Dossier Sécurité Interview croisée Cesin Clusif Propos recueillis par Thierry Bienfait LES ENTREPRISES Souvent cachées sous le manteau, les mésaventures cybersécuritaires doivent faire l’objet de déclarations. Une raison supplémentaire pour les entreprises de mieux s’armer contre les attaques et les vols de données. Toutes les entreprises sont-elles conscientes de l’aspect stratégique que revêt la sécurité informatique ? Je an-Marc Grémy Grâce à la médiatisation des cyberattaques, une prise de conscience a bien lieu. Mais beaucoup d’entreprises ne considèrent pas encore « D’abord mesurer l’aspect stratégique que revêt la sécurité informatique l’efficacité du système pour leur business. Al ain Bouillé La tendance est à l’amélioration Les grandesentreprises et les ETI ont compris les enjeux quede prévention, de protection revêtent à la fois l’usage du digital et sa sécurisation. et de détection » Le digital non sécurisé peut être très rapidement repéré et pillé par les hackers. Illustrant une prise de conscience Alain Bouillé, président du Club des de l’importance du security by design, le nombre de RSSI experts de la sécurité de l’information réunis au sein du Cesin est passé de 30 à 450 en six ans. et du numérique (Cesin) Y a-t-il un effet RGPD dans la politique cybersécuritaire, même auprès des entreprises ne recueillant pas des données personnelles ? Les sociétés semblent toujours autant exposées A. B. Parallèlement aux données à caractère personnel aux risques. Quels chantiers reste-t-il à engager visées par le RGPD, nombre de RSSI ont naturellement pour mieux les protéger ? porté leur attention sur le reste du patrimoine J.- M.G. La technique, avec des équipements de sécurité informationnel. Car, s’il n’est pas soumis au RGPD, fréquemment déployés par des prestataires ce dernier peut être des plus sensibles, et nécessiter informatiques, a sensiblement progressé ces dernières encore davantage de protection que les données années. En revanche, beaucoup d’efforts restent à caractère personnel. à accomplir pour sensibiliser les collaborateurs à la J.- M.G. Sous l’impulsion notamment des sociétés politique de sécurité dans les sociétés, à tous les niveaux de services qui y voient une opportunité pour vendre de la hiérarchie. Un autre gros chantier concerne du conseil ou des produits de sécurité, le RGPD touche une meilleure prise en compte des exigences de sécurité aussi les entreprises qui ne sont a priori pas directement quand l’entreprise externalise son outil informatique concernées. Elles sont également sensibilisées à cette chez un tiers, un hébergeur cloud par exemple. réglementation par le biais de leurs experts-comptables A. B. Le chantier est permanent. Avec la digitalisation ou de leurs avocats-conseils. Enfin, les sanctions liées au galopante ou l’ouverture des systèmes d’information RGPD font un effet de loupe sur les données à protéger. sur le cloud, les données sont de plus en plus exposées. Les entreprises sont par conséquent de plus en plus vulnérables. Avec l’apparition de risques inédits, le travail bio express des RSSI est alors démultiplié. Jean-Marc Grémy L’accent a été mis sur la prévention ces dernières années. Doit-on se focaliser davantage sur la détection ? Jean-Marc Grémy compte près de trente ans d’expérience dans les domaines de l’ingénierie A. B. Même associée à de la prévention et à de la des réseaux et de la sécurité. Il commence sa carrière dans la Marine, avant de rejoindre formation, la protection semble inopérante, malgré Alcatel, puis intègre Synthélabo. À partir de 1997, Jean-Marc se consacre aux métiers des l’empilement de solutions de sécurité. La détection, services. Il crée l’intégrateur Ipelium, dans le domaine de la mobilité et de la sécurité. Depuis la réaction voire la reconstruction sont donc prises 2007, il évolue dans le consulting. Fondateur du cabinet Cabestan Consultants, il partage son en compte dans les politiques sécuritaires. Pour que temps entre des missions de conseil et la formation, notamment pour la certification CISSP. les malwares fassent le moins de ravages possible, En 2016, il devient président du Club de la sécurité de l’information français (Clusif). les SOC (security operations center) se multiplient et marquent une tendance à l’externalisation. 106 E.D.I N°83 | novembre 2018