En amont de la conférence FranSec sur la cybersécurité, nous avons rencontré Christophe Ciavarella, RSSI du Crédit Mutuel Arkéa, pour une discussion rapide sur l’état actuel de la cybersécurité en France.
Découvrez l’intégralité de notre échange ci-dessous !
Présentez vous et parlez nous de votre parcours…
Je suis actuellement le RSSI d’une banque et compagnie d’assurance régionale française, le Crédit Mutuel Arkéa.
Je m’implique dans la définition de la stratégie et de la feuille de route de sécurité de l’information du groupe, agissant comme un éclaireur pour rester à la pointe des pratiques et des innovations en matière de cybersécurité.
Dans un passé récent, j’ai aussi travaillé dans l’industrie du transport spatial Airbus Defense and Space puis ArianeGroup, en tant que CISO délégué pour une unité opérationnelle en charge des activités stratégiques gouvernementales.
Je ne suis pas seulement un expert en sécurité, dans le passé j’ai également travaillé dans le domaine de la sécurité de l’information et des communications dans plusieurs fonctions en tant que business developer, bid manager et program manager pour une Global Business Unit de THALES (Communications & Security).
J’ai commencé ma carrière en tant qu’officier de marine, pour la Marine Nationale, au sein du Ministère des Armées français, pendant plus de 15 ans.
Mes sujets d’actualité sont la gestion des cyber-crises, l’identité numérique de confiance dans le secteur bancaire, la protection des données dans le Cloud public, l’efficacité de la gouvernance de la cybersécurité dans les entreprises.
Quels sont, selon vous, les plus grands risques de cybersécurité qui affectent les entreprises françaises aujourd’hui ?
Aujourd’hui les grands risques restent assez constants, la menace ransomware, les attaques/arnaques basées sur l’ingénierie sociale, le phishing mail et toutes ses variantes (SMS, voice call).
En dehors des attaques, face à des pannes, incidents de production, les entreprises sont inégalement préparées. La poursuite ou reprise d’activité est encore mal préparée et les PRA sont rarement testés en grandeur nature.
Et enfin, on redoute des risques sérieux d’attaques de la supply chain / approvisionnements, tierces parties partenaires.
Que réservent les 5 prochaines années à votre secteur ?
La gestion des ressources humaines est une préoccupation. Le niveau de technicité exigé augmente, l’évolution des technologies et systèmes accélère la rotation des compétences nécessaires au sein des organisations. Le nombre de professionnels compétents crée une tension durable pour de nombreuses années au regard du temps nécessaire pour être au bon niveau d’expertise exigé.
On observe des baisses de maîtrise des SI dues à ce phénomène, sujet clé dans les systèmes d’information futurs (hybridés et hors des murs de l’entreprise).
De mon point de vue, le cyber espionnage à des fins stratégiques est un phénomène qui s’amplifie et qui doit nous faire craindre pour la stabilité des organisations, entreprises et à plus grande échelle les États souverains ou Unions transnationales.
Je pense que la répression cyber va se généraliser entre les États et par voie de conséquence les organisations.
C’est la fin de l’internet/interconnexion ouverte publique gratuite tant les coûts subis sont énormes.
Si la notion de frontière est difficile dans le monde cybernétique, je fais un parallèle avec le monde économique maritime, autre espace ouvert dont la maîtrise requiert des moyens gigantesques sans jamais parvenir à une situation totalement stable.
Pouvez-vous nous donner un avant-goût du point principal que vous allez aborder lors de la conférence ?
Vous pourrez m’entendre lors du panel : “De quoi avons-nous besoin de la part de nos fournisseurs tiers ?”
En effet, nos fournisseurs tiers vont devoir répondre à des enjeux connus :
– Disposer de stocks pour les équipements
– Approvisionnements : avoir une traçabilité accrue, garantie et indépendante idéalement, au travers de plateformes / dans certains cas usages de la blockchain
– Disposer de collaborateurs qualifiés (formation et la qualité des techniciens, experts)
– Protéger le patrimoine du client final : la gestion des codes sources des logiciels utilisés dans les développements informatiques, l’usage des données (traitements) du client
– Probité de la sécurité (audits externes, labels, certifications, audit fournisseurs etc.)
Comment nous garantissez-vous que votre hygiène numérique est suffisante ?
Quel est votre principal conseil aux autres professionnels de la cybersécurité ?
Sécurisez les terminaux, toujours plus de sécurité locale des postes.
Qu’avez-vous le plus envie d’explorer et d’apprendre cette année en matière de cybersécurité ?
La cryptographie homomorphe et ses apports dans la protection des données dans le Cloud.
Retrouvez Christophe à la conférence FranSec les 13 et 14 septembre pour sa participation au panel : “De quoi Avons-nous Besoin de la Part de nos Fournisseurs Tiers ?” ! Rejoignez-nous pour sa session et profitez de sessions questions-réponses en direct tout au long de la conférence en vous inscrivant GRATUITEMENT en ligne avec le code : CYBER-VIP sur france.cyberseries.io/register/.
