Pour contrer le risque cyber, la coopération entre divers métiers est plus que jamais nécessaire. Si les grandes organisations ont les moyens d’instaurer des instances ad hoc, les plus petites structures peuvent tirer profit de la plateforme Cybermalveillance.gouv.fr. Sur le terrain, la coopération entre DSI, RSSI et prestataire de sécurité fait naître l’opportunité d’acquérir de nouvelles compétences.
La pandémie du Covid-19 a mis en lumière la nécessaire généralisation du télétravail et, en parallèle, la fragilisation de leurs systèmes d’information (SI). Dans ce contexte, les organisations ont un besoin urgent d’instaurer une réponse globale. Laquelle passe par une coopération renforcée entre les missions du directeur sûreté-sécurité (DSS) et celles du responsable de la sécurité des systèmes d’information (RSSI). Plus facile à dire qu’à faire ! En effet, les grandes entreprises ont, pour les plus pointues d’entre elles, les moyens de créer et gérer les instances de gouvernance adéquate (voir aussi l’article : Sécurité globale : faire sauter les silos). « Outre le DSS et le RSSI, la sécurité-sûreté et la cybersécurité des organisations réclament de faire intervenir d’autres profils : le directeur des systèmes d’information(DSI), le responsable du plan de continuité d’activité (RPCA) et le Risk Manager (RM) », rappelle Lionel Mourer, administrateur et trésorier adjoint du Club de la sécurité de l’information français (Clusif). Pénalisées par des moyens beaucoup plus réduits, les TPE et PME se ‘‘débrouillent’’.
Premier réflexe : Cybermalveillance.gouv.fr
Bonne nouvelle, elles peuvent se faire accompagner par Cybermalveillance.gouv.fr, un puissant réseau de proximité où elles trouveront un grand nombre de ressources. « Face aux menaces cyber comme le piratage des boîtes de messageries, les mails d’hameçonnage, la défiguration de sites Web, les infiltrations dans le système d’information, les virus et autres rançongiciels… le gouvernement a lancé en 2017 la plateforme Cybermalveillance.gouv.fr. Ce dispositif national de sensibilisation, de prévention et surtout d’assistance a pour missions d’assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de cybermalveillance, de les informer sur les menaces numériques et sur les moyens de s’en protéger », précise Laurent Verdier, chargé de mission sensibilisation et risque cyber au GIP Acyma.
Un guide de bonnes pratiques pour TPE, PME et ETI
Point fort, l’assistance aux victimes est, dès la page d’accueil, immédiate et concrète. Outre des actualités, celle-ci propose un diagnostic en ligne ainsi que des conseils et solutions pour résoudre les problèmes cyber. Plus précisément, TPE, PME, ETI, associations et collectivités territoriales bénéficient d’un réseau de professionnels de proximité labellisés ‘‘ExpertCyber’’ pour sécuriser leur SI. On y trouve aussi des conseils et bonnes pratiques pour mieux se protéger contre les cybermenaces. À cet égard, citons un précieux Guide cybersécurité à destination des dirigeants de TPE, PME et ETI, élaboré en collaboration avec Bpifrance. Les DSS mais aussi les chefs d’entreprise ont tout intérêt à s’en emparer. « Pour opérer cette plateforme, nous avons une structure originale et évolutive qui rassemble plus de 50 membres publics et privés comprenant les pouvoirs publics, les utilisateurs d’internet, les syndicats et associations de prestataires informatiques, les offreurs de services et de solutions. Ces quatre collèges constituent le GIP Acyma », reprend Laurent Verdier. Sous peu, Cybermalveillance.gouv.fr va étendre la palette de ses services avec un Observatoire national du risque numérique en coopération avec le futur Campus Cyber qui sera lancé cet automne à Paris La Défense. Morale de l’histoire : les organisations accèdent désormais à des ressources en prévention et protection contre le risque cyber grâce aux multiples coopérations rendues possible grâce à cette plateforme.
Travailler d’emblée avec la DSI et la RSSI
Sur le terrain, les prestataires de sécurité et cybersécurité ont également leur mot à dire. Et les belles histoires découlent des belles relations. « Fin décembre 2020, nous avons livré à la Principauté de Monaco une infrastructure globale modernisée pour les réseaux de sécurité de la mairie et des sapeurs-pompiers pour les services de télésurveillance et téléassistance, confie Johnathan Etienne, DG de T2I Telecom (chiffre d’affaires 2020 : 1,5 million d’euros, 14 salariés), basée à Montpellier (Hérault). Cet éditeur d’un hyperviseur de gestion des alarmes et de vidéoprotection télésurveillance et fabricant de baies de réception pour les centres de télésurveillance a également joué un rôle d’ingénierie dans ce projet. D’emblée, nous avons travaillé étroitement avec le DSI et le RSSI qui étaient présents à chaque réunion. » En clair, le DSI et le RSSI se sont synchronisés pour fournir non seulement une analyse des risques en vue de parvenir à un Plan de continuité d’activité (PCA) mais aussi une charte de Politique de sécurité des systèmes d’information (PSSI) que T2I Telecom a été invitée à enrichir.
Acquérir de nouvelles compétences grâce à la coopération
« De notre côté, nous avons réalisé notre propre audit qui a mis en lumière les failles à combler par les solutions idoines que nous proposons. Notamment des Firewalls à haute disponibilité, des réseaux privés virtuels suffisamment dimensionnés et une architecture de réseaux sécurisée, souligne Johnathan Etienne. Dans le cadre de la conformité au Règlement général sur la protection des données à caractère personnel en Europe (RGPD), nous anonymisons les données personnelles. Par ailleurs, les échanges de flux ainsi que les sauvegardes de bases de données sont cryptés. « Le DSI et le RSSI se sont toujours montrés ouverts à la discussion. Pour ma part, j’ai été invité à donner mon avis, à apporter mon expertise afin de supprimer des points et d’en rajouter d’autres », se souvient le DG de T2I Telecom qui, au final, tire de cette coopération de nouvelles compétences managériales sur la partie administrative et juridique liée à la sécurité.
Erick Haehnsen
Commentez