Alain Bouillé, Cesin : « sans sécurité, la transformation numérique est un non-sens »

Pour le président du Cesin, une association de RSSI, la sécurité doit se transformer pour mieux s’intégrer au sein des équipes de développement agile et se plier aux enjeux posés par l’éclatement des systèmes d’information dans le Cloud.

Mise à jour le 17/12, à 15h45 (citation amendée, question 5)

Créé en 2012, le Cesin regroupe quelque 230 RSSI (responsable de la sécurité des systèmes d’information). L’association tenait son troisième congrès annuel les 8 et 9 décembre, à Reims. Alain Bouillé, président du Cesin (et par ailleurs directeur de la sécurité des SI de la Caisse des dépôts), revient pour Silicon.fr sur l’évolution de la menace et du métier de RSSI. Un professionnel confronté aux attentes de réactivité d’opérationnels biberonnés à la transformation numérique et à l’éclatement des systèmes d’information dans le Cloud.

Silicon.fr : Les entreprises insistent aujourd’hui sur la transformation digitale et sur la rapidité de mise en service des applications. N’est-ce pas aux dépens de la sécurité, qui passe un peu au second plan ?

Alain Bouillé : Si on n’invite pas le RSSI à la table des discussions, il faut qu’il s’y impose. Car la numérisation des activités ne peut pas faire l’impasse sur la sécurité, sinon cela se voit très vite. Par exemple, quand Cherokee a voulu concevoir une voiture connectée insuffisamment sécurisée, les conséquences ont été immédiates. Avec le Chief Digital Officer (CDO), le RSSI doit former un nouveau couple, sachant que tous deux partagent une image d’interlocuteur poil à gratter au sein des organisations. Le CDO remet en cause les silos, l’organisation : c’est un perturbateur. Il s’empare certes des sujets nobles, à l’inverse de certains DSI confinés au legacy, mais il est attendu au tournant. De son côté, le RSSI a une image de quelqu’un qui met des bâtons dans les roues sur les projets.

Concrètement, cette transformation se traduit souvent par la constitution d’équipes agiles. Comment intégrer la sécurité dans ce schéma ?

Alain Bouillé : Il faut se demander comment rendre la sécurité agile, comment l’intégrer à des équipes travaillant en Devops. Sur le papier, cela peut apparaître contradictoire, car dans ces nouvelles formes de travail, de nombreux prototypes ou cycles de développement vont terminer à la poubelle. Mais, si la sécurité n’est pas intégrée en amont, les développements appelés à passer en production devront être entièrement réécrits. C’est donc toute une évolution des modes de travail des informaticiens qu’il faut accompagner, avec des investissements pas forcément très élevés. Par exemple dans l’audit de code. La sécurité agile signifie qu’on doit aussi adapter l’analyse de risques pour rendre sa prise en compte plus légère. Plus légère, mais pas nulle.

Lors du congrès annuel du Cesin, il a beaucoup été question de systèmes d’information (SI) éparpillés. Qu’est-ce que ça change pour le RSSI ?

Ça change tout. Quand des morceaux du SI étaient externalisés, on se retrouvait face à un projet de sécurisation classique de la prestation, avec la définition des exigences de sécurité et une analyse des risques. Mais, aujourd’hui, c’est de plus en plus difficile. Quand, par exemple, on migre vers Office 365, c’est près de la moitié de son SI qu’on confie à un prestataire. Le RSSI doit alors travailler différemment, identifier où se situent les joyaux de la couronne avant de procéder à l’éparpillement du SI, veiller à la cohérence de la sécurité entre les différents prestataires. C’est ce qui explique le retour en force des projets de classification de données (visant à identifier les informations les plus critiques de l’entreprise, NDLR).

Est-ce que cela signifie que le travail du RSSI devient moins technique, plus tourné vers le juridique, la contractualisation ?

