Le budget de la cybersécurité représente un coût important de la sécurité globale. De plus, les risques juridiques et financiers liés à la cybersécurité sont importants pour l’entreprise. Les statistiques parlent d’elle-même : 79% des entreprises ont déjà subi une cyberattaque [i], ce qui a dans 50% des cas un impact direct sur le chiffre d’affaire. Un autre chiffre marquant montre l’importance de la cybersécurité dans la sécurité de l’entreprise : 60% des Petites entreprises cessent leurs activités 6 mois après une cyberattaque.[ii] Il est d’ailleurs intéressant de voir que le sujet de la cybersécurité est évoqué par le préfet BURG dans le panorama prospectif de la sécurité privée.[iii]
Néanmoins, le RSSI [iv] reste bien souvent vu comme un informaticien réducteur de liberté et non comme un acteur majeur de la sécurité globale. Cela se voit d’ailleurs au travers du rattachement des RSSI qui sont bien souvent mis aux ordres du Directeur des Systèmes d’Informations.
Par ailleurs, comme nous pouvons le voir au travers de la norme ISO27002, la sécurité physique et la sécurité environnementale font partie prenante de la cybersécurité. Or, bien souvent les échanges entre le PC sécurité (incendie et sureté) et le RSSI sont inexistants. Cela est d’ailleurs paradoxal dans plusieurs cas, prenons l’exemple de la sécurité incendie : il est de plus en plus fréquent que la sécurité incendie (au travers des systèmes de sécurité incendie) et les PC sûreté (main courante, vidéosurveillance, gestion des accès par badges) soient dépendants de l’informatique et donc de la cybersécurité au travers des critères DICT[v].
Les méthodes d’attaques sont, elles aussi, de moins en moins sectorisées et les sources d’attaques de plus en plus diversifiées. Ainsi les méthodes liées à l’ingénierie sociale sont à la frontière de la cybersécurité et de la sécurité globale. On peut par exemple citer les arnaques au président qui utilisent un vecteur informatique associé à des méthodes de renseignement sur l’entreprise. A l’inverse on peut également citer des intrusions physiques liées à du renseignement d’origine cyber (site web, appel d’offres avec plan, …) ou liées à des indisponibilités du SI gérant les accès par badge. Les menaces liées aux problématiques géopolitiques, qu’elles soient terroristes ou provenant d’état tiers, menacent également la sécurité informatique et l’actualité y fait malheureusement écho.
La réponse à ces multiples menaces se fait au niveau étatique par les services de sécurité de l’état. Alors que dans la majorité des entreprise la sécurité informatique est gérée par les DSI, la sécurité informatique de l’état n’est pas gérée par les services informatiques. L’ANSSI[vi] est ainsi rattaché au SGDSN[vii], la capacité offensive est rattachée à l’armée, et la capacité d’investigation judiciaire est rattachée aux services de police et de gendarmerie.
Au niveau des entreprises, la réponse aux incidents cyber majeurs implique d’ailleurs l’ensemble des services de l’entreprise qui se retrouvent au sein d’une cellule de crise semblable dans sa globalité à la majorité des crises.
Les services de Cyber Threat Intelligence [viii] proposés par les spécialistes de la cybersécurité peuvent d’ailleurs servir à l’ensemble de la sécurité de l’entreprise. En effet, la CTI peut mettre en avant un nombre plus important de menaces cyber : signaux faibles d’un risque d’attaque physique ou d’une attaque visant l’image de l’entreprise.
Un ensemble de méthodologies sont relativement semblables entre la cybersécurité et la sécurité globale, notamment dans le cadre d’analyse de risques ou de gestion de crise. Il peut ainsi être intéressant de mettre en place des pôles de compétences transverse entre cybersécurité et sécurité globale.
L’ensemble de ces éléments constituent les arguments qui défendent un rattachement à long terme de la sécurité informatique aux directions sûreté/sécurité ou à la direction générale. Une organisation qui est d’ailleurs de plus en plus plébiscitée par les professionnels de la sécurité informatique.
Cela entraîne des changements profonds dans l’organisation de la cybersécurité, cette démarche doit donc être issue d’une réelle volonté de la direction ainsi que des directions spécialisées. Néanmoins il peut s’avérer nécessaire, au départ, de rattacher le RSSI à la DSI de manière à faire avancer les sujets opérationnels, et de favoriser les contacts DSI/RSSI. Le rattachement plus central pouvant s’effectuer par la suite et permettant un traitement global de la sécurité.
Crédits
Auteur : Yann BORTOLUZZI, Consultant Gestion de crise INTRINSEC.
Supervision : Pauline DONON, Senior Managing Consultant INTRINSEC.
[i] Baromètre de la cyber-sécurité CESIN Vague3 Janvier 2018
[ii] https://www.cyber-cover.fr/cyber-documentation/cyber-securite/cybersecurite-statistiques-que-toute-pme-devrait-connaitre
[iii] www.interieur.gouv.fr/content/download/107828/856816/file/panorama-prospectif-securite-privee-2025.pdf
[iv] Responsable de la Sécurité des Systèmes d’Information
[v] Disponibilité, Intégrité, Confidentialité, Traçabilité
[vi] Agence Nationale de la Sécurité des Systèmes d’Information
[vii] Secrétariat Général de la Défense et de la Sécurité Nationale
[viii] Cyber Threat Intelligence : CTI
