapter à l’ensemble des besoins du métier. Le RSSI doit dorénavant être intégré dans les équipes de design et de développement, pour que, dès la conception des solutions, les éléments de sécurité soient bien adaptés aux besoins du métier, dans des temps qui sont imposés par le métier. Car c’est le métier qui gère son risque, donc qui prend le risque » , souligne Olivier Ligneul directeur technique, RSSI d’EDF et vice-président du CESIN. Le responsable de la sécurité devient « un chef d’orchestre qui doit être capable de gérer la réponse aux menaces et d’expliquer aussi les attaques à la direction générale » ,poursuit-il. Mais le volume de données à traiter par le RSSI augmente très rapidement. Du coup, l’analyse de plus en plus fine d’événements et d’incidents de sécurité et l’inspection en profondeur des flux de données échangés avec le Cloud l’aident à devenir plus pertinent. « Avec les réseaux de neurones, l’IA ou le Big Data, on gagne en maturité et on croit davantage dans notre capacité à pouvoir se défendre. »

 

Tendre vers une sécurité transparente et by design

L’entreprise étendue connecte ses partenaires, clients et fournisseurs. Elle cultive sa propre place de marché, espérant piloter les transactions de tous les acteurs clés de l’écosystème. Dans son datacenter, elle relie plusieurs salles IT, croise des réseaux d’opérateurs, de prestataires d’infrastructures Cloud et d’éditeurs SaaS, engagés au travers de contrats de services. « Le maître mot du Cloud, c’est l’automatisation. Tout ce qui est automatisé, on l’espère, sera plus simple en termes d’utilisation et aussi d’administration » ,indique Khaled Soudani, COO des infrastructures IT du groupe Société Générale. Selon lui, il faut changer de posture en matière de sécurité des applications, étoffer les compétences en développement sécurisé, jusqu’au niveau des infrastructures. « Notre ambition est d’avoir une sécurité transparente et by design. Dans le monde Cloud, on ne voit pas comment y arriver sans l’utilisation de réseaux SDN (Software-defined Network). La sécurité doit venir au plus proche des équipes agiles qui doivent livrer des services sur un rythme plus soutenu. » C’est justement le rôle de l’entité Global Technology Services, le centre de services partagés où 700 collaborateurs bâtissent le prochain socle numérique des activités bancaires du groupe, en France et à l’étranger.

 

Retenir des protections simples et pratiques

Le RSSI doit être omniprésent en préventif, en analyse et en réaction. Mais les utilisateurs ne veulent plus être freinés par les services de sécurité. « Le seul moyen de faire entrer la sécurité dans les applications de santé, c’est qu’elles deviennent plus pratiques qu’auparavant » , recommande Philippe Tourron, le RSSI de l’APHM (Assistance Publique des Hôpitaux de Marseille), hébergeur de santé agréé depuis 2012. Selon lui, « le RSSI doit rédiger l’ordonnance du traitement à appliquer à la sécurité des données. Que ce soit un médicament générique, une solution open source ou propriétaire, l’essentiel c’est qu’il agisse comme on le souhaite. » L’état de santé du système d’information est surveillé en continu par un SOC en place depuis deux ans, où les équipes de production IT se relayent par demi-journée, pour réagir au moindre signe anormal. Dans un contexte d’urgences médicales, d’usages mobiles et de délais d’ouverture de session très courts, une bulle d’infrastructure a été mise en place. C’est un Cloud privé capable d’héberger trois cents applications destinées aux utilisateurs internes et externes. Grâce au bastion de l’éditeur français Wallix, l’équipe maîtrise également les flux des mainteneurs et contribue à protéger les accès distants aux serveurs. « Nous devons pouvoir lutter rapidement face aux attaques que l’on ne connaît pas par avance. La réponse aux attaques agiles, c’est une gestion de crise agile avec notamment, un meilleur partage de la détection de la menace, et des modes de réactions. »

 

Pour en savoir plus, consultez nos interviews exclusives réalisées à l’occasion des Assises de la Sécurité 2017

www.solutions-numeriques.com/videos/

 

Auteur : Olivier Bouzereau

http://www.solutions-numeriques.com/dossiers/gouvernance-des-donnees-numeriques/

© CESIN