 |
|
| |
 |
Isabelle Tisserand
Coordinatrice générale
Cercle européen de la Sécurité et des SI |
|
Isabelle Tisserand
"Il y a beaucoup de retard sur la gestion du risque humain"
Partage de connaissances, coopération public / privé, intelligence économique, cyberterrorisme, la coordinatrice générale est revenue avec pétulance sur les thèmes qui animent les professionnels de la sécurité.
15/03/2007 |
| |
|
|
Qu'est-ce que le Cercle Européen de la Sécurité et des Systèmes d'Information ?
Isabelle Tisserand. Le Cercle rassemble la communauté des professionnels de la sécurité des systèmes d'information, les responsables des risques opérationnels, les gestionnaires du risque humain.
Quels sont vos objectifs ?
Bonne question ! Rassembler la communauté professionnelle française afin de fédérer les questionnements, les méthodes, les doutes...
Quel intérêt peut avoir un éditeur de solutions de sécurité à participer au Cercle ?
Il rencontre des professionnels susceptibles de l'éclairer sur les besoins, les attentes. Il nous rejoint aux assises de la sécurité à Monaco pour rencontrer ses homologues, ses futurs clients.
Qu'est-ce que vous différencie d'une association comme le Clusif ? Entretenez-vous des relations avec ce dernier ? Des membres en commun ?
Nous prônons le mélange des cultures sécurité, nous n'avons pas de tabous sur les questionnements inhérents à la protection des patrimoines matériel, informationnel, humain. Nous avons une vision globale axée sur la sécurité des patrimoines du territoire.
Quel est votre programme en 2007 ? Autour de quels thèmes allez-vous débattre ?
Nous avons commencé l'année avec un rappel des LOIS. Nous poursuivons, le 5 avril prochain sur le traitement du cyber-terrorisme dans les organisations sensibles, nous poursuivons avec le développement durable et l'intelligence économique.
Quels sont les sujets qui à l'heure actuelle préoccupent le plus les membres du Cercle ?
| |
|
 |
|
|
 Le juridique doit impérativement nous aider à fixer des seuils de sécurisation obligatoire" |
|
Tous les thèmes permettant d'augmenter nos performances de gestionnaires de la sécurité de l'information nous intéressent.
Quels types d'entreprises récompense le prix de l'innovation ? Y a-t-il une gratification pour les lauréats ?
Toutes les entreprises qui innovent, créent, ont de l'imagination, ont envie que les méthodes progressent sont les bienvenues. Elles peuvent contacter Pierre-Augustin Tillit au Cercle.biz pour participer au concours.
Comment détecter des actes d'intelligence économique contre son entreprise ? Est-ce juste une question d'outils ?
Non, c'est une question d'organisation. Si vous avez une équipe de professionnels dédiée vous pouvez repérer, anticiper, évaluer, contrôler, réparer... Mais ce n'est pas donné à tout le monde. N'hésitez pas à contacter Patrick Langrand et Philippe Steuer, animateurs du groupe de travail intelligence économique au cercle pour plus d'informations.
De quels types d'opération d'intelligence économique peuvent être victimes les entreprises ?
Du vol d'information en passant par la manipulation psychologique de VIP, les attaques par rumeurs, les atteintes à l'image de marque, les opérations de déstabilisation, les recrutements de défecteurs, le sabotage de ressources et d'infrastructures, la fraude, etc.
Doit-on plus se défier de l'espionnage des concurrents ou de celui mené directement par des états ?
Les deux mon capitaine. Mais on ne traite pas les deux domaines de risques de la même manière. L'espionnage des concurrents a des impacts sur le court terme. Il est souvent organisé à des fins de récupération de marchés.
L'espionnage d'Etat a plusieurs objectifs : la veille sur ce qui se développe ailleurs et peut nuire à sa propre économie; la construction de bases d'informations afin de construire des attaques sur court, moyen, long terme dans le but de déstabiliser - pour ne pas dire détruire - civilement, politiquement, économiquement. On pourrait en parler durant des heures. C'est une question très pertinente et totalement d'actualité.
Le vol et la perte de données en entreprise, réalité ou mythes entretenu par les éditeurs de solutions ?
C'est tellement vrai et banalisé que l'on néglige trop souvent de prévenir ce risque.
Pensez vous qu'une modification de la législation définissant un niveau de sécurité minimum requis dans les entreprise pourrait améliorer la situation ?
