Paris Cyber Summit : unir ses forces pour mieux se protéger

L'ère de la cybersécurité chacun dans son coin est révolue. Pour répondre plus efficacement aux nombreux enjeux auxquels sont confrontées les entreprises, les RSSI et les autres acteurs de la cybersécurité unissent leurs forces. Retour sur une table ronde du Paris Cyber Summit 2023, où l'innovation ouverte était à l'honneur.

Lors du Paris Cyber Summit 2023, qui s'est tenu les 6 et 7 juin à Paris, une session était consacrée à l'innovation ouverte pour les acteurs de la cybersécurité, en particulier les RSSI et directeurs de la cybersécurité, qui portent le sujet au sein des entreprises. Après une intervention de Thiébaut Meyer, directeur au sein du bureau des CISO chez Google Cloud (voir encadré), quatre CISO ont présenté, lors d'une table ronde, les fruits de travaux collaboratifs menés dans un esprit de co-innovation, autour de la plateforme 42k.io.

« La menace d'aujourd'hui n'est pas celle de la semaine dernière. Nous avons besoin d'innover aussi dans les outils pour se défendre », affirme Benoît Moreau, directeur cybersécurité de Nexter, pour introduire le sujet. Il évoque ensuite un dilemme auquel les CISO sont fréquemment confrontés : la cybersécurité doit aujourd'hui être prise en compte dès la conception d'un nouveau produit, mais cette cybersécurité a un coût, qui se répercute sur le coût final du produit. C'est d'autant plus le cas lorsqu'il s'agit de solutions innovantes, qui peuvent être coûteuses. « Cela va-t-il être rentable pour l'entreprise ? Il faut se mettre du côté du client, se demander si celui-ci veut aujourd'hui acheter de la cybersécurité », préconise Benoît Moreau.

Co-construire des solutions aux problématiques communes

Pour réduire le coût de la cybersécurité, l'un des moyens possibles consiste à mettre en commun certaines problématiques, pour éviter d'avoir autant de réponses différentes que d'entreprises. C'est cette idée qui a donné naissance à la plateforme 42K.io, portée par le magazine spécialisé Cyberun. Plusieurs CISO et directeurs de la cybersécurité se sont réunis au sein de celle-ci pour co-construire des solutions innovantes en réponse à des enjeux communs. Les deux premiers groupes de travail ont ainsi porté sur la cartographie des systèmes d'information et la sensibilisation.

La cartographie du système d'information figure dans les premières étapes de la mise en place d'un système de management de la sécurité de l'information. Mais cette étape indispensable s'avère souvent complexe à mettre en oeuvre, car il existe souvent autant de représentations du SI que d'interlocuteurs, sans compter les nombreuses couches différentes que les SI comportent. « Nous avons cherché à comprendre comment construire une vision du système d'information à la fois suffisamment simple pour être compréhensible, mais assez détaillée pour avoir l'information dont nous avons besoin à l'instant T, tout en restant maintenable », explique Laurent Thery, directeur cybersécurité des Galeries Lafayette. Avec Alban Siffer, CTO de la startup situation.sh, le groupe de travail a établi une structure de dossier d'architecture comprenant toutes les informations importantes pour les RSSI, ainsi qu'un livre blanc détaillant la méthodologie.

Une grille des besoins sur la sensibilisation

Le second volet, celui du e-learning et de la sensibilisation des utilisateurs à la cybersécurité, figure également sur toutes les feuilles de route. Mais c'est un sujet sur lequel l'expression des besoins peut s'avérer difficile, selon Christophe Pugnoud, CISO du groupe Actual. Par ailleurs, du côté des fournisseurs de solutions, ceux-ci ont également besoin de rendre leurs offres plus lisibles auprès des entreprises, une démarche aujourd'hui chronophage selon Michel Gérard, PDG de l'éditeur Conscio Technologies. Partant de ces constats, le groupe a conçu un premier outil simple, sous forme de grille Excel, pour servir de référentiel commun aux deux parties. Cet outil réunit 200 critères fermés, que les RSSI peuvent pondérer en fonction de leurs besoins et de leur contexte. « Cela permet de se poser de façon précise la question de nos besoins, en fonction du public ciblé par exemple. Si l'on s'adresse à des professionnels de l'IT, ceux-ci n'ont pas forcément envie de repartir de zéro sur les pratiques de sécurité », illustre Kien Tendjoukian, CISO de Kontron. Du côté des éditeurs, l'outil apporte également une visibilité sur les fonctionnalités les plus recherchées, en leur donnant des pistes d'évolution pour leurs produits.

