Rechercher
Rechercher

GFI : L’ISO 27001 au cœur de sa stratégie industrielle de sécurité

Vie des Entreprises
Dossier : Dossier FFEMagazine N°711 Janvier 2016
Par Dimitri DRUELLE (02)
PDF de l'article

Quel regard portez-vous sur la cyber menace ?

Depuis une dizaine d’années, le vol de don­nées est devenu un busi­ness lucratif et une arme con­cur­ren­tielle. Devant la mul­ti­pli­ca­tion des agres­sions, et des pertes asso­ciées, les organ­i­sa­tions sont poussées à se pré­mu­nir du risque a pri­ori (d’ailleurs incitées par leurs assur­ances et par les sanc­tions légales en cas de négligence).

Cette prob­lé­ma­tique « sécu­rité » n’est plus un sujet seule­ment réservé aux tech­ni­ciens et à leurs out­ils. Elle s’est général­isée à l’ensemble des usagers de l’informatique, avec des risques démul­ti­pliés par la pro­fu­sion des ter­minaux mobiles, et demain des objets connectés.

Ce con­texte amène aujourd’hui nos clients à devenir exigeants et à intro­duire des critères de choix de leurs four­nisseurs dans les appels d’offres.

Au sein de votre ESN généraliste, quel est le travail d’un monsieur « Sécurité » ?

« Pro­téger GFI infor­ma­tique ». C’est-à-dire garan­tir la sécu­rité de notre pro­pre sys­tème d’information, mais aus­si et surtout de tous les pro­jets que nous réal­isons pour nos clients.

Cela passe par fournir un cadre de référence et de cohérence per­me­t­tant l’articulation entre la sécu­rité des SI, celle des per­son­nes et des biens, la con­ti­nu­ité d’activité, et la cou­ver­ture des risques métiers.

C’est aus­si s’assurer du respect des lois et règle­men­ta­tions touchant le domaine de la SSI, en par­ti­c­uli­er en étant l’interlocuteur spé­cial­isé en matière de pro­tec­tion de don­nées à car­ac­tère personnel.

Plus précisément, que faites-vous ?

Mes équipes et moi-même déployons les proces­sus, méth­odes et out­ils per­me­t­tant aux busi­ness unit de répon­dre aux exi­gences sécu­ri­taires de leurs clients, de les préserv­er con­tre les cyber­at­taques et de pro­téger les don­nées et sys­tèmes d’information qu’ils nous confient.

Pour cela, nous devons garan­tir à notre clien­tèle un haut niveau de sécu­rité dans les presta­tions que nous réal­isons en inté­grant cette com­posante dans nos proces­sus indus­triels, et ce, depuis la phase d’avant vente jusqu’à la clô­ture du projet.

La mise en œuvre de cette stratégie s’appuie de façon essen­tielle sur nos col­lab­o­ra­teurs. Nous devons leur don­ner un niveau de con­nais­sance et de com­pé­tences en adéqua­tion avec les risques et enjeux de la cybercriminalité.

Enfin, en cas d’incident, nous devons avoir une réac­tiv­ité per­me­t­tant de lim­iter les impacts financiers et opéra­tionnels pour Gfi et pour nos clients.

Quel est votre principal objectif ?

L’objectif est de trans­former en per­ma­nence nos proces­sus d’entreprises pour qu’ils pren­nent en compte les enjeux labiles de la cyber­sécu­rité et pour que l’ensemble de notre organ­i­sa­tion adopte les bons réflexes.

C’est une sorte de thérapie génique adap­ta­tive, sans fin, de l’ADN de l’entreprise. C’est un tra­vail col­lec­tif qui implique toutes les direc­tions de notre groupe : la RH, les ventes, la direc­tion indus­trielle, la DAF, le juridique…

Quels sont les risques principaux que vous devez traiter ?

Les risques prin­ci­paux que nous devons maîtris­er sont ceux qui touchent le busi­ness de nos clients. Si le site d’une plate­forme e‑commerce que nous gérons se fait « hack­er » le 20 décem­bre, à 17 h, les con­séquences pour lui et nous seraient majeures !

Le numérique ayant con­quis pro­gres­sive­ment des pans entiers de la vie économique, les Entre­prise de Ser­vices du Numérique accom­pa­g­nent la trans­for­ma­tion dig­i­tale des entre­pris­es sur l’ensemble de leurs appli­ca­tions et infra­struc­tures, depuis la con­cep­tion jusqu’à l’exploitation.

Ces risques sont pri­or­i­taires par rap­port aux nôtres, qui exis­tent bel et bien, mais qui, en terme d’ampleur, sont beau­coup plus faibles. La sécu­rité est un élé­ment fon­da­men­tal dans les sys­tèmes d’information que nous dévelop­pons et gérons pour notre clientèle.

En par­ti­c­uli­er vis-à-vis de la préser­va­tion de leurs don­nées con­fi­den­tielles et personnelles.

Quelle est la principale difficulté que vous rencontrez dans la mise en place de la sécurité ?

La prin­ci­pale dif­fi­culté est d’arriver à pro­pos­er à nos clients une stratégie leur per­me­t­tant de con­cili­er la réduc­tion du coût de leurs sys­tèmes d’information et la prise en compte des enjeux crois­sants de la cybersécurité.

