lundi 1 février 2016

La confiance numérique au bout du tunnel ?


Lundi 25 janvier la communauté des DSI s'est réunie pour nommer le "DSI de l'année" mais au menu de cette manifestation les organisateurs avaient aussi glissé une table ronde sur le rôle du DSI dans la chaîne de confiance numérique.

L'objectif était de se donner une perspective avec la déferlante des objets connectés et l’utilisation de plus en plus massive des données collectées.


Le matin même, lors de la FIC2016 à Lille, la table ronde "crise de confiance ou prise de conscience" avait tourné à la joute autour de l'espionnage des Etats. Le sujet n'est donc pas simple et la DSI se retrouve dans une coquille de noix flottant sur un océan déchaîné !


Le rôle du DSI dans une économie numérique est aussi flou que ce qu'est aujourd'hui un/une Directeur des SI, dans une entreprise numérique.

Car le système d'information déborde largement de la DSI:

  • avec les utilisateurs adeptes du BYOD et de tous ses outils en ligne,
  • avec les maîtrises d'ouvrage qui développent le "Shadow IT",
  • avec la Direction Marketing qui s'empare de certains des budgets du big data,
  • ou encore le Chief Digital Officer qui coordonne les offres digitales ou l'animation de l'innovation.
  • sans compter la DRH qui devrait investir plus dans les compétences numériques (DSI-DRH vers un mariage de raison) et l'extension à venir du SI avec les multiples d'objets connectés qui relieront directement ou indirectement les clients et les salariés avec l'entreprise.
Alors dans ce contexte de gouvernances multiples, se rassurer en récitant CoBIT par coeur ou les règles de sécurité édictées par le RSSI, est peut-être le début de la déraison, pour ne pas dire de la folie.





Ce que GreenSI voit derrière cette désorganisation grandissante, c'est que dans une économie de la confiance, c'est bien toute l'entreprise qui est concernée et qui doit être mobilisée. Le SI n'est qu'un élément pour maîtriser la confiance, parmi d'autres, et ce via de multiples acteurs, du marketing aux RH en passant bien sûr encore par la DSI.

Cependant il est clair qu'un DSI informé et ayant des relations établies avec ces acteurs aura plus de capacité à suivre les complexes évolutions de la sécurité des données, et à accompagner son entreprise pour affronter cette révolution. Car la sécurité des données n’est pas une mission nouvelle pour les DSI. Ce qui est nouveau, c'est le changement d'amplitude, au regard des risques numériques qui ne font que croître et s'étendre.
Le centre de gravité du rôle de la DSI sur la protection des données doit donc se déplacer.

Et si vous n'êtes pas encore convaincus ou conscient des dangers encourus, GreenSI vous conseille de regarder quelques épisodes de la nouvelle série des "Experts cyber" sur TF1 le mercredi. Vous allez vite faire plus attention à votre smartphone et à vos mots de passe ;-)


Comment transformer une contrainte en une opportunité ?


Ne plus voir uniquement la sécurité comme une contrainte n'est pas gagné pour un DSI, car par expérience, les premiers livres blancs de la profession sur tous les nouveaux sujets sont souvent sur les risques (du cloud, du numérique, des objets connectés,... ) et plus rarement sur les opportunités. C'est dans l'ADN de la profession !

Pourtant, pour traiter la "privacy", une approche peut être de construire une proposition de valeur pour les clients autour de la sécurité.





C'est par exemple quand Microsoft en fait une arme marketing contreGmail, avec sa politique d'accès aux emails privés, alors que Gmail est fondé sur leur analyse permanente et temps réel par des "robots".


Ou quand DuckDuckGo met en avant son indépendance et l'absence de traces sur son moteur de recherche, dans sa bataille contre Google Search

Un DuckDuckGo qui rencontre de plus en plus de succès a chaque révélation d'espionnage d'une société ou d'un Etat.


En revanche Microsoft avec Windows10 et Edge est mis sur la sellette d'être un peu trop indiscretLa politique si elle est fixée doit être cohérente sur tous les produits, et donc associée à la marque.

Alors pourquoi AccorHotels ne s'engagerait-il pas à détruire les données des accès des cartes magnétiques utilisées pour circuler dans les hôtels, quand un client quitte l'hôtel ?

Et pourquoi Orange ne proposerait pas pour se différencier le téléchargement à tout moment de toutes ses données personnelles, y compris de trafic sur sa box ou de géolocalisation du mobile ?

Google le propose déjà avec Takeout : Chez Google, c'est d'ailleurs un groupement de salariés qui a fait le lobbying interne nécessaire pour amener l'entreprise à proposer cette fonctionnalité. 

Il y a donc une attente des clients. C'est ce que révèle l'étude menée par Accenture et présentée lors de la table ronde: pour près de la moitié des consommateurs interrogés (47 %), les inquiétudes liées à la sécurité et au respect de la vie privée font partie des trois principaux obstacles à l’achat d’un appareil ou service connectés. Parmi ces appareils, citons les montres connectées, les bracelets santés ou les thermostats intelligents (notamment Nest acheté par... Google !).

