Analyse

[CR - JDR] Des métiers charnières du risk management au service de la cybersécurité

Le 20 juin 2019 par Marie Hennequin

Retour sur l’interview de Pascal Foulon et Vincent Tostain, organisée le 25 avril dernier par le Club Risques, au sein de l’Ecole de Guerre Economique et en présence des étudiants, et jeunes professionnels de l’école.

Pascal Foulon, RSSI chez Doctolib, s'est formé en informatique par passion. Il a débuté sa carrière par l'offensif comme attaquant (pentesteur) pour des clients du CAC 40 afin de leur permettre d'évaluer leur niveau de sécurité opérationnelle. Il est ensuite passé du côté défensif pour soutenir les systèmes de l'entreprise Winamax pour laquelle il travaillait.

Vincent Tostain, expert technique chez Devoteam. Ingénieur en informatique de formation, il a travaillé 20 ans dans la cybersécurité. Il dirige actuellement, comme consultant, l'ensemble de la gestion des risques chez Total.

Club Risques (CR) : Comment définiriez-vous le management des risques des systèmes d’informations ?

Pascal Foulon (PF) : Il s'agit de mettre en place des processus et des méthodes qui permettent d'identifier, évaluer et gérer des risques réels et potentiels, afin de réduire tout danger pour l'entreprise. Les risques potentiels sont importants à considérer car sinon il est possible de mal évaluer et anticiper certains risques pour l'entreprise.

Vincent Tostain (VT) : Les risques ne sont pas tant dus uniquement à leur probabilité, qu'à leur criticité pour l'entreprise. C'est l'aspect clé du management de risques : évaluer son impact sur la société. Si on a un risque peu probable mais qui peut faire couler la boite, il sera à évaluer comme prioritaire. La gestion des priorités des risques est primordiale, c'est dans la façon d'évaluer la criticité du risque qu'on va lui donner une priorité plus ou moins forte.

 CR : En termes de composition d'équipe quels sont les besoins ? Y a-t-il des équipes dédiées au management des risques ? Si oui comment s’organisent-elles ?

VT : Il y a un besoin de multiculturalisme et de diverses approches avec des parcours totalement différents comme ceux des étudiants de l'EGE. On recherche un « mindset » et des passionnés capables de délivrer des réponses face aux hauts potentiels d'attaque. Les profils classiques de la cybersécurité ainsi que les profils atypiques sont les bienvenus. Il y a énormément de besoins, Devoteam recrute beaucoup, notamment des profils séniors pouvant encadrer des équipes.

PF : Il y a de l'avenir dans la cybersécurité, avec des gros besoins de recrutement de personnes montant au feu, avec de l'expérience, qui peuvent évaluer, identifier et régler les problèmes.  Aujourd'hui on fait de plus en plus de la sécurité par la gestion des risques. On est de moins en moins dans une problématique technique, les entreprises ont besoin de personnes capable de fournir une analyse par le risque, du fait de l'hyper-numérisation de la vie de l'entreprise.

Question du public : Est-il possible que des entreprises, des concurrents, aillent sur le terrain de la cybercriminalité ?

PF : Il y a certaines entreprises qui utilisent des moyens de la cybercriminalité. Il y a des offres packagées pour les entreprises, comme l'attaque de DOS, une attaque pas chère et facile qui met en danger les entreprises de vente en ligne. Il y a des concurrents qui sont approchés par ce type d'offre.

Question du public : Que pensez-vous des projets de loi sur le « Hack back » à l'étude dans certains pays ?

PF : Cela est très dangereux, car d'une part lorsque l'entreprise est en situation de crise après une cyberattaque, il faut déjà que les équipes se concentrent à remédier à la crise et à sortir de celle-ci. Le nerf de la guerre c'est la continuité ou la reprise d'activité. Ensuite parce qu'il y a de plus en plus d'attaque par rebond, il devient tout à fait possible de se tromper d'attaquants et donc de cible.

CR : Pouvez-vous nous présenter une journée type pour un RSSI ?

