Svitlana - stock.adobe.com
Que sera le rôle du RSSI en 2025 ?
Alors que tous les ComEx sont aujourd’hui avertis d’un risque cyber aux facettes multiples, notamment du fait de l’adoption du cloud, le rôle du RSSI évolue. Un sujet clé au menu de l’une des tables rondes de l’édition 2022 des Assises de la sécurité.
Un RSSI pourra-t-il encore prétendre pouvoir contrôler la sécurité du système d’information en 2025 ? Cette question provocatrice fut posée par Alain Bouillé, le délégué général du Club des experts de la sécurité de l’information et du numérique (Cesin), en préambule d’une table ronde consacrée aux organisations Cyber en 2025 lors des Assises de la Sécurité 2022.
L’ancien Directeur Sécurité des Systèmes d’Information de la Caisse des dépôts a souligné que les RSSI ne font plus de cybersécurité comme ils en faisaient il y a 5 ans. « Tout s’accélère avec le “Move to Cloud”, la sécurité applicative, la sécurité des infrastructures, l’IAM, la supervision. En parallèle à cette évolution des architectures informatique, le ComEx est de plus en plus préoccupé par la question Cyber, et se montre de plus en plus interventionniste dans certaines entreprises ».
Alors que de plus en plus de grandes entreprises nomment des cadres dirigeants qui ne sont pas des praticiens à la tête de leur cybersécurité. Alain Bouillé craint que les RSSI experts actuellement en poste se retrouvent cantonnés à l’avenir à des rôles techniques sous la responsabilité de cadres dirigeants interchangeables…
De même, l’externalisation de la Cybersécurité est de plus en plus importante. Le RSSI pourrait alors devenir un simple gestionnaire de contrats d’externalisation. Le poste le plus important serait alors celui du juriste de l’équipe sécurité qui s’occuperait des contrats.
La fin du RSSI rattaché à la DSI
Pour Fabrice Bru, Directeur cybersécurité de la STIME (DSI du Groupe Les Mousquetaires), le plan de transformation de l’entreprise engagé en 2017 a donné lieu à la création d’une vraie direction de la Cybersécurité. « Ce qui était étonnant, c’est que c’était aussi une volonté de la part des directeurs de magasins. Les Mousquetaires sont une coopérative d’indépendants et ce sont eux qui pilotent l’activité du groupement. Ceux-ci ne connaissent pas la cybersécurité, mais ils ont bien compris que la Cyber pouvait arrêter leur business ». Cette direction compte aujourd’hui 23 personnes et son périmètre est désormais transverse, avec une action sur toutes les différentes activités métiers du groupement : alimentaire, équipement de la maison, mobilité.
Alain BouilléDélégué général du Cesin
Chez un industriel de l’agroalimentaire comme le groupe Bel, la création du poste de CISO est bien plus récente : « il y a 5/6 ans, nous étions encore au cyber âge de pierre avec une personne qui gérait l’antivirus », explique Maxime Descombes, RSSI du Groupe Bel. « Mon prédécesseur a mis en place une équipe ; nous nous sommes peu à peu renforcés et un poste de RSSI groupe a finalement été créé. L’équipe compte 7 personnes et je suis rattaché au CTO qui dépend lui-même de la DSI. Cela peut paraître surprenant et l’accès au ComEx reste difficile ».
Pour son collègue Hervé Dubillot, CISO du groupe Pomona, de plus en plus de PME ont nommé un RSSI. Bien souvent, faute de ressources humaines et financières, celui-ci doit tout faire. « Chez Pomona, la Cyber est apparue dans la cartographie des risques du ComEx. La création du poste de RSSI a été un changement d’approche totalement nouveau : en plaçant la cybersécurité comme un risque majeur pour l’entreprise, les responsabilités ont été partagées. Je suis porteur de la fonction RSSI, mais je dois tenir compte des avis d’autres acteurs internes et externes, puisque le PDG fait aussi appel à des cabinets extérieurs qui ont également une influence sur la Cyber qu’il faut accepter ».
Les priorités des DSI pour les années à venir
Chez Schneider Electric, la cybersécurité a quitté le service informatique pour être attribuée au Digital avant de rejoindre finalement le Secrétariat général du groupe : « le périmètre d’action prend en compte à la fois l’informatique, nos usines, le développement produit, nos centres de développement, Internet, mais aussi tout ce qui touche nos clients, car nous assurons le support des systèmes livrés chez eux », détaille Eric Singer, CISO EMEA de Schneider Electric. « Toute cette chaîne de valeur du développement jusqu’au support client doit être cybersécure ».
Hervé DubillotCISO du groupe Pomona
Pour le CISO, l’enjeu de son action reste la protection de la surface d’attaque de l’industriel. « En 2022, la Cyber doit apporter de la confiance au business. Cela consiste à valider la sécurité des produits, gérer la vulnérabilité des systèmes, mettre en place une gouvernance du code que nous développons, sécuriser nos usines et nos sous-traitants. Plus globalement, l’évolution suivie chez Schneider Electric n’est pas de s’occuper uniquement de la sécurité de l’entreprise, mais de l’ensemble de notre écosystème ».