Oui. Le juridique doit impérativement nous aider à fixer des seuils de sécurisation obligatoire dès lors que les patrimoines à protéger participent à la bonne santé du territoire.
| |
|
 |
|
|
La biométrie seule ne sert à rien. Il faut coupler les solutions et cesser de faire que ces moyens restent réserver à une élite" |
|
Comment former suffisamment de RSSI dans les trois ans qui viennent ?
En développant les enseignements dans les grandes Ecoles, dans les masters, dans les écoles techniques. Je pense qu'on peut apprendre ce métier en 3 ans en effectuant une partie de la formation dans l'entreprise. Mais c'est aussi en faisant la promotion de ces métiers auprès des populations, en communiquant de façon plus pédagogique et plus grand public sur cette niche de métiers passionnants.
Quelle formation pour compléter la fonction des DSI en RSSI dans une moyenne entreprise de 500 personnes ?
La première est informatique (gestion des réseaux et des systèmes). La deuxième est juridique (droit et nouvelles technologies). La troisième est physique (sécurité logique des environnements informatisés). La quatrième est la plus complexe : gestion des risques humains en environnements de hautes technologies, confinés, stratégiques, sensibles, secrets. Vous pouvez, si vous placez la barre très haute sur le plan de la qualité de vos actions professionnelles, vous former en Intelligence Economique.
Pensez-vous les entreprises mures pour la biométrie ? La technologie est-elle déjà suffisamment mature pour cela ?
Non. La biométrie seule ne sert à rien. Il faut coupler les solutions et cesser de faire que ces moyens restent réserver à une élite. Là encore il faut une culture plus pédagogique. La réponse à la question est oui pour des environnements dans lesquels la culture sécurité est une seconde nature. Il n'y aura un développement rapide que si l'on y adjoint la sécurité des données relatives à l'humain.
Les dérives possibles avec la biométrie ne vous effraient-elles pas ?
Toutes les dérives sont effrayantes si elles ne sont pas comprises, canalisées ou éradiquées. Elles ne m'effraient pas. Mon métier est de les gérer au quotidien.
Les vulnérabilités des pièces d'identité biométriques embarquant du RFID ont été plusieurs fois démontrées. Ce sont des sujets auxquels vous vous intéressez ?
C'est une problématique qui relève des services de l'Etat.
Quel est votre sentiment à l'égard de l'attaque menée en février contre les serveurs racine d'Internet ? Cela laisse-t-il augurer d'attaques ultérieures ?
Je n'ai pas étudié l'attaque. Je n'ai pas vu les traces, je ne peux pas me prononcer.
Le gouvernement Tunisien oblige ses entreprises et administration à réaliser 1 audit annuel par des experts assermentés par l'état. Et la France et l'Europe ?
Cela dépend des entreprises. Un seul audit n'est pas de mon point de vue suffisant et n'est pas le plus important. Ce qui compte, c'est de contrôler que les recommandations d'audit sont mises en uvre, et si elles ne le sont pas de comprendre pour quelles raisons.
Le cyberterrorisme fait peur, car il n'y a pas de limites. Comment faire pour lutter contre ces criminels, quelles sont vos actions ?
| |
|
 |
|
|
Le rapport entre l'entreprise et le cyberterrorisme se construit grâce aux outils informatiques, informationnels et humains des entreprises" |
|
Venez le 5 avril à notre soirée débat. Nous essaierons premièrement de nous mettre d'accord sur ce que ce terme recouvre exactement et avec l'aide d'un scientifique dont c'est le métier.
Deuxièmement de donner des exemples concrets pour terminer sur les mesures à mettre en uvre. Nous ne répondrons pas à tout en une soirée mais les travaux se poursuivront dans les groupes de travail.
Des membres de la Befti ou de l'OCLCTIC font-ils partie du Cercle pour apporter leur expérience sur ces questions ?
Oui.
Comment limiter et se défendre contre le cyberterrorisme ?
En y travaillant sérieusement et d'une façon moderne, dépassionnée, rationnelle. En décloisonnant les savoirs, en osant tous les questionnements inhérents à ce trouble psychosocial, en rapatriant les meilleures matières grises pour comprendre, agir, prévenir, résoudre, en osant proposer des solutions qui ne seront pas que techniques mais aussi sanitaires et éducatives car ce sont les plus efficaces et les plus humaines.
Quel rapport entre cyberterrorisme et entreprise ?
