Le Livre Blanc

L’évolution du métier de RSSI : Interview d’Erwan Brouder (BSSI Conseil)



Olivier Schoeffel

Dans le cadre du Cyberday, le Club Cyber de l’AEGE s’est entretenu avec Erwan Brouder, fondateur du cabinet BSSI, spécialiste en audit et en conseil en sécurité des systèmes d’information.




Bonjour Erwan. Merci d’avoir accepté de nous consacrer du temps pour cette interview. Vous êtes ingénieur réseau et sécurité de formation, vous avez une expérience assez vaste dans le domaine de la cybersécurité et vous vous êtes particulièrement intéressé au dialogue entre les directions métiers et les équipes informatiques, fondant ainsi votre propre cabinet d’audit, BSSI, il y a dix ans. Par le passé, les RSSI étaient des profils techniques situés dans les DSI. Ils en sont progressivement sortis, avec la montée en puissance de leur compétence organisationnelle. Qu’est-ce qui est à l’origine de ce changement de fonction entre le RSSI d’avant et le RSSI d’aujourd’hui ?

Erwan Brouder : La problématique qu’il y a dans les banques et les industries aujourd’hui, notamment avec la LPM et toutes ces réglementations, c’est qu’on a un besoin de contrôle. Quand vous contrôlez votre chef, s’il s’agit du DSI, vous avez une sorte de conflit d'intérêt. Ce changement a été porté par la réglementation, tous les contrôles dits “de niveau 2” devaient être fait par des personnes en dehors du périmètre contrôlé. Dans le cadre de ma mission à la direction des risques d’un groupe bancaire, j’ai eu la chance d'être en dehors de la DSI et je voyais toute la difficulté qu’avaient ces deux mondes à communiquer. On avait d’un côté les gens qui étaient orientés métier et de l'autre ceux qui étaient orientés technologie. Je pense que le métier du DSI a aussi évolué depuis dix ans, mais ces notions d’accompagnement métier, de maîtrise d’ouvrage, étaient beaucoup moins présentes et moins structurées qu’aujourd’hui.

Entre la création de BSSI il y a dix ans et aujourd’hui, avez-vous vu un changement du côté des clients, au niveau des besoins exprimés par les DSI ?

Oui, on voit que sur le domaine du cyber, aujourd’hui, on a quasiment deux métiers : un métier qui est orienté conformité, à la limite de l’audit, qui est en dehors de la DSI et qui est plutôt un organe de contrôle ; et le métier de l’expert technique, au sein de la DSI, qui est finalement une évolution du métier de l’informaticien. De nos jours, l’informaticien sans l’aspect cyber n’existe plus. On le voit chez les développeurs, chez les administrateurs et les experts réseaux, il y a maintenant toujours une composante sécurité. L’aspect technique a été saupoudré un petit peu sur tous les métiers de la DSI.

La crise sanitaire a changé notre quotidien et a entraîné un passage précipité au travail à distance. Cela a eu une conséquence importante sur l’équilibre entre cybersécurité et performance dans les entreprises. Avez-vous ressenti cette bascule et comment la vivez-vous chez BSSI ?

Je pense que la crise a accéléré le passage au travail à distance. Les risques sont les mêmes mais les moyens d’y faire face ont un peu évolué. Ça veut dire que les mesures de protection ont dû être adaptées, parfois dans l’urgence, parfois avec des personnes déjà habituées à faire un maximum de télétravail. On voit quand même que la protection du poste de travail devient quelque chose d’encore plus central parce que vous le connectez depuis des endroits non sécurisés. Avant, vous étiez sur le réseau local de votre entreprise, vous aviez un certain niveau de confiance. Maintenant, vous êtes derrière votre box, à côté de vos enfants qui vont sur Netflix, regardent du streaming et tout un tas d'autres choses qui peuvent apporter des malwares sur vos machines. La protection du poste de travail devient particulièrement importante. 

Depuis que vous avez fondé BSSI il y a dix ans, qu’apportez-vous aux RSSI pour les aider dans leurs tâches quotidiennes ?

Je pense qu’on a deux axes qui sont intéressants pour les RSSI : le premier, on réalise une veille générale. Nous avons de nombreux experts qui nous permettent de la consolider et de la partager. Cette communication est quelque chose d’important pour nous. L’autre point, c’est qu’on est en permanence en train de former et de mettre à niveau nos équipes sur les nouvelles normes, les nouvelles technologies, les nouveaux équipements, pour essayer de coller un maximum aux différents besoins. On sait que pour un risque donné, on est toujours sur un compromis. Mitiger un risque, quand il est à un niveau qui n’est pas acceptable pour l’entreprise, c’est quelque chose qui est important et, pour le faire, on met justement en place des mesures, des processus, de l’organisation et de la technologie. C’est l’une des forces de notre cabinet : on sait travailler sur ces éléments et on a des experts techniques qui sont à jour des nouvelles innovations.

Vous allez parler au Cyberday de la Cyber Threat Intelligence (CTI) et du Cyber Rating. Ce sont des sujets relativement récents, de quoi s’agit-il ?