Priorité à la résilience
En 2022 et pour les années à venir, la priorité du Group Bel porte sur la Cyber industrielle. Beaucoup plus rompu à la sûreté des systèmes et à leur disponibilité, le milieu industriel doit intégrer cette dimension sécurité. « Nous devons à la fois nous acculturer à leurs métiers et eux doivent le faire vis-à-vis de la cybersécurité », résume Maxime Descombes. « Nos usines doivent produire quoi qu’il arrive et s’il survient un incident, nous devons être capables de reconstruire l’informatique assez rapidement ».
Chez Pomona, même constat : plus aucune activité métier ne peut fonctionner sans informatique. L’enjeu est désormais de distinguer ce qui est vital et critique de ce qui est accessoire et satellite. « Nous devons focaliser notre bande passante sur la protection des activités vitales », explique Hervé Dubillot. Le CISO estime que même si une bonne gouvernance de la sécurité est en place, si les systèmes de sécurité sont adéquats, un jour ou l’autre, son entreprise sera attaquée. « Il faut nous organiser et préparer un bon niveau de résilience. Cela ne porte pas uniquement sur les backups et la réplication des datacenters. Il s’agit d’une résilience au sens où lorsque le système d’information est totalement bloqué, comment on redémarre et avec qui on le fait ».
Eric SingerCISO EMEA de Schneider Electric
Pour le Groupement Les Mousquetaires, la priorité reste avant tout la résilience. L’activité des enseignes s’appuie sur des bases logistiques robotisées qui expédient jusqu’à 125 000 colis par jour. Le moindre grain de sable peut dérégler cette belle mécanique et une attaque informatique pourrait semer le chaos. « L’enjeu numéro 1 est la résilience depuis le plan de continuité d’activité, plan de secours, plan de reprise d’activité et gestion de crise », explique Fabrice Bru. « Le deuxième point consiste à continuer l’accompagnement de la transformation du groupement. Le groupe mène énormément de fusions et d’acquisitions, et le ComEx attend de nous que nous accompagnions ces projets. Des ERP sont mis en place sur tous les flux et on s’attend à ce qu’ils soient totalement protégés. Le troisième point consiste à rendre compte à nos adhérents de notre niveau de protection et notre capacité à réagir et anticiper ».
Si la STIME a une solide expérience en Cybersécurité, l’entreprise fait face à un problème d’instabilité de ses ressources, avec un fort turn-over et de grosses difficultés de recrutement. « Cette année, au sein de la direction Cyber, 70 % des équipes ont changé et 2023 ne s’annonce pas meilleure. Les collaborateurs veulent désormais être en télétravail 5 jours sur 5 et beaucoup de jeunes veulent être freelance, ne pas être intégrés à la structure et s’installer hors de la région parisienne. C’est une perte de savoir pour nous ».
Le RSSI face à l’externalisation massive de la cybersécurité
Ce manque de talents Cyber sur le marché de l’emploi a poussé de nombreuses entreprises à faire monter la part de prestataires dans leurs effectifs, voire à se tourner vers des services managés par des tiers pour gérer certains pans de leur sécurité. L’essor des SOC managés en est l’illustration la plus évidente. Hervé Dubillot résume sa position : « il faut choisir ses combats. En matière d’externalisation, ce qui importe, c’est le pilotage de la cybersécurité. Pour piloter la cybersécurité, il faut pouvoir être impartial dans ses jugements, ce qui implique de garder une expertise technique ». Le responsable souligne le besoin de disposer d’indicateurs irrépudiables pour piloter ses fournisseurs.
Fabrice BruDirecteur cybersécurité STIME (Groupement Les Mousquetaires)
Face aux difficultés de recrutement, la règle chez STIME est de construire les équipes avec des ressources externes, puis d’internaliser les compétences qui sont stratégiques. « La STIME est en permanence confrontée à la problématique du “Make or Buy”. Nous nous sommes fixé un objectif au sein du comité de direction d’être à 70 % en interne et 30 % en externe », explique Fabrice Bru. La cellule Cyber compte donc 7 internes pour 3 externes, mais le groupement a fait le choix d’un SOC totalement externalisé. Schneider Electric a une stratégie d’internalisation beaucoup plus marquée, mais l’industriel a fait une exception à son modèle avec la mise en place d’un SOC hybride interne/externe.
La part d’externalisation varie aussi en fonction du niveau de maturité de l’entreprise et la pendule ne penche pas systématiquement vers plus d’externalisation. Ainsi, chez Bel, après avoir énormément externalisé ces dernières années, un changement de cap s’est opéré 2021 : « nous avons lancé un plan d’internalisation, car nous avions trop de turn-over », a expliqué Maxime Descombes. « Nous voulions maintenir de l’expérience chez nous et capitaliser sur un socle de gens qui ont quelques années d’expérience. Nous avons réussi à internaliser des ressources en appâtant les candidats ».