Le rapport entre l'entreprise et le cyberterrorisme se construit grâce aux outils informatiques, informationnels et humains des entreprises. En d'autres termes, il est possible d'utiliser les émetteurs et les récepteurs d'informations stratégiques d'une entreprise pour déclencher un sinistre de nature terroriste.
Pensez-vous que les services de l'Etat, le ministère de l'intérieur par exemple, aient bien pris en compte les problèmes de sécurité liés à l'utilisation d'Internet ?
Le ministère de l'intérieur aide les entreprises grâce à des sessions de sensibilisation sur les risques liés l'usage de l'Internet.
Pouvez-vous nous parler de la relation entre le développement durable et le Cercle ?
Le Cercle sera le premier à s'interroger sur les relations qui existent entre le développement durable et le traitement de l'information. L'étude sera publiée.
Dans quel domaine de la sécurité les entreprises restent-elles selon vous trop laxistes ?
Il y a beaucoup de retard sur la gestion du risque humain. Si l'on circonscrit la question aux métiers du S.I : la sélection, le recrutement, la formation, le suivi et le support aux ressources humaines devraient être mieux intégrés.
L'intelligence économique est également un domaine en sommeil malgré de vrais progrès ces 5 dernières années. Enfin, la coopération entre les professionnels d'entreprises et les services de l'Etat devraient s'épanouir pour plus de rapidité dans le traitement des problèmes.
N'est-ce pas aussi le rôle des DSI que de sensibiliser les utilisateurs ? Pensez vous qu'ils savent communiquer avec le reste des équipes ?
Oui, ils peuvent le faire ou déléguer cette mission à un membre de leurs équipés. Mais il est difficile de généraliser. Il y a des DSI très attachés à la communication, il y en a d'autres qui ne sont pas en mesure de rendre les discours techniques suffisamment clairs pour l'utilisateur qui vous dira rarement qu'il n'a pas compris le message...
| |
|
 |
|
|
Ce qui fait que l'on reste dans ce métier, ce sont les rencontres avec d'autres professionnels" |
|
Pensez vous que les moyens mis en uvre actuellement par les forces de l'ordre sont adaptés à la situation ?
Quelle que soit la problématique à laquelle vous pensez car vous ne précisez pas, il semble que ce territoire regroupe énormément de ressources intellectuelles et techniques. Mais tous ces moyens sont épars et les experts ne se fédèrent pas suffisamment.
Les forces de l'ordre sont-elles responsables du manque de solidarité entre spécialistes et entre moyens ? N'est-ce pas aux spécialistes de se retrouver pour travailler en commun ?
Les pompiers possèdent des listings des sites sensibles Seveso. Qui peut vérifier que 'Marcel' ne va pas brancher son modem et favoriser une attaque cyberterroriste ?
Bonjour aux pompiers. Je vous ai vu travailler sur la place des Halles à éteindre un feu au dernier étage d'un bâtiment ce week-end. C'était intense. Bref. Rien ne prouve qu'un collaborateur ne va pas dévier, commettre une erreur ergonomique. C'est à nous de former les gens et de nous protéger mutuellement. Il n'y a pas de garantie sur l'humain. Il y a des limites de risques tolérables et nous faisons de notre mieux pour les gérer.
Comment peut-on avoir plus d'informations sur le Cercle ?
Par google : "cercle européen de la sécurité des systèmes d'information". Vous pouvez aussi téléphoner. Vous serez bien accueilli.
Les femmes ne se sentent-elles pas un peu seules dans un domaine comme celui de la sécurité ?
Elles sont très nombreuses dans ce métier mais elles très discrètes.
Qu'est-ce qui vous a séduit dans la sécurité, et je l'espère continue de le faire ?
Joker
mais le modérateur insiste donc je vais répondre. Ce qui est séduisant c'est d'avoir le sentiment de coopérer au bien être et donc à la protection de ce qui pourrait nous garantir un bon niveau de paix collective et personnelle et nous laisser par conséquent assez d'énergie et de temps pour développer notre culture commune, nos vies privées et donc nos équilibres.
Cet exercice peut nous aider à rester des citoyens investis au service des autres tout en nous réservant un espace de liberté. Enfin, ce qui fait que l'on reste dans ce métier, ce sont les rencontres avec d'autres professionnels qui partagent les mêmes valeurs et qui ont les mêmes objectifs.
Au revoir. Merci pour cette expérience. Merci à tous et toutes pour vos questions. Pardon pour l'orrtooograffe!!
|
| |
Propos recueillis par Christophe AUFFRAY, JDN Solutions |
|
|
|
|
|
|