La sécu­rité pos­sède un coût. Ce qui n’est pas tou­jours bien anticipé par nos clients, dont les bud­gets, sont déjà con­traints par les exi­gences ren­for­cées de l’ANSSI les con­cer­nant ; surtout les OIV (Opéra­teurs d’Importance Vitale).

Comment arrivez-vous à surpasser cette problématique ?

Grâce à une stratégie indus­trielle de la sécu­rité. Nous avons défi­ni des typolo­gies de site en fonc­tion de leurs capac­ités à délivr­er un niveau d’engagement sécurité.

La majorité de nos sites vont avoir un niveau sécu­ri­taire stan­dard­isé et cer­tains sites seront à très fort niveau d’engagement sécu­rité. Dans ces locaux, la sécu­rité physique et logique est ren­for­cée, les col­lab­o­ra­teurs ont une for­ma­tion ren­for­cée et les pra­tiques de sécu­rité dans les pro­jets sont accentuées.

Nous opti­misons ain­si le coût de sécuri­sa­tion de notre capac­ité indus­trielle tout en étant capa­bles de délivr­er des presta­tions à plus haut niveau d’engagement.

Comment allez-vous conforter votre haut niveau d’engagement ?

Cette stratégie s’appuie sur la norme ISO 27001 : 2013 que nous sommes en train de déploy­er dans l’entreprise. Au 1er trimestre 2016, une pre­mière vague de cen­tres de ser­vice sera cer­ti­fiée. Fin 2016, tous nos cen­tres de ser­vice en France et à l’international ren­treront dans le périmètre de la certification.

Ils per­me­t­tront de garan­tir à nos clients un niveau de sécu­rité con­forme à leurs attentes et en amélio­ra­tion con­tin­ue, sur toutes les activ­ités de notre groupe.

Comment sensibilisez-vous les 12 000 employés de votre groupe à la sécurité ?

Tous nos col­lab­o­ra­teurs, du prési­dent au tech­ni­cien, doivent être au courant de la poli­tique de sécu­rité du groupe et l’appliquer dans leurs tâch­es quotidiennes.

Nous les sen­si­bil­isons par dif­férents canaux (uni­ver­sité interne, eLearn­ing, com­mu­ni­ca­tion man­agéri­ale, ses­sions spé­ci­fiques de sen­si­bil­i­sa­tion, mail…) en fonc­tion de la géo­gra­phie et de leurs activ­ités. C’est un proces­sus con­tinu, qui prend en compte l’évolution des men­aces et de l’effectif du groupe.

Connaissez-vous aujourd’hui des cyberattaques ?

Le groupe Gfi, comme toutes entre­pris­es, subit et subi­ra des cyber­at­taques. Nous essuyons toute sorte d’attaques : ten­ta­tive de phish­ing, arnaques aux prési­dents, infec­tions virales, infec­tions de sites web, déni de ser­vice… Nous avons affaire à toutes les typolo­gies d’attaque et nous devons nous y préparer.

Nous avons aus­si la spé­ci­ficité, comme d’autres ESN, de gér­er en out­sourc­ing des sys­tèmes d’informations de nos clients. Nous subis­sons donc aus­si par rebond les cyber­at­taques qu’ils subissent.

Quand des sites d’organismes publics ont été attaqués après l’attentat de Char­lie Heb­do, cer­tains étaient hébergés dans nos Dat­a­cen­ter et nous avons eu à gér­er la crise ensem­ble avec les clients.

Êtes-vous en mesure d’analyser les attaques et de prévoir les défenses ?

La détec­tion des cyber­at­taques est une com­posante impor­tante de notre sys­tème de man­age­ment de la sécu­rité de l’information. Des cyber­crim­inels men­a­cent régulière­ment notre sys­tème d’information et nous devons en pre­mier nous en pro­téger, mais surtout détecter rapi­de­ment si une attaque a réus­si afin de réduire au max­i­mum l’impact.

C’est pour cela que nous sommes édi­teurs d’une solu­tion de type SIEM, nous per­me­t­tant d’assurer une sur­veil­lance con­tin­ue 24/7 de notre sys­tème d’information et de détecter les signes précurseurs d’une attaque dans des mil­lions de log quotidiens.

Quelles solutions de sécurité proposez-vous à vos clients ?

Gfi est éditrice de solu­tions de sécu­rité française autour du con­trôle d’accès physique, de la ges­tion des accès à priv­ilège, de la bio­métrie et de la cor­réla­tion d’événement de sécu­rité (SIEM).

Afin de pro­pos­er des presta­tions qui répon­dent aux enjeux futurs de la cyber­crim­i­nal­ité, ces solu­tions béné­fi­cient du pro­gramme stratégique d’innovation du groupe.

Nous investis­sons en R&D pour que nos pro­duits soient en rup­ture tech­nologique par rap­port au marché. Aujourd’hui se con­stru­isent les répons­es de demain.



Articles similaires :

Default ThumbnailL’industrie en muta­tion pari gag­nant pour les talents Default ThumbnailLa bat­terie, un élé­ment clé de la tran­si­tion énergétique Default ThumbnailFocus sur les enjeux de la réin­dus­tri­al­i­sa­tion de l’industrie française Default ThumbnailL’humain l’atout pour le monde digital Default ThumbnailInno­va­tions au coeur de l’industrie de la défense Default ThumbnailVers des infra­struc­tures sûres, sécurisées et rentabilisées

Poster un commentaire