Lors du Paris Cyber Summit 2023, qui s'est tenu les 6 et 7 juin à Paris, une session était consacrée à l'innovation ouverte pour les acteurs de la cybersécurité, en particulier les RSSI et directeurs de la cybersécurité, qui portent le sujet au sein des entreprises. Après une intervention de Thiébaut Meyer, directeur au sein du bureau des CISO chez Google Cloud (voir encadré), quatre CISO ont présenté, lors d'une table ronde, les fruits de travaux collaboratifs menés dans un esprit de co-innovation, autour de la plateforme 42k.io.
« La menace d'aujourd'hui n'est pas celle de la semaine dernière. Nous avons besoin d'innover aussi dans les outils pour se défendre », affirme Benoît Moreau, directeur cybersécurité de Nexter, pour introduire le sujet. Il évoque ensuite un dilemme auquel les CISO sont fréquemment confrontés : la cybersécurité doit aujourd'hui être prise en compte dès la conception d'un nouveau produit, mais cette cybersécurité a un coût, qui se répercute sur le coût final du produit. C'est d'autant plus le cas lorsqu'il s'agit de solutions innovantes, qui peuvent être coûteuses. « Cela va-t-il être rentable pour l'entreprise ? Il faut se mettre du côté du client, se demander si celui-ci veut aujourd'hui acheter de la cybersécurité », préconise Benoît Moreau.
Co-construire des solutions aux problématiques communes
Pour réduire le coût de la cybersécurité, l'un des moyens possibles consiste à mettre en commun certaines problématiques, pour éviter d'avoir autant de réponses différentes que d'entreprises. C'est cette idée qui a donné naissance à la plateforme 42K.io, portée par le magazine spécialisé Cyberun. Plusieurs CISO et directeurs de la cybersécurité se sont réunis au sein de celle-ci pour co-construire des solutions innovantes en réponse à des enjeux communs. Les deux premiers groupes de travail ont ainsi porté sur la cartographie des systèmes d'information et la sensibilisation.
La cartographie du système d'information figure dans les premières étapes de la mise en place d'un système de management de la sécurité de l'information. Mais cette étape indispensable s'avère souvent complexe à mettre en oeuvre, car il existe souvent autant de représentations du SI que d'interlocuteurs, sans compter les nombreuses couches différentes que les SI comportent. « Nous avons cherché à comprendre comment construire une vision du système d'information à la fois suffisamment simple pour être compréhensible, mais assez détaillée pour avoir l'information dont nous avons besoin à l'instant T, tout en restant maintenable », explique Laurent Thery, directeur cybersécurité des Galeries Lafayette. Avec Alban Siffer, CTO de la startup situation.sh, le groupe de travail a établi une structure de dossier d'architecture comprenant toutes les informations importantes pour les RSSI, ainsi qu'un livre blanc détaillant la méthodologie.
Une grille des besoins sur la sensibilisation
Le second volet, celui du e-learning et de la sensibilisation des utilisateurs à la cybersécurité, figure également sur toutes les feuilles de route. Mais c'est un sujet sur lequel l'expression des besoins peut s'avérer difficile, selon Christophe Pugnoud, CISO du groupe Actual. Par ailleurs, du côté des fournisseurs de solutions, ceux-ci ont également besoin de rendre leurs offres plus lisibles auprès des entreprises, une démarche aujourd'hui chronophage selon Michel Gérard, PDG de l'éditeur Conscio Technologies. Partant de ces constats, le groupe a conçu un premier outil simple, sous forme de grille Excel, pour servir de référentiel commun aux deux parties. Cet outil réunit 200 critères fermés, que les RSSI peuvent pondérer en fonction de leurs besoins et de leur contexte. « Cela permet de se poser de façon précise la question de nos besoins, en fonction du public ciblé par exemple. Si l'on s'adresse à des professionnels de l'IT, ceux-ci n'ont pas forcément envie de repartir de zéro sur les pratiques de sécurité », illustre Kien Tendjoukian, CISO de Kontron. Du côté des éditeurs, l'outil apporte également une visibilité sur les fonctionnalités les plus recherchées, en leur donnant des pistes d'évolution pour leurs produits.
À la rentrée, 42k.io va démarrer un nouveau groupe de travail, cette fois-ci autour de la souveraineté. Le concept englobe, en effet, tout un panel d'exigences, liées au niveau de maîtrise recherchée sur son système d'information. De façon similaire aux travaux réalisés sur la sensibilisation, l'objectif est de faciliter l'identification de ce qui est nécessaire pour traiter un risque, tant du côté des RSSI que des solutions du marché.
« La cybersécurité est un prérequis pour l'innovation, c'est la clef pour réussir à construire des produits et solutions viables », rappelle Benoît Moreau. Soulignant la valeur des approches d'innovation ouverte, il évoque la possibilité pour les RSSI de s'impliquer également dans la conception des futures réglementations et référentiels les concernant. « Par exemple, certains métiers peuvent avoir des corpus d'exceptions communs. Si ces exceptions avaient été partagées en amont, peut-être que le référentiel aurait été plus adapté. » Pour finir, il insiste également sur l'indispensable collaboration entre les métiers de la sécurité et ceux de l'IT. « RSSI et DSI forment un binôme. Nous avons besoin d'apprendre les uns des autres, nous formons une équipe », affirme Benoît Moreau, partageant les propos de Thiébaut Meyer (cf. encadré).
Paris Cyber Summit : unir ses forces pour mieux se protéger
L'ère de la cybersécurité chacun dans son coin est révolue. Pour répondre plus efficacement aux nombreux enjeux auxquels sont confrontées les entreprises, les RSSI et les autres acteurs de la cybersécurité unissent leurs forces. Retour sur une table ronde du Paris Cyber Summit 2023, où l'innovation ouverte était à l'honneur.