GFI : L’ISO 27001 au cœur de sa stratégie industrielle de sécurité

Dossier : Dossier FFEMagazine N°711 Janvier 2016
Par Dimitri DRUELLE (02)

Quel regard portez-vous sur la cyber menace ?

Depuis une dizaine d’années, le vol de don­nées est deve­nu un busi­ness lucra­tif et une arme concur­ren­tielle. Devant la mul­ti­pli­ca­tion des agres­sions, et des pertes asso­ciées, les orga­ni­sa­tions sont pous­sées à se pré­mu­nir du risque a prio­ri (d’ailleurs inci­tées par leurs assu­rances et par les sanc­tions légales en cas de négligence).

Cette pro­blé­ma­tique « sécu­ri­té » n’est plus un sujet seule­ment réser­vé aux tech­ni­ciens et à leurs outils. Elle s’est géné­ra­li­sée à l’ensemble des usa­gers de l’informatique, avec des risques démul­ti­pliés par la pro­fu­sion des ter­mi­naux mobiles, et demain des objets connectés.

Ce contexte amène aujourd’hui nos clients à deve­nir exi­geants et à intro­duire des cri­tères de choix de leurs four­nis­seurs dans les appels d’offres.

Au sein de votre ESN généraliste, quel est le travail d’un monsieur « Sécurité » ?

« Pro­té­ger GFI infor­ma­tique ». C’est-à-dire garan­tir la sécu­ri­té de notre propre sys­tème d’information, mais aus­si et sur­tout de tous les pro­jets que nous réa­li­sons pour nos clients.

Cela passe par four­nir un cadre de réfé­rence et de cohé­rence per­met­tant l’articulation entre la sécu­ri­té des SI, celle des per­sonnes et des biens, la conti­nui­té d’activité, et la cou­ver­ture des risques métiers.

C’est aus­si s’assurer du res­pect des lois et règle­men­ta­tions tou­chant le domaine de la SSI, en par­ti­cu­lier en étant l’interlocuteur spé­cia­li­sé en matière de pro­tec­tion de don­nées à carac­tère personnel.

Plus précisément, que faites-vous ?

Mes équipes et moi-même déployons les pro­ces­sus, méthodes et outils per­met­tant aux busi­ness unit de répondre aux exi­gences sécu­ri­taires de leurs clients, de les pré­ser­ver contre les cybe­rat­taques et de pro­té­ger les don­nées et sys­tèmes d’information qu’ils nous confient.

Pour cela, nous devons garan­tir à notre clien­tèle un haut niveau de sécu­ri­té dans les pres­ta­tions que nous réa­li­sons en inté­grant cette com­po­sante dans nos pro­ces­sus indus­triels, et ce, depuis la phase d’avant vente jusqu’à la clô­ture du projet.

La mise en œuvre de cette stra­té­gie s’appuie de façon essen­tielle sur nos col­la­bo­ra­teurs. Nous devons leur don­ner un niveau de connais­sance et de com­pé­tences en adé­qua­tion avec les risques et enjeux de la cybercriminalité.

Enfin, en cas d’incident, nous devons avoir une réac­ti­vi­té per­met­tant de limi­ter les impacts finan­ciers et opé­ra­tion­nels pour Gfi et pour nos clients.

Quel est votre principal objectif ?

L’objectif est de trans­for­mer en per­ma­nence nos pro­ces­sus d’entreprises pour qu’ils prennent en compte les enjeux labiles de la cyber­sé­cu­ri­té et pour que l’ensemble de notre orga­ni­sa­tion adopte les bons réflexes.

C’est une sorte de thé­ra­pie génique adap­ta­tive, sans fin, de l’ADN de l’entreprise. C’est un tra­vail col­lec­tif qui implique toutes les direc­tions de notre groupe : la RH, les ventes, la direc­tion indus­trielle, la DAF, le juridique…

Quels sont les risques principaux que vous devez traiter ?

Les risques prin­ci­paux que nous devons maî­tri­ser sont ceux qui touchent le busi­ness de nos clients. Si le site d’une pla­te­forme e‑commerce que nous gérons se fait « hacker » le 20 décembre, à 17 h, les consé­quences pour lui et nous seraient majeures !

Le numé­rique ayant conquis pro­gres­si­ve­ment des pans entiers de la vie éco­no­mique, les Entre­prise de Ser­vices du Numé­rique accom­pagnent la trans­for­ma­tion digi­tale des entre­prises sur l’ensemble de leurs appli­ca­tions et infra­struc­tures, depuis la concep­tion jusqu’à l’exploitation.

Ces risques sont prio­ri­taires par rap­port aux nôtres, qui existent bel et bien, mais qui, en terme d’ampleur, sont beau­coup plus faibles. La sécu­ri­té est un élé­ment fon­da­men­tal dans les sys­tèmes d’information que nous déve­lop­pons et gérons pour notre clientèle.

En par­ti­cu­lier vis-à-vis de la pré­ser­va­tion de leurs don­nées confi­den­tielles et personnelles.

Quelle est la principale difficulté que vous rencontrez dans la mise en place de la sécurité ?

La prin­ci­pale dif­fi­cul­té est d’arriver à pro­po­ser à nos clients une stra­té­gie leur per­met­tant de conci­lier la réduc­tion du coût de leurs sys­tèmes d’information et la prise en compte des enjeux crois­sants de la cybersécurité.

