GreenSI est donc allé installer ses radars aux Assises de la Sécurité qui se sont tenues du 10 au 14 à Monaco. Un déplacement idéal pour tous ceux qui veulent, en toute discrétion, échanger avec leur pairs sur leurs expériences, rencontrer des fournisseurs et se préparer aux sujets à l'horizon comme le prochain règlement européen pour la protection des données (RGPD).
Le premier constat c'est l'impact réel des deux attaques de 'ransonware' très médiatisées ces 6 derniers mois, Wanacrypt (mai) et NotPetya (juillet), sur l'état d'esprit des entreprises.
Les équipes sécurité n'ont pas été surprises mais le reste de l'entreprise oui, notamment la Direction Générale vu l'ampleur de la couverture médiatique. Une DG qui a donc porté une attention toute particulière au sujet en demandant des bilans et des notes de recommandation, ce qui est relativement nouveau.
Bien sûr les RSSI se souviennent être déjà intervenus en avril 2014 dans les comités de direction pour expliquer le risque Heartbleed qui avait également été très médiatisé, mais cela n'a pas eu l'effet des attaques de 2017, malgré pourtant une portée médiatique à l'époque au mois 4 fois supérieure à celle de NotPetya (comparée avec Google Trends).
Face à ces cyberattaques récentes, une partie du problème bien connue est la fragilité de certains SI (voir Heureux comme un wannacrypt dans un jeu d'applications obsolètes). Une autre est le manque de moyens. Mais cela est peut-être en train de changer comme me le disait un DSI d'une grande entreprise: le poste de RSSI dédié qu'il demandait depuis plusieurs années, lui a été accordé en quelques semaines après ces cyberattaques.
L'été 2017 a donc marqué un tournant, celui où il est plus risqué de ne pas patcher un système que de le patcher. Jusque là c'était le risque métier qui avait prévalu et on évitait de toucher aux applications quand elles fonctionnaient. Maintenant c'est le risque sécurité qui est considéré en premier. Vous avez un portail dérobé qui ferme mal au fond du jardin et vous le savez. Si vous le réparez vous améliorez votre sécurité technique mais vous compliquez les livraisons du facteur qui le sait aussi et qui venait vous déposer les colis sur le perron, pratique pour le métier, jusqu'à ce qu'un cyber-hackeur ne le découvre également...
Le second constat c'est également la montée dans les priorités de l'importance de la confiance, reconnue par l'usager ou par le client.
On pourrait lire ici l'inconnue, voire la peur des amendes (jusqu'à 4% du CA mondial), avec la mise en œuvre du prochain nouveau règlement européen sur la protection des données personnelles (RGPD). Mais ce qui est plus intéressant dans les discours c'est que la confiance devient une valeur commerciale. Et GreenSI est convaincu que c'est le bon angle stratégique pour aborder le RGPD, et non simplement réglementaire. L'actualité de 2018 nous permettra certainement d'y revenir avec un prochain billet.
Et puis, pour les lecteurs de GreenSI, vous savez que le modèle de relation clients est aujourd'hui omni-canal, c'est à dire que l'ensemble des canaux de relations sont utilisés dans les deux sens et en même temps (voir API: Les dessous de l'omni-canal).
Une commande sur internet est confirmée sur un smartphone puis récupérée en magasin où, via un réseau, on interagit avec le client pour l'assister, voir totalement automatiser son expérience comme dans la cible sans caisse d'Amazon.
Autant de points de contacts qui sont autant de risques pour la sécurité des données des clients.
La relation client déplace donc la frontière du SI sur de nouveaux territoires, comme d'ailleurs l'internet des objets va déplacer celle des processus.
Une question stratégique pour les entreprises semble donc être d'arriver à utiliser tous les points de contacts avec les clients pour instaurer cette confiance sur les données personnelles, et qu'elle soit perçue par les clients eux-mêmes. Ainsi les clients choisiront certainement ces entreprises en priorité pour leurs achats.
Un autre avantage de cette vision stratégique sera d'éviter de faire de la cybersécurité pour la cybersécurité, de la lier aux enjeux de l'entreprise et d'y répondre autrement que par une assurance, un domaine d'ailleurs en forte croissance en France.
L'internet commercial s'est développé sur la confiance depuis son origine, avec pour sa génération 1.0 des entités de certification comme eTrust, et pour sa version 2.0 collaborative une validation par les votes des internautes eux mêmes (1-5 étoiles). Aujourd'hui, sur un site web que l'on ne connait pas, acheter un produit sans commentaire ne met pas en confiance. Et s'il n'est pas https alors passez votre chemin...
Comme les entreprises ont également des fournisseurs pour assurer leurs services, pour pouvoir s'engager globalement sur leur sécurité, elles pourront maintenant bénéficier d'un nouveau visa délivré par l'ANSSI pour s'appuyer sur des produits et services de fournisseurs certifiés.
Ces deux constats, le réveil des Directions Générales et les enjeux de la confiance perçue par les clients, portent pour GreenSI en germe une revue profonde de l'organisation et de la gouvernance de la sécurité des systèmes d'information dans les entreprises en 2018 :
- D'abord
les moyens supplémentaires qui vont être affectés doivent être
organisés. Et justement l'organisation de la sécurité des données par
exemple n'est pas toujours très limpide entre les prérogatives du DSI, du RSSI, du DPO (qui remplace l'ex-CIL à partir de janvier 2018), du CDO -
Chief Digital Officer ou du Chief Data Officer. Comme souvent, quand un
sujet concerne toute l'entreprise, il y a un certain temps à trouver
comment l'organiser efficacement...
- Ensuite parce que
l'omni-canal et le développement du digital, mais également l'internet
des objets, va déporter le sujet sur tous les "avants postes
commerciaux" et toutes les machines de l'entreprise qui devront être
sécurisés. Une rupture par rapport une organisation traditionnelle plus
inspiré de périmètres hyper sécurisés fermés. Toute ressemblance avec la
prise en compte du risque attentat dans les villes, pouvant survenir
partout et par tous, n'est que fortuite.
- Et puis il y a
la question que tout le monde a aux lèvres dans les allées des Assises
avec la performance en baisse du modèle des antivirus: quel sera le rôle de l'Intelligence Artificielle dans
les prochaines formes d'organisation de la sécurité? On peut l'imaginer
comme des agents intelligents complétant le dispositif pour détecter de
nouvelles situations à risque, mais également comme des agents qui
chercheront en permanence à franchir les barrières de sécurité.
- Enfin, l'arrivée de la RGPD le 25 mai 2018 ne semble pas encore bien anticipée et bien préparée par toutes les entreprises. C'est du moins ce qu'il ressors de l'enquête réalisée par le cabinet IDC au niveau européen et présentée aux Assises. Sachant que la CNIL a lancé une alerte en début d'année pour indiquer qu'il n'y aurait pas de décalage de l'échéance...
Pour supporter la transformation digitale des entreprises, la sécurité est devenu la priorité n°1, espérons que les moyens suivront. L'évolution de la gouvernance de la sécurité est prévue en 2018 dans 66% des entreprises et même d'ici la fin de l'année pour 37% d'entre elles. Mais paradoxalement, les entreprises les plus grandes, qui ont plus de moyens pour la sécurité, n'en sont pas encore convaincues et 26% voient même cette évolution bien après 2018 (au lieu de 11% pour les entreprises de 500 à 999 salariés).
N'oubliez donc pas la sécurité dans votre prochain budget, plus qu'une contrainte, vue sous l'axe de la confiance client, elle peut devenir une stratégie différenciante.