Le Cesion (Club des Experts de la Sécurité de l'Information et du Numérique) a rassemblé 140 RSSI de grandes entreprises et administrations, adhérents de l'association, à l'occasion de son cinquième congrès annuel, les 5 et 6 décembre 2017 à Reims. La thématique centrale de l'événement était l'évolution du rôle du RSSI dans les prochaines années, avec en fil rouge, le portrait-robot du RSSI de 2020. Afin de permettre des échanges à la fois riches et sereins, sur des sujets sensibles, entre RSSI, le congrès était placé comme d'habitude sous la règle de Chatham House : les propos tenus peuvent être mentionnés et utilisés mais sans révéler de manière directe ou indirecte qui les a tenus.
Conférences plénières et ateliers pratiques ont tout de même permis de dresser un bilan des menaces perçues par les RSSI sous ce fameux horizon de 2020. Le maire de Reims, Arnaud Robinet, est intervenu pour saluer le travail du club dans le cadre du développement du numérique dans le tissu économique local. Trois des interventions en plénière ont été consacrées à l'intelligence artificielle (IA) dont les usages peuvent à la fois servir le RSSI lorsqu'il l'utilise (détection d'attaques furtives...) et entraîner des risques dans d'autres cas.
Désilotage et co-responsabilité
La révolution digitale entraîne également un désilotage du système d'information et une implication plus grande des métiers. Il en résulte un besoin de co-responsabilité des différents acteurs, utilisateurs inclus. En particulier, les méthodes dites « agiles » et notamment le DevOps entraînent la nécessité d'une autre approche de la sécurité. En atelier, l'IoT a également été traité. Les risques peuvent concerner avec ces technologies non plus seulement des données mais bien la mise en danger de la vie humaine.
De la même façon, le cloud inquiète les RSSI tant à cause de sa nature même qu'à cause des contrats aux clauses parfois contradictoires.
En matière de cloud, la migration vers Office 365 concerne plus de la moitié des entreprises représentées au congrès. Les risques associés au dépôt dans le cloud de documents bureautiques peu structurés, délicats à qualifier mais parfois riches d'informations confidentielles, ont incité le Cesin à consacrer un atelier spécifique au sujet. L'adhérence au fournisseur de service est elle-même un risque. Le recours à des services cloud peut également s'opérer en mode shadow IT, tout comme l'accès via des terminaux mobiles, éventuellement personnels. Il est essentiel, a rappelé le Cesin, que le RSSI sache débusquer les usages de Shadow IT.