Il faut que le RSSI reste en mesure de poser les bonnes questions face aux solutions techniques des prestataires. Mais c’est vrai que les considérations contractuelles et juridiques prennent davantage de place. Les RSSI doivent peser sur les contrats des prestataires du Cloud, par exemple pour y faire ajouter des clauses d’audit.

En l’état, les contrats proposés par les grands noms du Cloud sont-ils satisfaisants ?

C’est plutôt tout le contraire ! Un contrat Office 365, par exemple, ne comporte en réalité que des pièges, des clauses uniquement favorables au prestataire. Par exemple, Microsoft a garanti un hébergement en Europe à une société internationale dont le siège est en France. Mais, en réalité, cette société a découvert que les données bureautiques et les boîtes aux lettres de ses salariés brésiliens ou asiatiques seraient stockées dans des datacenters situés hors d’Europe. Pendant très longtemps, Microsoft pouvait aussi migrer les données d’un datacenter à l’autre sans prévenir le client concerné. Et ce qui vaut pour Microsoft, vaut aussi pour Salesforce, IBM et autres. C’est aux RSSI de mettre la barre plus haut afin de pousser les prestataires à modifier leurs contrats, comme a commencé à le faire Microsoft.

Les récentes attaques qui ont été médiatisées laissent entrevoir des assaillants déterminés, qui ciblent des utilisateurs bien précis, identifiés par exemple via les réseaux sociaux, avant de progresser au sein des réseaux des entreprises visées. Comment les RSSI peuvent-ils lutter contre cette sophistication de la menace ?

A.B. : Le combat est inégal et l’utilisateur se trouve exposé. Sur Dridex par exemple (un malware ciblant les données bancaires via une campagne de phishing qui a récemment touché les entreprises françaises, NDLR), certains utilisateurs ont cliqué sur la pièce jointe simulant une facture. Même s’ils ne traitent jamais ce type de documents au quotidien ! Il faut donc poursuivre les actions de sensibilisation. Mais cela ne suffira pas. Même si c’est en apparence contradictoire avec la numérisation et le suréquipement des salariés, il faudra renforcer la sécurisation des terminaux. La sécurité ne peut pas reposer sur le seul bon vouloir de l’utilisateur. Par exemple, interdire le lancement des .exe inconnus permet de se prémunir de menaces de type Dridex. Dans les SOC (Security Operations Center), on assiste à une évolution similaire, avec une prise en compte grandissante des scénarios métier pour détecter les fraudes. Quand un utilisateur se connecte depuis un lieu inhabituel pour une opération inhabituelle, une alerte doit se déclencher.

Avec la montée de ces menaces, les budgets sécurité des entreprises vont-ils encore progresser en 2016 ?

A.B. : Même si mon opinion n’est peut-être pas partagée par tous, j’en suis convaincu. La numérisation en marche va se traduire par plus d’ouverture des SI et par davantage de terminaux placés entre les mains des utilisateurs. Il faudra donc absolument réduire les risques liés à cette exposition grandissante, par une meilleure anticipation et une intégration de la sécurité au cœur des projets. Dans ce contexte, les valeurs du RSSI, la classification des données, l’analyse des risques, retrouvent des couleurs.

Pour investir dans des solutions, encore faudrait-il que les éditeurs conçoivent des outils dont nous avons réellement besoin, et non ceux qu’ils souhaitent nous vendre. Alors qu’on nous en rabat les oreilles depuis plus de 3 ans, les outils anti-APT commencent tout juste à être efficaces. Idem pour les SIEM (Security event information management, systèmes de gestion et de corrélation des logs, NDLR) dont on parle depuis près de 10 ans. Les avancées de la technologie ne suivent pas le rythme des progrès des assaillants. Les études estiment qu’il faut en moyenne entre 180 et 240 jours à une entreprise pour détecter une faille de sécurité. Un seul jour suffit à un assaillant pour l’exploiter.

A lire aussi :

Alain Bouillé, Cesin « Le RSSI vit avec une épée de Damoclès au-dessus de la tête »

Les RSSI ont-ils réussi à dompter leur budget ?