Face aux menaces, la pandémie a mis en relief le besoin des entreprises de réagir à la fois mieux et plus rapidement. Notamment en raison de la généralisation du télétravail. Du coup, directeurs sûreté-sécurité (DSS) et responsables de la sécurité des systèmes d’information (RSSI) doivent renforcer leur collaboration. Comment s’y prennent les petites organisations dépourvues de DSI ou de RSSI ?
Avec la généralisation du télétravail en raison de la pandémie du Sars-CoV-2, il apparaît clairement que les univers de la sécurité-sûreté et de la sécurité des systèmes d’information doivent coopérer davantage. Comment s’y prendre lorsque l’organisation n’a pas la taille suffisante pour employer à la fois un directeur sécurité-sûreté (DSS) et un responsable de la sécurité des systèmes d’information (RSSI) ? Après avoir examiné, dans une première partie, les scenarii des grandes organisations, les PME prennent la parole.
Sécuriser le poste de travail à distance
Tout d’abord, les PME peuvent faire appel à un prestataire de gestion des postes de travail. À cet égard, certaines se félicitent d’avoir privilégié les ordinateurs portables plutôt que les PC fixes. « Gestion technique du poste de travail, sécurisation de ce poste, connexions sécurisées, mise à disposition des services managés… Voici les piliers de la sécurisation des postes de travail, explique Abdel El Bachtany, directeur avant-vente chez Ivanti pour l’Europe du sud, l’Afrique et le Moyen-Orient. Nous proposons un ensemble d’outillages qui vont jusqu’à la récupération du fond d’écran de l’utilisateur. Le salarié peut même aller acheter un PC chez Leclerc, se connecter via son WiFi personnel à l’entreprise et télécharger tout son environnement de travail sécurisé. » Bref, la sécurité devient de plus en plus centrée sur l’utilisateur même si le gestionnaire de parc s’efforcera de standardiser au maximum les postes de travail. Cependant, tous les acteurs ne partagent pas l’idée que les salariés utilisent leurs propres équipements [Bring Your Own Device (BYOD)] dont l’exploitation est jugée trop difficile à sécuriser par l’entreprise. « Grâce à des systèmes à base d’intelligence artificielle, nous avons la capacité à détecter les problèmes potentiels et à les résoudre avant même que l’utilisateur ne les détecte », rétorque Abdel El Bachtany. Il n’empêche : ces deux écoles opposées ne sont pas prêtes de se réconcilier.
Manque de temps pour coordonner les métiers
Dans les PME, le partage des rôles entre sécurité-sûreté et cybersécurité, entre le directeur sécurité, le directeur sûreté, le directeur des systèmes d’information (DSI) et le RSSI est un sujet délicat. Il faudrait instaurer un dialogue qui pourrait même inviter les directeurs des services généraux et les directeurs Qualité, hygiène, sécurité et environnement (QHSE). « Toutes ces fonctions seraient certainement d’accord pour dialoguer mais chacune manque de temps », reconnaît Bruno Bourgeois, directeur de la sûreté de PKM Logistique à Clairoix (Oise). Mais les passerelles entre les fonctions restent difficiles jeter. « Pour preuve, dans certains clubs des directeurs fonctionnels, on constate que les réunions s’opèrent en silos : il y a celle des directeurs sécurité, celles des DSI ou celles des DRH… Cela révèle qu’il y a un manque structurel de transversalité », constate Denis Avellaneda, président de Serenity, un installateur de systèmes de sécurité qui travaille, entre autres, pour PKM Logistique.
Un club informel pour remplacer une instance de transversalité
Dans les grands groupes les mieux organisés, il existe des instances de transversalité qui, sous la houlette du directeur général, structurent la collaboration entre DSS, DSI, RSSI, responsable du pan de continuité d’activité (RPCA) et Risk Manager (RM). Bien entendu, cette démarche est impossible en PME puisque, en majorité, ces fonctions n’existent même pas. Ce qui ne les empêche pas de s’organiser avec les moyens du bord. « Nous entretenons des réseaux informels au sein desquels nous organisons des échanges et de l’entraide, notamment au niveau du conseil et du retour d’expérience, entre DSS d’un côté et installateurs de systèmes de sécurité de l’autre », souligne Bruno Bourgeois.
Pour sa part, Denis Avellaneda orchestre également la fertilisation croisée des compétences en interne : « Nous avons embauché une personne titulaire d’une licence en cybersécurité. Cela nous a permis de sécuriser nos serveurs, nos sauvegardes de données ainsi que celles de nos clients. L’idée, c’est d’être en mesure de déclencher un plan de continuité d’activité en moins d’une heure. Toutes les données sont cryptées. »
Opérer un réseau de sécurité-sûreté indépendant et autonome
Fruit de ces échanges, PKM Logistique dispose sur son site de Clairoix d’un réseau en fibre optique exclusivement dédié à la sécurité-sûreté non connectée à Internet. En clair, les données de la bureautique empruntent d’autres réseaux. « La contre-partie, c’est que je n’ai pas d’une application de vidéosurveillance sur mon smartphone, concède Bruno Bourgeois. Le point fort de cette approche, c’est qu’elle limite l’exposition de notre système de sécurité-sûreté aux cyberattaques. » Pour sa part, le prestataire fournit, dans son dossier des ouvrages exécutés (DOE), l’ensemble des identifiants (login, mots de passe) des caméras et des équipements électroniques de sécurité ainsi que leur documentation technique et le synoptique des câblages. « Dans un lieu sécurisé et confidentiel, un classeur rassemble tous les mots de passe. On y recourt lorsqu’il faut faire les mises à jour techniques des équipements, reprend Bruno Bourgeois. À ce moment-là, on ouvre ponctuellement un port de communication exclusivement réservé à Serenity sur un swtich manageable afin de télécharger les nouveaux pilotes. Pendant, ce temps, si une autre personne essaie de se connecter, la communication se coupe automatiquement. »
Erick Haehnsen
Commentez