À la rentrée, 42k.io va démarrer un nouveau groupe de travail, cette fois-ci autour de la souveraineté. Le concept englobe, en effet, tout un panel d'exigences, liées au niveau de maîtrise recherchée sur son système d'information. De façon similaire aux travaux réalisés sur la sensibilisation, l'objectif est de faciliter l'identification de ce qui est nécessaire pour traiter un risque, tant du côté des RSSI que des solutions du marché.

« La cybersécurité est un prérequis pour l'innovation, c'est la clef pour réussir à construire des produits et solutions viables », rappelle Benoît Moreau. Soulignant la valeur des approches d'innovation ouverte, il évoque la possibilité pour les RSSI de s'impliquer également dans la conception des futures réglementations et référentiels les concernant. « Par exemple, certains métiers peuvent avoir des corpus d'exceptions communs. Si ces exceptions avaient été partagées en amont, peut-être que le référentiel aurait été plus adapté. » Pour finir, il insiste également sur l'indispensable collaboration entre les métiers de la sécurité et ceux de l'IT. « RSSI et DSI forment un binôme. Nous avons besoin d'apprendre les uns des autres, nous formons une équipe », affirme Benoît Moreau, partageant les propos de Thiébaut Meyer (cf. encadré).

« Ne plus construire des murs, mais des ponts »

Pour Thiébaut Meyer, directeur au sein du bureau des CISO chez Google Cloud, aborder la sécurité de façon ouverte est essentiel. « C'est la fin des approches de sécurité basées sur un périmètre strict. Nous avons besoin d'ouverture face aux défis actuels », souligne-t-il. Cette ouverture se décline à différents niveaux, notamment les standards, l'open source et la technologie. Citant l'exemple des protocoles SSL puis TLS, qui ont permis à l'ensemble des acteurs de l'écosystème numérique de s'améliorer en matière de sécurisation des échanges sur Internet, Thiébaut Meyer estime que « la standardisation est un facteur clef » pour la sécurité. Dans la même optique, il considère que les entreprises doivent aujourd'hui unir leurs forces pour développer des standards autour de l'authentification forte, en tenant compte de la simplicité « tout sauf anecdotique ».

Abordant ensuite le sujet de l'open source, il rappelle que le code ouvert n'est pas synonyme de logiciel sécurisé - ce qui peut sembler une évidence, mais qui en réalité ne l'est pas toujours. « Il faut aussi évaluer les risques associés aux logiciels open source, à la fois en termes de sécurité du code, mais aussi de maintenabilité par exemple », pointe Thiébaut Meyer. Pour lui, la valeur de l'open source réside dans la transparence. Et l'approche ne se limite pas aux seuls logiciels, elle peut aussi s'étendre à des concepts scientifiques plus larges. La transparence doit aussi se refléter dans toute la pile technologique, y compris les infrastructures. « Quels usages sont faits de mes données ? Où sont exécutées mes charges de travail ? Il faut pouvoir répondre à ces questions, mais aussi apporter des preuves », souligne Thiébaut Meyer. Enfin, l'ouverture implique également des notions d'interopérabilité entre solutions.

Lors de son intervention, Thiébaut Meyer a également évoqué la place croissante de l'intelligence artificielle, « une révolution pour tout le monde, en particulier pour les CISO ». Pour lui, l'IA fait émerger de nouvelles questions, portant par exemple sur la modélisation des menaces ou le soutien que ces technologies peuvent apporter aux praticiens de la cybersécurité. « Il ne s'agit pas seulement de technologies, mais d'un moyen de réinventer nos tâches quotidiennes », pointe Thiébaut Meyer, rappelant que le rôle d'un CISO est aussi d'améliorer l'expérience de ses équipes. « ChatGPT ne va pas prendre vos emplois », conclut-il en s'adressant à ses pairs. « La cybersécurité est un sport d'équipe. Nous avons besoin de travailler ensemble, les acteurs publics et privés, les régulateurs et les Etats. Il ne s'agit plus de construire des murs, mais des ponts. »

Sur le même thème

Partenaires

Paris Cyber Summit : unir ses forces pour mieux se protéger

Livres blancs

Commentaire

Suivre toute l'actualité

Newsletter