LMI. Madame Salvan. Vous êtes présidente du Cefcys, pouvez-vous nous en dire plus sur cette association ?
Nacira Salvan. Bonjour Dominique. Le Cefcys est une association créée en 2016 pour promouvoir la place de la femme dans la cybersécurité. Nous portons une mission principale aussi de sensibilisation aux métiers de la cyber et à l'usage sécurisé de du numérique. Nous avons publié un livre « Je ne porte pas de sweat à capuche pourtant je travaille dans la cybersécurité » qui est un guide de formation et des métiers de la cybersécurité. On y trouve les témoignages de 23 cyberwomen pour dire que ce métier est aussi ouvert aux femmes.
A quels enjeux doivent répondre les RSSI ?
Aujourd'hui, les enjeux sont nombreux, notamment liés à l'évolution du métier du numérique, il y a le cloud, l'intelligence artificielle, la blockchain, le big data...Toutes ces nouvelles technologies, quand bien même intéressantes, ont apporté aussi une quantité importante de vulnérabilités à laquelle il faut faire répondre. Face à cela, les menaces ont augmenté, sont diversifiées et sont beaucoup plus puissantes et ciblées. C’est ce qui rend l’exercice du métier de RSSI beaucoup plus complexe et difficile alors que la menace n'arrête pas de grandir. Parallèlement on manque aussi beaucoup de compétences dans ces filières qui sont, en cette période de crise, vraiment cruciales. Malheureusement en termes de formations, on n'arrive pas à fournir aujourd'hui la quantité d'experts nécessaires pour faire face à toutes les situations, normales ou en période de crise.
Comment les RSSI ont traversé la crise ?
Pour avoir moi-même vécu quelques crises ces dernières années, je peux vous dire que c'est très complexe de vivre cette période en plein Covid où les menaces de cybersécurité se propagent largement plus vite que le virus lui-même. Beaucoup de menaces ont profité de l’inquiétude des personnes et de leur peur lorsqu'elles sont allées sur Internet pour chercher des informations sur ce virus, s’informer et se protéger... Et un certain nombre d'entre elles se sont fait piéger.
La crise a aussi vu la montée en puissance du travail…
C’est un autre axe très important en cette période. Du jour au lendemain on a demandé à des milliers de salariés de rester chez eux pour assurer un certain niveau de continuité d'activité. Cependant, cela a apporté beaucoup de vulnérabilités avec les utilisateurs qui n'ont jamais effectué de télétravail auparavant, sans avoir été informés et sensibilisés. On arrive à une situation très complexe, et les attaquants ont profité de cette faiblesse pour lancer des milliers d’attaques. À commencer par du phishing avec de faux e-mails de l'OMS, des RH, d'agences de voyage et même des applications comme Covidblock utilisé par les attaquants pour véhiculer des ransomwares et bloquer les téléphones en demandant des rançons. C’est une période très difficile dans la vie du RSSI.
Les missions du RSSI ont-elles évolué avec cette crise ?
La mission du RSSI aujourd'hui est très complexe, notamment à cause d'un manque de reconnaissance, mais aussi de son rôle qui reste flou selon les organisations. Aujourd’hui le RSSI est frustré et même stressé encore plus en cette période de Covid où il doit dérouler une stratégie de sécurité dans un contexte de cybermenaces accentuées. Il est aussi stressé parce qu'il doit se conformer à une réglementation, qu'il craint d'être tenu responsable en cas d'atteinte à la sécurité, et aussi par le manque de compétences dont il aura besoin. Et puis aussi par la complexité des systèmes d'information qui sans cesse est de plus en plus importante et la menace qui s'accroît avec. En cette période, le RSSI est bien sûr en frontal de l’ensemble des risques cyber qu’il peut trouver. Il doit faire face aux besoins de sensibilisation des utilisateurs qui restent ceux les plus exposés aux menaces.
Comment le RSSI peut-il affronter la crise ?
