Depuis longtemps, l'entreprise ne se limite plus à des locaux physiques bien identifiés. La collaboration avec clients, fournisseurs et partenaires comme le développement du travail ubiquitaire ont amené à gérer l'entreprise étendue. Evidemment, le système d'information doit suivre cette évolution. Et le DSI comme le RSSI se doivent de garantir le bon fonctionnement de ce SI étendu, notamment du point de vue de la sécurité.
C'est pourquoi CIO organisait le 3 juillet 2018 une matinée sur le thème « Assurer la sécurité de l'entreprise étendue - mobilité, collaboratif, SI ouvert : dire oui, mais sans risque ». Outre les témoignages de Groupama, de Transdev de l'Académie de Versailles du SESAN et de Volkswagen Groupe France, les participants ont bénéficié des expertises de Axway, Box, CA Technologies, Forcepoint, Hub One et Orange Business Services / Huawei.
A l'heure du RGPD, les bonnes pratiques manquent à l'appel
La matinée a commencé, comme lors de chaque CIOnférence, par la présentation de l'étude réalisée par CIO auprès de ses lecteurs. Or les résultats de l'étude Comment sécuriser l'entreprise ouverte ? démontrent que même les pratiques basiques de sécurité sont loin d'être adoptées. Pire, les bonnes pratiques ne sont souvent même pas envisagées. A l'heure de l'application du RGPD, c'est tout de même très gênant.
Car, comme Cédric Prévost, Directeur Marketing Sécurité d'Orange Business Services l'a relevé, nous sommes dans la période « GDPR, le jour d'après ». « Nous sommes encore dans une phase transitoire après l'entrée en fonction du RGPD, où l'intention de bien faire compte presque autant qu'avoir bien fait » a-t-il voulu rassurer. Mais, pour cet acteur présent sur l'ensemble de la chaîne de valeur de la donnée (de la collecte au stockage sécurisé en passant bien sûr par le transport), le RGPD a d'ores et déjà des effets bénéfiques. Qu'il s'agisse des notifications de simples suspicions d'atteinte à l'intégrité des données ou, plus important, de l'accroissement de la qualité des données personnelles traitées. Enfin, le RGPD oblige à une maîtrise des sous-traitants et donc à une bonne gestion des contrats et des rôles.
« GDPR, le jour d'après » a raconté Cédric Prévost, Directeur Marketing Sécurité d'Orange Business Services.
Faire contre mauvaise fortune bon coeur
Les données personnelles gérées peuvent être suffisamment sensibles pour exiger des mesures particulières de protection. Par exemple, Groupama est un groupe mutualiste d'assurances gérant des contrats aussi bien en santé qu'en habitation ou en automobile. La sécurité de ces données est une question de résilience du groupe. Pourtant les risques peuvent être importants, notamment avec l'IoT permettant de tracer les comportements routiers ou bien l'état de santé des personnes âgées dépendantes. Bien entendu, cette gestion des risques concerne également les utilisateurs internes du groupe.
Patrick Prosper, RSSI de Groupama, a témoigné de la garantie de la résilience à l'heure de l'ouverture du SI.
Face à des phénomènes que l'on ne peut pas bloquer au nom du business, qu'il s'agisse d'IoT, de cloud ou de certaines pratiques des utilisateurs, il faut savoir les gérer sous l'angle des risques. « Le RSSI ne doit jamais bloquer le business ou l'agilité de l'entreprise » a averti Christian Guyon, Sales Engineering Manager de Forcepoint. Mais la réponse qui consiste à multiplier anarchiquement les outils de sécurité n'est pas bonne non plus car ces outils deviennent ingérables. Il y a donc besoin d'une gouvernance et d'une supervision de la sécurité afin qu'elle soit harmonisée et unifiée dans toute l'entreprise.
« Sécuriser l'utilisateur et les données de l'entreprise au-delà des frontières traditionnelles du SI » a été explicité par Christian Guyon, Sales Engineering Manager de Forcepoint.
Sécuriser les flux
C'est évidemment essentiel dans une entreprise non seulement très étendue mais même très éclatée. Transdev en est un exemple parfait : opérateur de mobilité dans une vingtaine de pays, la société propose des services de transports sous diverses marques, des réseaux de bus urbains aux autocars inter-cités Isilines en passant dans les trains (pas en France pour l'instant). L'IoT concerne ainsi la remontée d'informations, notamment le relevé de l'éthylotest de démarrage des autocars, mais également la distribution d'informations destinées aux voyageurs (temps d'attente) ou aux conducteurs (itinéraire bis en cas d'embouteillage). La sécurité, qui n'était plus réellement incarnée mais était devenue une fonction annexe des autres responsables avant la nomination de Farid Ilikoud comme CISO du Groupe Transdev, passe par une démarche en plusieurs étapes. Il s'agit tout d'abord de vérifier le niveau de maturité de chaque implantation du groupe avant de définir la gouvernance de la SSI appropriée puis, enfin, de mettre en oeuvre concrètement le plan défini.
Farid Ilikoud, CISO du Groupe Transdev, a témoigné de la sécurité IT d'un opérateur de mobilité transnational.
L'entreprise étendue est, de toutes les façons, le sous-jacent de toute digitalisation. « La digitalisation implique des échanges avec des partenaires, des clients, des fournisseurs... et il faut protéger ces flux » a pointé Alexis Fritel, Lead Sales Engineer de Box. Pour lui, « la fragmentation de la gestion des contenus est un obstacle à une véritable transformation digitale ». Les échanges de données sont la base de la collaboration. Et cette collaboration peut aussi bien concerner des échanges de l'interne vers l'externe, de l'externe vers l'interne et de l'interne vers l'interne.