Des relations plus ou moins étroites avec le ComEx
Depuis quelques mois, les attaques majeures font la une de la presse et des JT. Cette mise en lumière d’un secteur jusque-là confidentiel a eu un impact direct auprès des dirigeants d’entreprise et des ComEx. Les réunions qui ne concernaient jusque-là que les équipes cybersécurité et infrastructures voient de plus en plus d’acteurs extérieurs s’inviter à la table : la sûreté, le juridique. Le ComEx est aussi beaucoup plus impliqué.
Maxime DescombesCISO du Groupe Bel
« Le ComEx exige des réponses immédiates alors que l’on a besoin de sérénité et de temps pour analyser, comprendre et apporter des réponses », explique Hervé Dubillot. « Cela va de pair avec un partage de responsabilité : le PDG veut pouvoir agir sur la cybersécurité. Il est aux commandes de l’entreprise et veut en connaître et prioriser les risques, les contraintes du DSI et du digital, et savoir combien il doit mettre sur la table pour contrebalancer ces risques ».
Ce partage de responsabilité est aussi devenu la règle chez Schneider Electric. L’analyse de risque a identifié 4 risques majeurs pour l’industriel : le premier porte sur la cybersécurité des produits livrés aux clients, puis vient la continuité d’activité, la conformité et enfin sur le risque de fuite de données.
« Ces 4 risques sont portés par les membres du ComEx eux-mêmes », explique Eric Singer. « Le CISO Groupe reporte ces risques aux membres du ComEx et ces derniers doivent se les approprier. Cette approche modifie complètement la gouvernance de la sécurité dans l’entreprise et toutes les actions que l’on prend sont orientées autour de ces risques, y compris les exercices de simulation de crise qui sont basés sur ces registres de risques ».
L’approche est encore plus orientée terrain à la STIME puisque c’est un directeur de magasin Intermarché qui remonte la problématique Cyber auprès du ComEx. « Dans notre modèle de gouvernance, un adhérent du groupement qui est dédié à la cybersécurité, c’est un directeur d’Intermarché », détaille Fabrice Bru. « Je construis la stratégie Cyber avec lui et c’est lui qui réalise le reporting auprès du ComEx. Il doit expliquer la sécurité à ses collègues adhérents ».
Si le directeur de la cybersécurité doit consacrer beaucoup de temps à expliquer les technologies qu’il compte mettre en œuvre, l’approche présente l’avantage d’être extrêmement efficace. Un responsable métier a sans doute plus de poids pour faire accepter un projet comme un déploiement d’EDR à un ComEx qu’un professionnel de la Cyber…
Le « Move to Cloud » pousse le RSSI à se réinventer
Alain Bouillé a souligné le changement de paradigme que représente la stratégie de « Move to Cloud » engagée par de très nombreuses entreprises. S’appuyer sur des plateformes cloud implique d’abandonner le « fanatisme » d’un contrôle absolu sur les plateformes, passer d’une approche « système » à une approche « donnée ». Le RSSI doit pouvoir s’assurer de la protection des données de l’entreprise et de sa résilience en cas d’attaque majeure sur son fournisseur cloud. La mission du RSSI va clairement dépasser les frontières de son entreprise.
Fabrice Bru a ainsi souligné : « nous avons beaucoup travaillé sur la chaîne amont avec nos juristes, mis en place de plans d’assurance Cyber, travaillé sur des exigences contractuelles et déployé des outils de supervision de la cybersécurité. Sont alors survenues les affaires Log4j, Kaseya, SolarWinds… Nous avons alors compris que la chaîne de contrôle doit aller au-delà des frontières de l’entreprise. Je devrais être en mesure d’aller chez Microsoft auditer Azure, chez mon fournisseur de robots logistiques, car ce sont eux qui en assurent la télémaintenance, etc. ». Bien évidemment, aucune entreprise ne dispose des moyens humains pour mener de tels audits chez ses partenaires et vouloir accéder aux infrastructures des hyperscalers reste très hypothétique.
Tous les RSSI présents ont souligné la charge représentée par les questionnaires de sécurité que les entreprises envoient à leurs prestataires et partenaires. Ils ont aussi souligné les limites de cette approche « administrative » de la cybersécurité. « Face au risque lié à la Supply Chain logicielle, nous sommes dans le flou. Donc nous faisons du préventif, nous plaçons des outils de détection, des scénarios dans les SOC pour détecter tous les événements suspects, du PAM. Nous essayons de trouver des contre-mesures pour réduire le risque, mais il reste tout un pan de solutions où nous pouvons être victimes collatérales d’un événement Cyber sur lequel nous n’avons aucun contrôle », conclut le responsable. L’époque des châteaux-forts et de la protection périmétrique sera bien lointaine pour les RSSI des années 2025.