PF : Ma journée est assez militaire. Je commence par consulter et trier mes mails. Je consulte les veilles et les systèmes d'alertes sur les attaques en cours. Ensuite, je me consacre un temps pour déterminer les besoins et priorité de la journée et du moment. J'ai aussi une partie développement de projets et de produits. Enfin, dans mes missions, il y a une grande partie management d'équipe en direct ou en transversalité sur différents métiers concernés par la sécurité, notamment avec les équipes en charge de la sécurité de la plateforme, de la corporate IT, du développement de produits, et enfin avec les équipes légales/compliance. En retour ces équipes métiers apportent au RSSI une meilleure visibilité. Enfin, j'ai une partie terrain, où je vais à la rencontre des praticiens et je me mets dans la peau d'un commercial, afin d'identifier les failles de sécurité dans la tournée de ceux-ci.

VT : En fonction des projets des clients, j'assigne les tâches aux différents consultants. Il faut s'assurer aussi à élargir les domaines de compétences des consultants : savoir répondre aux appels d'offre mais aussi accompagner des clients dans la formation de ses besoins, répondre évidemment à ses besoins, faire de la veille technologique pour maintenir à jour les domaines d'expertises. Je peux intervenir sur de l'architecture technique et je fais aussi du recrutement pour trouver les profils qui manquent aux équipes. Il n'y a pas un jour qui se ressemblent, mais il y a quand même un fil conducteur : c'est délivrer l'expertise au client.

Question du public : quelle est la plus-value d'un consultant en cybersécurité en terme de gouvernance et de conformité ?

PF : Chaque RSSI à ses spécialités et forces, qu'il faut cultiver, mais il faut savoir aussi se faire accompagner sur ses faiblesses. Les consultants nous permettent de monter en compétences. C’est très important d'avoir un œil et une expérience différente. Ça permet de ne pas se reposer sur ses acquis et d'être challenger. Un consultant apporte aussi l'expérience d'autres clients, et permet d'ouvrir la vision de l'entreprise qui elle fonctionne en vase clos.
Aujourd'hui ce qui peut faire tomber Doctolib c'est la problématique de sécurité. Si demain on a une fuite de données, l'aventure peut s'arrêter. C'est très important d'avoir des consultants qui comprennent cette problématique.

VT : Notre problématique n°1 est de répondre aux problématiques du client. Il faut aimer travailler pour lui. Je prends en compte les besoins de mon client, ainsi que l'expertise de mon équipe pour gérer les priorités et le débrief au client par l'équipe. Chez Devoteam, il y a des pôles d'expertise pour aller piocher les besoins. Il nous faut dans nos équipes, des gens qui peuvent sortir du cadre du client, pour ouvrir leurs horizons, mais aussi des gens qui connaissent le client et pouvant s'acculturer à lui. Il faut apporter des éléments dimensionnants aux projets afin que le client puisse défendre ses projets auprès de sa direction. L'équipe de consultants doit être forte de propositions pour faire évoluer son client, proposer à la frontière de son scope de nouvelles démarches, de nouvelles organisations...Pour autant, le consultant ne doit pas imposer sa vision. Dans le métier il y aussi le fait de remonter les erreurs des autres clients. Chaque consultant doit faire bénéficier chaque client des meilleures pratiques.

PF : C'est au RSSI de s'assurer que le consultant qui vient ait les moyens de remplir ses missions et de faire ce pourquoi on l'a fait venir. Le RSSI doit être l'influenceur au sein du groupe, pour que le consultant quand il arrive, ne soit pas vu comme un ennemi.

CR : Comment vous choisissez votre consultant ?

PF : Un des éléments extrêmement important dans les réponses à appel d'offre, sont les CV des consultants. Je regarde son parcours, son profil LinkedIn, j'observe avec qui il est en lien... Ensuite, on rencontre les consultants choisis et ceux-ci démontrent s’ils ont compris notre environnement et notre manière de fonctionner – notamment sur le fait que Doctolib est une entreprise extrêmement agile avec de nouveaux risques –. Il s'agit de faire appel à de la compétence et à de la relation humaine.