Alexis Fritel, Lead Sales Engineer de Box, a expliqué : « Entreprise étendue et ouverte : comment sécuriser les Digital Workplace ? »
Les failles de la collaboration
Mais la collaboration implique des êtres humains faillibles dont les imperfections doivent être prises en compte. « Quand il pleut, ne pas aimer la pluie ne change rien, il vaut mieux avoir un parapluie » a jugé David Boucher, Customer Cybersecurity Director de Hub One. Cette filiale à 100 % du groupe Aéroports de Paris est un spécialiste des infrastructures sensibles. Et pourtant, de son expérience, l'humain est ciblé avant l'infrastructure. Or la sensibilisation et la formation des collaborateurs face à l'ingénierie sociale reste un parent pauvre de la sécurité. Pour lui, « il faut faire du facteur humain une force ».
« Social Engineering : comment préparer les membres de l'entreprise face à cette menace ? » a été le sujet de David Boucher, Customer Cybersecurity Director de Hub One.
Ouvrir le SI en bon ordre
Ceci dit, la sécurisation technique reste nécessaire et importante, surtout quand le SI se doit de s'ouvrir aux quatre vents. Frédéric Pozzi, Vice-Président Digital Sales chez Axway, a ainsi expliqué « comment libérer les services, comment les exposer ou se connecter à des services externes exposés par d'autres. » Cette vision d'ouverture est symétrique du tout sécurité qui ferme en premier lieu. Mais l'ouverture doit bien se faire de façon sécurisée. L'API management amène de la gouvernance de ces interconnexions entre systèmes, internes ou externes, y compris à cible interne. Bien gérée, une API peut même constituer le coeur d'un service au sens business. Frédéric Pozzi a ainsi pris l'exemple d'une banque exposant une API d'un générateur de crédit à la consommation, API utilisée par un distributeur utilisant le crédit bancaire en marque blanche pour le financement de ses clients.
« Libérez vos données et vos services ! » a plaidé Frédéric Pozzi, Vice-Président Digital Sales chez Axway.
Le Grand Témoin de la matinée a été Jacky Galicher, DSI et RSSI de l'Académie de Versailles. Son rôle est particulier car il gère, du point de vue IT, 10 % de l'Education Nationale, soit 5 % de la Fonction Publique. Et les cauchemars en sécurité IT deviennent vite des réalités dans un environnement aussi complexe et volumineux. Il peut être étonnant, malgré tout, de voir associés les rôles de RSSI et de DSI. Mais cette association, pour Jacky Galicher, est logique à l'heure du RGPD qui exige le « security by design ».
Jacky Galicher, DSI et RSSI de l'Académie de Versailles, a été le Grand Témoin de la matinée.
Qui a quels droits ?
Tout sécuriser, c'est bien. Mais travailler nécessite d'utiliser données et logiciels. Il convient donc d'accorder des droits aux utilisateurs. Mais quels droits et à qui ? Alors que le périmètre du SI a explosé, que les cyber-attaques se sophistiquent, il ne faut laisser entrer que les personnes autorisées. « Le problème de l'identité est au coeur de l'entreprise étendue » a ainsi défini Bernard Montel, Senior PreSales Manager Europe chez RSA. Cette gestion d'identité, pour ne pas être détournée, doit être à la fois adaptée à toutes les situations et simple d'usage.
Bernard Montel, Senior PreSales Manager Europe chez RSA, a milité pour placer « Identité et Analyse Comportementale au coeur de l'entreprise étendue »
La table ronde qui a suivi, « Sécuriser l'ouverture malgré les nouvelles menaces », a réuni Racim Loucif (RSSI de Volkswagen Groupe France) et Rémi Tilly (RSSI du Sesan, Groupement des établissements de santé d'Ile de France pour le numérique). Là encore, le coeur du discours développé a reposé sur le concept de « security by design ». Qu'il s'agisse de données de santé ou d'objets connectés, le risque doit être maîtrisé.
La table ronde « Sécuriser l'ouverture malgré les nouvelles menaces » a réuni Racim Loucif (RSSI de Volkswagen Groupe France - à gauche) et Rémi Tilly (RSSI du Sesan, Groupement des établissements de santé d'Ile de France pour le numérique).
La qualité du code, un fondement
Mais qui dit « security by design » implique que la conception du code des logiciels amène à un code propre et sécurisé. « Nous constatons un manque criant de contrôle amont sur la qualité du code » a déploré Marie-Benoîte Chesnais, Senior Principal Consultant Presales chez CA Technologies. 60 % des entreprises ne scanneraient pas le code applicatif avant une mise en production, 80 % des tests opérés révélerait des failles et 30 % des failles ne seraient pas corrigées dans les 30 jours : voilà les chiffres cités qui font peur. L'obstacle au contrôle, comme d'habitude est évidemment le besoin d'être agile, d'aller vite. Il est donc indispensable que la sécurité se coule dans les processus de type DevOps sans les bloquer. Et une telle sécurité « embarquée » dans l'agilité est la meilleure garantie d'une agilité efficace.
Marie-Benoîte Chesnais, Senior Principal Consultant Presales chez CA Technologies, a explicité les enjeux du collaboratif étendu.
Bien entendu, au delà des témoignages et interventions d'experts, les discussions se sont ensuite poursuivies au cours du cocktail déjeunatoire. Les participants ont notamment pu échanger avec les partenaires, autour de leurs stands.
Comme les pauses en cours de matinée, le cocktail déjeunatoire final a permis aux participants d'échanger entre eux et avec les partenaires sur les stands de ceux-ci.