La sécu­ri­té pos­sède un coût. Ce qui n’est pas tou­jours bien anti­ci­pé par nos clients, dont les bud­gets, sont déjà contraints par les exi­gences ren­for­cées de l’ANSSI les concer­nant ; sur­tout les OIV (Opé­ra­teurs d’Importance Vitale).

Comment arrivez-vous à surpasser cette problématique ?

Grâce à une stra­té­gie indus­trielle de la sécu­ri­té. Nous avons défi­ni des typo­lo­gies de site en fonc­tion de leurs capa­ci­tés à déli­vrer un niveau d’engagement sécurité.

La majo­ri­té de nos sites vont avoir un niveau sécu­ri­taire stan­dar­di­sé et cer­tains sites seront à très fort niveau d’engagement sécu­ri­té. Dans ces locaux, la sécu­ri­té phy­sique et logique est ren­for­cée, les col­la­bo­ra­teurs ont une for­ma­tion ren­for­cée et les pra­tiques de sécu­ri­té dans les pro­jets sont accentuées.

Nous opti­mi­sons ain­si le coût de sécu­ri­sa­tion de notre capa­ci­té indus­trielle tout en étant capables de déli­vrer des pres­ta­tions à plus haut niveau d’engagement.

Comment allez-vous conforter votre haut niveau d’engagement ?

Cette stra­té­gie s’appuie sur la norme ISO 27001 : 2013 que nous sommes en train de déployer dans l’entreprise. Au 1er tri­mestre 2016, une pre­mière vague de centres de ser­vice sera cer­ti­fiée. Fin 2016, tous nos centres de ser­vice en France et à l’international ren­tre­ront dans le péri­mètre de la certification.

Ils per­met­tront de garan­tir à nos clients un niveau de sécu­ri­té conforme à leurs attentes et en amé­lio­ra­tion conti­nue, sur toutes les acti­vi­tés de notre groupe.

Comment sensibilisez-vous les 12 000 employés de votre groupe à la sécurité ?

Tous nos col­la­bo­ra­teurs, du pré­sident au tech­ni­cien, doivent être au cou­rant de la poli­tique de sécu­ri­té du groupe et l’appliquer dans leurs tâches quotidiennes.

Nous les sen­si­bi­li­sons par dif­fé­rents canaux (uni­ver­si­té interne, eLear­ning, com­mu­ni­ca­tion mana­gé­riale, ses­sions spé­ci­fiques de sen­si­bi­li­sa­tion, mail…) en fonc­tion de la géo­gra­phie et de leurs acti­vi­tés. C’est un pro­ces­sus conti­nu, qui prend en compte l’évolution des menaces et de l’effectif du groupe.

Connaissez-vous aujourd’hui des cyberattaques ?

Le groupe Gfi, comme toutes entre­prises, subit et subi­ra des cybe­rat­taques. Nous essuyons toute sorte d’attaques : ten­ta­tive de phi­shing, arnaques aux pré­si­dents, infec­tions virales, infec­tions de sites web, déni de ser­vice… Nous avons affaire à toutes les typo­lo­gies d’attaque et nous devons nous y préparer.

Nous avons aus­si la spé­ci­fi­ci­té, comme d’autres ESN, de gérer en out­sour­cing des sys­tèmes d’informations de nos clients. Nous subis­sons donc aus­si par rebond les cybe­rat­taques qu’ils subissent.

Quand des sites d’organismes publics ont été atta­qués après l’attentat de Char­lie Heb­do, cer­tains étaient héber­gés dans nos Data­cen­ter et nous avons eu à gérer la crise ensemble avec les clients.

Êtes-vous en mesure d’analyser les attaques et de prévoir les défenses ?

La détec­tion des cybe­rat­taques est une com­po­sante impor­tante de notre sys­tème de mana­ge­ment de la sécu­ri­té de l’information. Des cyber­cri­mi­nels menacent régu­liè­re­ment notre sys­tème d’information et nous devons en pre­mier nous en pro­té­ger, mais sur­tout détec­ter rapi­de­ment si une attaque a réus­si afin de réduire au maxi­mum l’impact.

C’est pour cela que nous sommes édi­teurs d’une solu­tion de type SIEM, nous per­met­tant d’assurer une sur­veillance conti­nue 247 de notre sys­tème d’information et de détec­ter les signes pré­cur­seurs d’une attaque dans des mil­lions de log quotidiens.

Quelles solutions de sécurité proposez-vous à vos clients ?

Gfi est édi­trice de solu­tions de sécu­ri­té fran­çaise autour du contrôle d’accès phy­sique, de la ges­tion des accès à pri­vi­lège, de la bio­mé­trie et de la cor­ré­la­tion d’événement de sécu­ri­té (SIEM).

Afin de pro­po­ser des pres­ta­tions qui répondent aux enjeux futurs de la cyber­cri­mi­na­li­té, ces solu­tions béné­fi­cient du pro­gramme stra­té­gique d’innovation du groupe.

Nous inves­tis­sons en R&D pour que nos pro­duits soient en rup­ture tech­no­lo­gique par rap­port au mar­ché. Aujourd’hui se construisent les réponses de demain.

Poster un commentaire