Alors c’est vrai que c’est quelque chose dont on entend beaucoup parler. Quand on a commencé à en discuter, je voulais amener deux notions sur le cyber rating. Comme tout audit ou toute analyse de ce type, ce qui est important, c’est le périmètre. Finalement, on voit beaucoup de services qui fleurissent sur internet et qui vous disent “votre entreprise a une note de 8/10”... mais qu’est-ce qu’on regarde ? Quel est le périmètre ? Quelle est la confiance qu’on peut avoir dans ce label ? Dans la démarche de BSSI, je trouvais important d’ajouter à ce type d’indice un niveau de confiance et que celui-ci soit adossé au périmètre qui est analysé. C'est-à-dire qu’avoir un 10/10 avec 10% de confiance, c’est inutile. Avoir un 5/10 avec 100% de confiance, c’est plus intéressant.

Oui, c’est plus crédible, c’est une approche qui est plus rationnelle.

Oui, et c’est une approche qui n’est pas marketing. Parce que c’est plus facile de donner à quelqu'un une bonne nouvelle que de lui dire que connaître son niveau de sécurité, ça prend un peu de temps et ça coûte un peu cher. D’un autre côté, ça permet vraiment de se préparer à une attaque, d’avoir un label ou un rating qui a une valeur, parce qu’avoir un 8/10 et se faire pirater le lendemain, ça n’a pas de sens. C’est ça qu’on va essayer d’amener en termes de réflexion à l’auditoire. L’un des axes, l’un des périmètres, c’est la cyber threat. On peut regarder des éléments techniques, on peut regarder l’architecture d’un SI, on peut regarder la manière dont on s’organise, mais il faut aussi surveiller si l’on n’a pas de fuite de données, si l’on n’a pas des groupes d’attaquants qui sont en train de préparer quelque chose. Si on ne surveille pas ce qui se fait pour se préparer et se protéger, on loupe dans notre périmètre ce que j’ai appelé la confiance.

On entend beaucoup dire que derrière une cyberattaque, il y a des hommes et des motivations. Peut-on dire que la posture de cybersécurité évolue, ajoutant à la connaissance et à la maîtrise de son système d’information le besoin de connaître son adversaire pour mieux s’en protéger ?

Quand l’entreprise va faire son analyse de risques, elle va essayer d’identifier ses actifs sensibles et qui cela pourrait intéresser ? Une entreprise dans le domaine de la défense n’aura pas les mêmes enjeux qu’une entreprise qui vend du fromage et pour autant, chacun a des risques, des données, des informations à protéger. C’est important dans une démarche de mise en place d’une gouvernance cyber de bien appréhender cela, parce qu’on ne va pas construire des châteaux forts avec des portes blindées partout. Il vaut mieux se concentrer sur ce qui est vraiment important pour l’entreprise. Dans les démarches de BSSI nous avons mis au cœur l’étude du contexte.

Pensez-vous qu’un bagage technique fort soit toujours nécessaire pour prendre la fonction de RSSI ou pourrait-on envisager aujourd’hui dans ce rôle des personnes plus jeunes et moins expérimentées ?

La question n’est pas simple parce que vous allez avoir des organisations habituées à avoir des RSSI au COMEX qui vont présenter des risques pour l’entreprise, mais vous allez en avoir d’autres qui chercheront avant tout un expert. La légitimité, ce qui va permettre au RSSI d’agir, c’est de pouvoir s’adapter à l’organisation à laquelle il va être confronté. Si c’est quelqu’un qui parle à un COMEX, on va lui demander d’être plus synthétique, d'appréhender mieux les enjeux métiers et la partie risque, tandis que dans des organisations qui sont plus IT, il faudra quelqu'un qui maîtrise les protocoles réseaux et les technologies pour gagner sa légitimité par rapport à ses collègues. On sait qu’on a des entreprises en face de nous qui sont parfois plus ou moins technophiles, prenez comme exemple Orange : la technologie est au cœur de leur business et on va trouver des RSSI qui auront cette connaissance technologique. Ce sera le contraire dans une banque, car le métier de la banque est de vendre des produits financiers, des crédits, et pas de la technologie.

Pour les étudiants d’une école comme l’EGE, est-ce que BSSI recrute des profils qui ne sont pas techniques ?

On a dans nos recrutements des profils non-techniques, parfois issus d’école de commerce que nous pouvons faire travailler sur des missions de gouvernance, de gestion de risque et de conformité. Pour ces métiers, les qualités que nous recherchons sont le pragmatisme, la curiosité et une excellente communication. 

D’après vous, quelle innovation, quel sujet porteur marquera la cyber sécurité en 2021 ?

Je pense que les outils de détection et de protection des postes de travail (type EDR par exemple) vont permettre, j’espère assez rapidement, de nous sortir des crises à répétition qu’on voit avec les ransomwares en intégrant plus d’automatisation. Je pense que c’est vraiment l’enjeu actuel, on le voit tous les jours dans la presse. Il y a de la sensibilisation pour limiter la portée d’une attaque mais pour moi, la clé est technologique.

L’origine des cyberattaques se trouve souvent dans une erreur humaine. Peut-on attribuer la faute à l’utilisateur ?

Il faut vraiment éviter de rejeter la faute sur l’utilisateur. La personne qui a cliqué ne l’a pas fait de façon malveillante, on sait très bien que lorsqu’on cible une personne donnée… On fait des campagnes de phishing et on voit très bien que la plupart des gens cliquent. Rejeter la faute sur une personne, c’est un aveu d’impuissance sur la partie technologique. Je pense que la formation reste une mesure en attendant de pouvoir bloquer les attaques, mais avec la technologie, on doit trouver des solutions.
 

Une interview réalisée par Olivier Schoeffel, membre du Club Cyber de l’AEGE

Le Livre Blanc | Coup d'oeil Programme 2020 | La newsletter