VT : On a deux grands types de prestations : la régie et le forfait. La prestation en forfait laisse plus de latitude à l'entreprise de consulting. Ce sont deux approches complémentaires.

CR : Concernant la protection des données, du RGPD... Comment êtes-vous organisés ?

PF : Nous avons une personne à temps plein en interne avec une équipe. Le RSSI l'accompagne mais ne porte pas le projet « conformité au RGPD ». Il était essentiel pour nous de bien remplir cette obligation, c'est pourquoi nous avons été cités par la CNIL comme bon élève et exemple à suivre.

VT : L'aspect cybersécurité est une petite partie du RGPD, nous sommes fournisseur du DPO, qui est un métier différent, quoique complémentaire.

CR : L’agrément « Hébergeur Agréé de Données de Santé » (HADS) délivré par le ministère de la santé, est-il un atout dans cette mission de protection des données sensibles ? De manière générale les certifications sont-elles essentielles à votre métier ?

PF : Le HADS concerne les hébergeurs uniquement. Ils ont l'autorisation d’héberger des données de santé, sans cela ce n'est pas possible. Pour nous c'est rassurant, cela montre que nos hébergeurs font de la sécurité informatique et de l'information. Cette certification de nos hébergeurs rassure même notre marché allemand, alors que c'est un agrément franco-français. Il faut savoir qu'il y a beaucoup d’hôpitaux impactés par la cybercriminalité. Les données les plus sensibles sont les données de santé. Nous y faisons donc très attention.

VT : Les certifications sont utiles, mais la connaissance de la réalité de terrain est plus importante. La certification périme très vite. La plus-value d'un consultant se forme quand il panache différentes méthodes d'analyse et de gestion de risques, et qu'il confronte cela avec la réalité de terrain.

CR : Comment le RSSI et le consultant cyber travaillent avec le risk manager ?

PF : Pour moi, la sécurité se manageant par les risques, le travail collaboratif entre le RSSI et le risk manager est au cœur de la stratégie du groupe. Devoteam est intervenu dans la création de notre PSSI, et a mené une analyse d'étude de risques. Le consultant nous aide à établir un plan d'actions, c'est ensuite à nous de dérouler ce plan.

VT : La gestion des risques c'est très vaste. On met en place des plans « sécurité-projet », où on va essayer d'estimer le risque. Et nous proposons des solutions, des tests complémentaires à mener, des remédiations... Et le suivi des risques formant une boucle perpétuelle, tout cela dans le cadre de nos certifications ISO 27000x.

CR : Comment gère-t-on une crise cyber dans l’environnement de la santé connectée ? Avez-vous mis en œuvre des outils comme un PCA... ?

PF : Oui nous avons un PCA, qui continue d'évoluer. Pour moi, la gestion de crise, c'est dérouler un entraînement qu’on a eu face à une menace. Le but d'une gestion de crise c'est sortir d'une situation de danger. Pour cela, il faut s'entrainer, avoir bien identifié ses différents risques, avoir bien sensibilisé sur ceux-ci. En tant que RSSI, je travaille sur ces différents pans. Et c'est en cela qu'on co-construit avec les équipes toutes les méthodes pour gérer les différentes situations de crises qui pourraient survenir. Le but de faire du management des risques, c’est d'éviter que la crise arrive. L'un des exemples de préparation crise et de test de résilience qu'on a mis en place c'est un Chaos Monkey qui shutdown les éléments un à un. L’objectif est de voir la rapidité d'intervention de nos équipes, dans un système de gamification des résolutions des incidents.

VT : La préparation de la gestion de crise, c'est quelque chose qui vit. La première chose que l'on fait, c'est d'appeler les personnes-clés qui ont les compétences pour résoudre la crise et de s’assurer qu’elles soient disponibles à ce moment-là.

Club Risques de l’AEGE