L'avenir de l'internet des objets dépendra donc des politiques de "privacy" de ses opérateurs d'infrastructures ou de services. 


La politique de données, c'est autant ouvrir que fermer 


Le secret le mieux gardé est peut-être celui qui est connu de tous.

C'est une rupture car le SI passe d'une approche centrée sur la fermeture des données à une logique d'ouverture. C'est à dire qu'il sera à la fois interdit de diffuser telle donnée privée, et interdit de ne pas diffuser telles autres jeux de données ouverts par la loi.


L'open-source a démontré qu'en renonçant à la propriété intellectuelle on pouvait mieux se protéger par l'ouverture du code qui démultipliait les ressources impliquées pour le sécuriser. Aujourd'hui c'est l'open-data qui montre son nez avec la loi sur l'économie numérique qui vient d'être votée en première lecture à l'Assemblée, et demain ce sera le "paquet" sur la protection des données individuelles en discussion à Bruxelles.


La gestion des droits autour de la donnée et ses mécanismes de diffusion vont devenir aussi important que la gestion de la sécurité de l'entrepôt de données. On va certainement assister a un regain d'intérêt pour les démarches d'architecture de type "Master Data Management", API sécuriséesplateformes d'échanges sécurisées mais aussi pour les démarches degouvernance des données (voir: GouvInfo) et bien sûr d'analyse et de gestion des risques.

La DSI est donc passée du simple règlementaire à appliquer à l'accompagnement des métiers dans la création de nouveaux services ou usages reposant totalement sur le SI, dans ce qui va devenir une jungle de lois et de jurisprudences en fonction des pays et de la nature des données.

Ouverture par opportunité ou ouverture et fermeture des données par défaut, via la loi, la fonction de  RSSi doit se transformer pour qu'il devienne un partenaire des métiers. Pas simple, quand le travail des premiers RSSI a souvent été laborieux tant les esprits étaient marqués, voire traumatisés, par des années d'interdiction de la DSI au nom de la sécurité et un manque flagrant de communication. 


Une gouvernance qui doit devenir opérationnelle


Dans un SI à deux vitesses, dans la partie "historique" pour ne pas dire "legacy", on a déjà pas mal de recul sur la gestion des données et sur la sécurité. En revanche, dans la partie "Fast IT" ou "DSI digitale" des nouvelles plateformes numériques, tout est à imaginer, en collaboration avec les autres acteurs (Marketing, CDO,...). Mais surtout cette gouvernance doit devenir opérationnelle, et être supportée par des outils, et pas rester dans le domaine régalien sous la forme de normes et standards.

La DSI va bien sûr s'appuyer sur les offres de ses fournisseurs. Encore faut-il que ces fournisseurs aient des offres !

L'échec cuisant du "cloud souverain", dont le lancement a pourtant été largement financé par les contribuables, et qui promettait la sécurisation et l'hébergement des données sur le territoire français pour les collectivités locales et les entreprises soumises à des obligations, montre que l'intention ne suffit pas. 


Les SOC security operating center - sont des moyens mutualisés qui peuvent aider les entreprises à passer d'une sécurité statique à une sécurité dynamique, mais cela demande encore d'y raccorder les processus de l'entreprise. Mais les SOC ne gèrent que les accès, et encore depuis l'extérieur. 



Les CIL - correspondant informatique et libertés - doivent se déployer dans l'entreprise ; avouons qu'ils le font discrètement.

Et les RSSI n'ont pas toujours les équipes en phase avec leur attributions. C'est d'ailleurs aussi le cas de la CNIL.

SOC, CIL, RSSI, les moyens opérationnels de définition des politiques et de supervision de leur mise en oeuvre, sont loins d'être opérationnels à l'échelle de ce système d'information qui occupe de plus en plus d'espace en dehors de la DSI.

Pourtant, comme pour le développement durable, c'est bien une politique raisonnée d'utilisation des données personnelles et de leur sécurisation qu'attendent les clients ou les citoyens pour ce qui est des collectivités locales ou de l'Etat. Si l'exploitation des données est "sauvage" et sans contrôle, les client réagiront comme le montre l'enquête d'Accenture, et l'exploitation ne se fera pas du tout ; c'est de nouveaux services personnalisés (attendus par les client) qui ne se feront pas et qui ne permettront pas de financer le big data ou les plateformes cognitives.

Cette politique va demander a minima dans l'entreprise:
  • qu'une politique de protection ou d'ouverture soit fixée par l'entreprise,
  • que les données soient répertoriées et que le niveau de sensibilité ou d'ouverture soit apprécié,
  • que des tests d'intrusion, de vol, d'attaques et les plans de crises soient réalisés pour contrôler l'application des politiques, ce qui est rarement fait.
Instaurer un climat de confiance numérique pour développer les usages et démontrer de façon transparente que la protection est assurée, devient donc un point majeur pour l'avenir de l'entreprise numérique.  
Previous Post
Next Post
Related Posts

L'humour de ceux qui aiment le numérique