Interview croisée Cesin Clusif Sécurité Dossier Les entreprises réagissent RÉAGISSENT les systèmes de secours eux-mêmes sont infectés potentiellement. Les entreprises doivent donc d’abord mesurer l’efficacité de leur système de prévention, de protection et de détection. Par ailleurs, il faut totalement déconnecter leurs dispositifs de secours du système de production, et mettre à jour leur procédure de gestion J.- M.G. Le défi à relever est le suivant : si les grandes decrise, puis la tester. entreprises ont les moyens financiers de mettre en place J.- M.G.Le préalable à la résilience est la définition des SOC et de disposer de personnels dédiés à la d’un plan de continuité, comprenant notamment sécurisation 24/7 des SI, la plupart des PME sont, elles, la sauvegarde des données, l’isolation du réseau et démunies pour faire de la gouvernance en sécurité. l’externalisation d’une partie du système d’information. On doit fournir des offres de services accessibles aux Par ailleurs, le recours à desspécialistes de la ETI et aux PME leur permettant de maîtriser les coûts. remédiation est préconisé. Làencore, mieux vaut prévoir de s’adresser à des sociétés de services Pourquoi peine-t-on toujours à détecter les menaces ? qui accompagneront la remise en condition J.- M.G. D’une part, l’évolution du SI, notamment avec opérationnelle des ordinateurs. bio express le cloud, favorise l’extension de la menace. De fait, Alain Bouillé le périmètre d’intervention s’est étendu pour assurer Suite aux révélations des lanceurs d’alerte, les la sécurité. D’autre part, trouver des ressources entreprises doivent-elles se méfier des géants humaines compétentes et à un coût raisonnable d’Internet et des opérateurs télécoms américains ? Alain Bouillé préside, depuis est l’un des gros problèmes qu’on rencontre pour J.- M.G. En attendant des offres souveraines en 2012, le Club des experts réaliser des opérations de cybersécurité. Et puis, France, afin de limiter les risques liés aux systèmes de la sécurité de l’information le hacker a toujours un coup d’avance et sait exploiter d’information hébergés, les États-Unis règnent et du numérique (Cesin), les points faibles des dispositifs. en maître dans le monde des services informatiques qui regroupe plus de 450 RSSI A. B. Le baromètre cybersécurité des entreprises et dans l’Internet. Méfions-nous des sirènes du cloud, de grandes entreprises. françaises 2018 du Cesin indique que plus de 60 % en mettant en œuvre des éléments de sécurité Il est directeur de la sécurité des RSSI interrogés considèrent que les solutions tels que le chiffrement. des systèmes d’information installées dans les sociétés sont « perfectibles ». A. B. Certes, la prudence est de mise. Mais le résultat d’une grande institution Par ailleurs, à force d’empiler les boîtiers de sécurité n’est pas très encourageant puisque l’on constate financière française. Il est pour tous les types de maux, l’arsenal se complexifie. un engouement pour les solutions américaines, malgré en charge de l’élaboration Enfin, en matière de protection, si les antivirus étaient le Cloud Act et les lanceurs d’alerte. On n’en a pas de sa politique de sécurité, efficaces, dès qu’ils sont mis à jour, des attaques telles vraiment tiré de leçons. On assiste à un phénomène de la coordination et du pilotage que WannaCry ou NotPetya échoueraient. Même avec moutonnier : tout le monde signe les mêmes contrats de sa mise en œuvre dans des budgets conséquents et une panoplie importante, avec les mêmes fournisseurs. Le risque d’ingérence les entités de ladite institution il est très compliqué de bien se protéger. économique devrait nous préoccuper. et du contrôle de son efficacité. Jusqu’en 2001, Alain Bouillé Quel plan suivre pour rendre une entreprise Que demandez-vous à un prestataire dans la gestion était RSSI du Groupe La Poste où cyberrésiliente ? du risque cyber ? il exerçait des fonctions similaires. A. B. Comme on l’a vu avec NotPetya, tous les plans A. B. Face à la pléthore d’acteurs sur ce marché, Il a auparavant été en charge de continuité classiques ne fonctionnent pas, car nous nous adresserons en priorité à celui qui fait tous du programme sécurité les efforts pour obtenir les labels de l’Agence nationale du système d’information de la sécurité des systèmes d’information ( Anssi). chez JP Morgan pour les régions « Sensibiliser les Par ailleurs, il est essentiel que s’établisse une relation Europe et Afrique. collaborateurs à la politique de confiance entre client et prestataire. Voilà pourquoi nous attachons beaucoup d’importance à la qualification de sécurité, à tous les de ces offres de services en cybersécurité, afin de faire niveaux de la hiérarchie » le bon choix. J.- M.G. Le prestataire et son client naviguent dans la même barque. Ils se partagent les enjeux dans Jean-Marc Grémy, président du Club de la la sécurité informatique. Pour son chiffre d’affaires sécurité de l’information français (Clusif) comme pour son image de marque, le prestataire est réellement partenaire du client. Les risques concernent l’un et l’autre. ■ Suite du dossier p. 108 novembre 2018 | E.D.I N°83 107