Nous manquons cruellement d’experts en sécurité opérationnelle

Le Clusif, qui rassemble 400 sociétés adhérentes et 900 membres professionnels de la sécurité, met en évidence les défis à relever pour se renforcer face aux hackers.

Comment voyez-vous évoluer la cybersécurité dans les entreprises ?

En raison de la réglementation et de la médiatisation des actes de malveillance informatique, les directions générales sont mieux sensibilisées sur le sujet. Les mesures qu’elles prennent pour se protéger vont dans le bon sens, mais la marge de progression reste importante, surtout dans les PME. En outre, de nouveaux problèmes sont apparus, notamment pour ce qui concerne les risques liés au phénomène de l’externalisation dans le cloud.

Quel est l’état de protection des entreprises ?

Tout dépend du niveau de sensibilité aux cyberrisques de la société. Plus celui-ci est élevé, plus elle s’équipera d’outils de sécurité pertinents et performants. Bien évidemment, l’investissement à consentir porte aussi sur les ressources humaines. Ainsi, les responsables de la sécurité des systèmes d’information [RSSI] affirment leur présence. Même quand les organismes sont tentés de réduire certains budgets en raison de la crise, les ETI – voire les PME – hésitent à se priver de leur fonction, afin de garder le contrôle de leur cybersécurité et d’en maîtriser les risques.

Comment jugez-vous la qualité technologique des solutions fournies par les éditeurs et constructeurs ?

La puissance marketing de certains fournisseurs est telle que la qualité de leurs produits se mesure parfois à l’aune de leur seule notoriété. La qualité perçue alors à travers le prisme des messages publicitaires ne correspond pas forcément à la qualité avérée. L’arrivée d’une certification européenne va changer la donne. Cela dit, il faut reconnaître que les produits des grandes marques, fortes d’une renommée favorable, ne sont pas toujours convenablement configurés ni mis en oeuvre de façon appropriée par les utilisateurs, pour assurer une protection optimale.

Quelles sont les nouvelles problématiques placées au coeur des enjeux de sécurité ?

Parmi les grands défis à relever par les RSSI, figure le phénomène du travail à distance. Il engendre une dépérimétrisation informatique qui constitue un risque. Lorsqu’un système d’information est sans frontière, la vulnérabilité de l’entreprise augmente. Quant à l’externalisation de leur informatique dans le cloud, les entreprises devront se poser la question de la confiance à manifester dans la gestion des données par les hébergeurs, en termes d’accès, disponibilité, qualité de service, etc.

Le cloud vous apparaît-il comme une solution à préconiser aux PME pour une informatique sécurisée ?

Je conseillerais à une entreprise de bien réfléchir avant de confier toutes ses données à un opérateur cloud. Une telle solution peut impliquer d’importantes conséquences en termes de dépendance vis-à-vis du prestataire. En outre, sous l’angle juridique, il vaut mieux s’assurer que celui-ci n’est pas soumis à l’extraterritorialité du droit américain, par exemple. L’appel à la prudence par le RSSI n’est malheureusement pas toujours entendu par les directions générales, plus sensibles à l’agilité d’une informatique en ligne.

Le cyberrisque n’est-il pas avant tout un problème de pénurie de compétences ?

En ce qui concerne le recrutement de compétences, nous partons de loin. Certes, depuis l’entrée en vigueur du RGPD, les entreprises consacrent des budgets significatifs pour s’offrir les services de spécialistes de la protection des données que sont les data protection officers. Toutefois, nous manquons d’experts en sécurité opérationnelle comme les RSSI, au plus près des préoccupations métier. En raison de cette pénurie, les prestataires de services ont là, l’opportunité de rafler la mise.

BIO EXPRESS
Jean-Marc Grémy cumule trente ans d’expérience dans l’ingénierie des réseaux et la sécurité. Il commence sa carrière dans la Marine nationale, avant de travailler pour le groupe Alcatel, puis Synthélabo. Dès 1997, il se consacre aux métiers du service, et crée Ipelium, spécialisée en mobilité et en sécurité. En 2007, il fonde le cabinet Cabestan Consultants, qui l’amène à remplir des missions de conseil et de formation, notamment pour la Certified Information Systems Security Professional. Il préside le Clusif depuis 2016.