Isabelle Tisserand (Le Cercle) "Le RSSI se transforme en directeur de la sécurité de l'information"

En pleine crise, l'année 2009 est marquée par la montée en puissance du phishing financier. La sensibilisation des internautes comme des salariés représente plus que jamais un enjeu clé. Cette interview a été réalisée suite aux Assises de la sécurité 2009.

JDN Solutions. Comment les menaces informatiques ont-elles évolué depuis le début de la crise financière ?

Isabelle Tisserand. Nous n'avons jamais observé autant de campagnes de phishing dans le domaine de la fraude financière que ces 12 derniers mois. Ces opérations passent souvent par la création de faux sites Web bancaires au couleur des établissements du marché avec pour objectif d'inciter les clients à transmettre leurs codes d'accès. Des noms d'institution sont également utilisés, la direction générale des finances publique par exemple.

L'idée est d'être le plus convainquant possible pour engendrer l'ouverture du mail et du lien qu'il contient vers le site où l'internaute sera poussé à transmettre des informations personnelles en toute confiance. Certaines fois, les campagnes de phishing tentent de créer une rumeur et un effet de panique pour accélérer la prise de décision du consommateur. De fausses offres sont également mises en avant, par exemple une méthode pour ne pas payer d'impôt. 

Les entreprises ont-elles pris la mesure du phishing ?

D'après nos dernières estimations, les budgets des entreprises en matière de sécurité informatique sont plutôt en légère hausse malgré la crise, à la différence de beaucoup d'autres domaines. Ce qui est plutôt encourageant. La publication de la directive nationale de sécurité a contribué à cela. Mais globalement, le travail d'information des utilisateurs doit continuer et se renforcer. Et sur ce point, les entreprises ne peuvent pas agir seules. Elles ont besoin du soutien des états.

Je tiens d'ailleurs à saluer une initiative du Canada qui a lancé il y a quelques jours une campagne de sensibilisation à destination des utilisateurs privés. Un guide d'information sur les risques informatiques va être livré avec chaque ordinateur vendu dans le pays. C'est une idée que devraient reprendre l'Europe et la France, tant les situations de danger restent communes de ce côté de l'Atlantique. Se connecter depuis le poste de son entreprise sur un site paraissant être celui de sa banque présente par exemple des risques importants.

"La crise a joué un rôle de catalyseur en matière de guerre économique, et d'attaque des systèmes d'information"

D'autres menaces ont-elles émergé ?

Oui. La crise a joué un rôle de catalyseur en matière de guerre économique, et d'attaque des systèmes d'information par la concurrence. Mais souvent, il est difficile de savoir qui se cache derrière ces opérations. On l'a bien vu cet été avec les sites attaqués dans le cadre de la préparation de loi Hadopi. Il peut s'agir de concurrents, d'idéologistes ou encore de déviants comportementaux, les uns pouvant utiliser les autres.

Votre réflexion ne rejoint-elle pas les questions de sécurité posées par l'affaire Clearstream ? Rappelons que cette affaire est partie d'une fuite d'informations via un auditeur externe...

L'affaire Clearstream pose la question de la traçabilité des données, mais également de la protection des informations. C'est bien la problématique de la sécurisation des archives et de la mémoire numérique de l'entreprise qu'elles reposent sur le poste de travail, les serveurs internes, ou un centre de données externe.

Quels sont les remparts que les RSSI peuvent mettre en œuvre pour ce prémunir contre ces attaques ?

Pour se protéger, l'entreprise doit désormais se doter d'une véritable culture générale de la sécurité. Le responsable de la sécurité du système d'information ne doit pas maitriser seulement les dernières technologies de sécurité sorties, en matière de chiffrement, de traçabilité et d'archivage sécurisé. Il doit aussi se doter de notions juridiques et managériales, mais aussi en sociologie et psychologie.

Pour tous ces enjeux, l'Agence Nationale de la Sécurité Informatique [ndlr : ANSI], récemment créée, est un allié précieux. Au Cercle, nous avons mis en place un vrai plan d'actions commun. L'ANSI nous aide à sensibiliser les opérationnels à ces nouveaux enjeux, en termes d'objectifs et d'actions à mettre en œuvre. Sans compter que l'ANSI a déployé un site d'information proposant des outils de sensibilisation et d'analyse de risques.

Les RSSI ont-ils conscience de l'importance de s'ouvrir à d'autres compétences ?

C'est là un effet positif de la crise que nous avons pu observer. Nous n'avons jamais vu une tendance aussi forte au décloisonnement des compétences. L'alliance entre le public et le privé, à travers notre accord avec l'ANSI, en est le premier exemple. Mais au sein des grandes entreprises, les RSSI collaborent de plus en plus avec des psychologues, des sociologues, voire des politologues et des économistes. Les risques d'attaque sont en effet à analyser d'un point de vue à la fois économique, politique, sociologique et psychologique. Cette collaboration permet au final d'accélérer le processus d'analyse des risques en amont de la prise de décision opérationnelle.

De ce point de vue, le RSSI est en train de muter vers la fonction de DSI ou directeur de la sécurité de l'information d'entreprise au sens large. Car c'est bien lui qui est à l'origine de ce mouvement d'évolution, et qui de plus en plus synthétise toutes les questions liées à cette problématique en lien avec la direction générale.

Que pensez-vous de l'émergence des offres de cloud computing ? Représentent-elles une opportunité ou une menace pour les DSI ?

Tout dépend du niveau de sécurité de l'hébergement proposé par le fournisseur. S'il s'agit d'un datacenter bunkérisé, il est probablement plus sûr de stocker des données sur ce site plutôt qu'au sein d'un centre d'informations d'entreprise. Aux côtés de l'évaluation économique de l'offre, il est donc important d'étudier le niveau de sécurité proposé, mais également de contractualiser la relation fournisseur de façon rigoureuse.

Entre hébergement externe et interne, les DSI ont trop souvent tendance à penser qu'ils doivent nécessairement choisir entre l'une ou l'autre solution. Ils n'ont pas la culture de la simultanéité. C'est pourtant une démarche qui peut se révéler intéressante, une partie des données de l'entreprise pouvant se révéler mieux sécurisée à l'extérieur de l'entreprise.

Des questions se posent enfin cette année autour du Plan de continuité d'activité ou PCA ?

Les PCA doivent plus que jamais être solides. Au-delà des cyberattaquants, les entreprises doivent  en effet prendre en compte un nombre croissant d'actions non-conformes. 

Les PCA doivent notamment prendre en compte de nouveaux risques, à la fois écologiques et sanitaires notamment. La grippe H1N1 remet ces questions sur le devant de la scène en ce moment, avec la nécessité de prévoir l'indisponibilité d'une partie des équipes de la DSI.

Isabelle Tisserand est coordinatrice du Cercle européen de la sécurité et des systèmes d'information.