David Garcia est DSSI du groupe Groupe Casino et Filiale et cumule plus de 15 années d’expérience au sein du département IT de l’entreprise. En amont de la conférence #FranSec, David s’est prêté à notre série d’entretien. Il fait état ici de quelques axes indispensables pour faire de la sécurité des organisations françaises publiques ou privées, « de la sécurité par défaut”.
—-
Quels sont, selon vous, les 3 cyber-défis majeurs auxquels la France est confrontée aujourd’hui?
- Mettre en place un accompagnement des PME et moyennes entreprises qui n’ont pas perçu l’importance du risque cyber
- Proposer de vrais guides simplifiés pour démystifier la sécurisation de base, comme le fait d’avoir une sauvegarde, éviter que les 10 personnes d’une PME soient Administrateurs du domaine, et surtout appliquer les patchs !
- Il faut maitriser l’adoption du cloud qui aujourd’hui se vend sous la bannière de la facilité, alors que les entreprises n’ont pas la maturité pour mettre en place les mesures de sécurité adéquates à la même vitesse que le metier qui déroule son projet.
Comment les entités publiques / privées surmontent-elles ces défis? Y a-t-il des différences dans leurs préoccupations / objectifs et priorités?
D’après vos constatations – pensez-vous que l’on œuvre suffisamment pour régler correctement ces problèmes?
Les grands groupes privés progressent chaque jour, mais ce ne sera jamais assez pour éviter toutes les attaques et surtout il faudrait que ces groupes s’assurent de leurs fondamentaux avant d’aller chercher des produits “à la mode” qui ne sont pas toujours adaptés au context de la société.
Côté public, la gouvernance et les process sont trop lourds pour espèrer à court terme augmenter les niveaux. Il faudrait mettre en place une cellule transverse qui serait en mesure de venir auditer et accompagner l’ensemble de l’administration. La massification des audits et des contrôles et un axe d’optimisation que nous utilisons énormément dans une entreprise internationale, il est donc dommage de voir que ce fonctionnement n’arrive pas à se mettre en place entre des administrations …
Dans quelle mesure les organisations françaises sont-elles capables d’appliquer une bonne gouvernance et la conformité au sein de leurs structures?
Que font-elles correctement? Qu’est-ce qui pourrait être amélioré?
La gouvernance théorique est souvent correcte, ce qui manque c’est l’application des corrections des anomalies de conformité : il y a un lien compliqué à établir entre la detection d’une anomalie et le fait de la faire corriger dans un délai raisonnable par les équipes en responsabilité. Il faut arriver à casser les process trop lourds de validation pour obtenir une remédiation agile. Il pourra arriver des incidents suite à ces validations raccourcies, mais qu’il faut mettre en rapport avec les incidents qui arrivent faute d’avoir appliquer les corrections : non seulement on a l’incident, mais en plus nous “savions” qu’il fallait appliquer un correctif, le sujet est difficile à defendre … de mon point de vue je préfère avoir l’incident suite à une mise en conformité…
Avez-vous vu le rôle du CISO / RSSI évoluer et, dans l’affirmative, qu’est ce qui insuffle ce changement?
Le rôle du RSSI évolue et doit évoluer pour que la sécurité ne soit plus un sujet de la DSSI mais de l’ensemble des collaborateurs, notamment de la DSI. Nous devons « apprendre » à nos équipes à faire de la sécurité par défaut, à leur faire comprendre qu’il s’agit de leur responsabilité de construire de manière sécurisée et que cela devienne une habitude pour eux. Ce changement est nécessaire car maintenant les attaques peuvent arriver par tous les composants du SI, donc un service seul ne peut connaitre et maitriser tous les sujets.
Avec la diffusion de Covid-19, vos protocoles de cybersécurité ont-ils été suffisamment flexibles pour un changement soudain de culture de travail?
Quels ont été les plus grands défis associés à cela?
Les protocoles étaient assez matures pour s’adapter à la crise, quelques ajustements mineurs nous ont permis de traiter toutes les demandes. Le plus gros défi a surtout été d’avoir les capacités de puissance pour tenir la charge, mais grâce à l’implication des équipes et de nos partenaires le sujet a été rapidement mis sous contrôle.
Keen to learn more about the state of cyber security in France?
Join us at the FranSec Conference online on 24th – 25th June to connect with cyber security leaders across France. View the full speaker line-up at: france.cyberseries.io/speakers
Or, check-out the online agenda here: france.cyberseries.io/agenda