Par de la gestion de crise en trois phases : une première, proactive, en préparant les moyens techniques organisationnels pour répondre à une crise. Ensuite, dans la crise se montrer réactif pour y répondre. Et puis faire du retour d'expérience par rapport à ce qui s'est passé. Malheureusement, par expérience, ce n'est jamais le cas. On fait le pompier en période de crise, mais une fois que la crise est passée on oublie tout ce qui a été fait. Quand bien même en on va se dire que l'on prépare une période proactive avant crise, les plans de secours sont rarement testés, comme les sauvegardes. Le patch management c’est une belle histoire : quand bien même le RSSI va faire son scan de vulnérabilités, sur les centaines combien seront corrigées ? C’est problématique, il va se retrouver en best effort et en mode nominal. Le RSSI est confronté à plusieurs problématiques, mais en période de crise c'est vraiment le pompier et ce qu’il va faire c'est gérer cette situation jusqu’au bout.
A quelles difficultés sont soumis les RSSI ?
En premier, le RSSI qui est rattaché à la DSI a des avantages parce qu'il est proche des équipes opérationnelles, donc proche de celles qui vont mettre en place la politique de sécurité. Mais quand il est rattaché au risque, il n’a pas la visibilité sur la mise en place de la politique. Et quand bien même il peut avoir des avantages quand il est rattaché à la DSI, il sera confronté au problème de budget. Cela veut dire que le budget du SSI est dans le budget de la DSI et souvent par expérience c'est la ligne du RSSI qui va sauter quand il faut tailler dans les budgets. Donc selon l’organisation, soit il manque de vision opérationnelle, soit le RSSI va avoir cette vision, mais n'a pas les moyens de la mettre en place. Cette politique n'est souvent pas appliquée, qu’il soit à l’intérieur ou à l’extérieur de la DSI. Cela reste d’abord une problématique de moyens, de ressources et d'organisation. Le RSSI doit avoir son mot à dire pour faire appliquer la politique de sécurité, de sauvegarde, des patchs management, des gestions des incidents. Et d'avoir une certaine relation avec les opérationnels. L’organisation idéale n’existe pas, associée à cela des souvent des règles mal respectées par les utilisateurs, de la sensibilisation qui ne marche pas comme on le veut... Et à la fin on tient le RSSI responsable.
Quel est finalement le rôle du RSSI ?
Le RSSI a besoin d'être compris et de soutien s'il veut jouer très bien son rôle et le travail que l'on attend de lui. Il faudrait déjà qu'il soit écouté aussi bien par la hiérarchie bien sûr, que des utilisateurs. En matière de sensibilisation il a besoin de soutien, de compréhension et aussi savoir construire des coalitions. Il faut qu'il puisse avoir ce soutien parce que les RSSI qui ne sont pas écoutés j'en connais un grand nombre.
Ensuite il faut aussi qu'il ait un rôle de communicant avec beaucoup de pédagogie. Le RSSI ce n’est pas « Monsieur ou Madame non ». Il faut sortir de ce rôle et être proche des métiers. On fait de la sécurité pour protéger les business et les métiers, pas forcément et uniquement l’IT. Et surtout le RSSI doit montrer qu'il a une vision stratégique, tournée vers le futur et le business. Il doit aussi se former et prendre des cours, être dans la prévention, la sensibilisation et l’écoute. C'est très important que les gens sachent qu'il y a un RSSI sur qui ils peuvent compter.
Bonjour,
Signaler un abusMerci pour le sujet très important, j'ai eu plusieurs propositions d'avoir le poste RSSI, pouvez vous nous proposer les premiers démarches à suivre pour démarrer ce poste, surtout sur des organismes qui n'ont pas ce poste avant.
Merci.
Bonjour,
Signaler un abusMerci pour le sujet très important, j'ai eu plusieurs propositions d'avoir le poste RSSI, pouvez vous nous proposer les premiers démarches à suivre pour démarrer ce poste, surtout sur des organismes qui n'ont pas ce poste avant.
Merci.
Bonjour,
Signaler un abusMerci pour le sujet très important, j'ai eu plusieurs propositions d'avoir le poste RSSI, pouvez vous nous proposer les premiers démarches à suivre pour démarrer ce poste, surtout sur des organismes qui n'ont pas ce poste avant.
Merci.