nouvelles

La sécurité, une question de gestion des risques

Interview de Ramy Houssaini, VP Europe BT Security

Interview avec Ramy Houssaini

Ramy Houssaini est en charge de la sécurité de BT en Europe depuis un peu moins d'un an. Avec lui, BT bénéficie non seulement d'un savoir-faire technique impressionnant en matière de cybersécurité, mais également d'une profonde expertise dans le domaine de la gestion des risques. L'une des principales vocations de Ramy tout au long de sa carrière a été d'aider les grandes entreprises telles que Motorola, Volkswagen, Kaiser Permanente et VISA à développer leurs programmes de gestion des risques d'entreprise. Cette expérience est aujourd'hui particulièrement utile dans le domaine de la sécurité informatique, dans la mesure où, comme nous l'explique Ramy dans cette interview, la sécurité est un facteur de risque qui doit être traité en tant que tel. La question aujourd'hui n'est pas de savoir SI mais QUAND une faille de sécurité se produira. Et c'est pourquoi les entreprises doivent se préparer de manière proactive au traitement de ces failles. C'est ce qui donne toute leur importance aux capacités de 'détection et réaction', ainsi que de gestion de la sécurité en tant qu'ensemble, pour les décisions liées au risque.

1. À quel degré de cybermenace les grandes entreprises sont-elles aujourd'hui confrontées et en ont-elles conscience?
Les entreprises découvrent aujourd'hui la réalité de cyberattaques beaucoup plus sophistiquées et plus ciblées que jamais. Par le passé, les pirates avaient principalement pour objectif d'obtenir une notoriété publique, alors qu'aujourd'hui, les intérêts et les acteurs ont fondamentalement changé. De vastes intérêts commerciaux, voire politiques, sont en jeu et saboter la réputation des entreprises est de plus en plus d'actualité. Conformément à ce qu'illustrent les cas les plus récents, les violations de sécurité ont un impact significatif sur les entreprises. Certains secteurs, tels que celui de la finance, sont peut-être plus matures en termes de gestion de la sécurité, mais le cas JPMorgan montre qu'aucune forteresse n'est inviolable si elle ne lutte pas constamment pour conserver un niveau de sécurité optimal. Tout le monde découvre en réalité que des failles apparaîtront et entraîneront des pertes. Aussi, le principal défi qu'il convient aujourd'hui de relever consiste à s'assurer que les violations sont détectées aussi tôt que possible et que les dommages en seront minimisés. La sécurité doit être gérée de la même manière qu'un contrat d'assurance gère le concept des pertes acceptables. Les sociétés doivent comprendre ce que sont leurs pertes acceptables et leur propension au risque pour ainsi développer une stratégie de défense adaptée.

2. Pensez-vous que les dernières affaires de piratage, telles que celle qui a récemment touché Sony, auraient pu être prévenues, ou assiste-t-on à l'avènement d'une nouvelle ère?
L'affaire Sony est troublante à plus d'un titre. Tout d'abord, nous avons assisté à une évolution très claire de la manière dont les gouvernements adoptent des positions de plus en plus offensives dans leur engagement contre la «cyberguerre». Ensuite, l'affaire Sony m'inquiète parce qu'il s'agit d'une cyberattaque dirigée contre la liberté d'expression. D'autres exemples illustrent aussi très clairement cette augmentation de la cybermenace. En outre, les nouvelles réglementations vont modifier en profondeur l'importance relative au fait de subir une attaque. Les nouvelles obligations à notifier une violation vont lourdement peser sur les activités, engendrant de ce fait plus d’investissement dans la sécurité et la gestion des risques. Suis-je surpris que nous en soyons arrivés là? Pas du tout, mais la vitesse à laquelle cela se produit est remarquable. Les entreprises doivent comprendre que c'est leur environnement même qui a changé. Elles doivent évaluer leur vulnérabilité de manière proactive. Elles ne peuvent pas éliminer les risques, mais elles peuvent les mitiger dans une mesure raisonnable. Il s'agit d'une décision principalement commerciale, et non d'une décision technique.

3. La menace envers la sécurité informatique met en lumière cette évolution alors que les sociétés essaient d'ouvrir leurs architectures informatiques. De quelle manière les DSI peuvent-ils manœuvrer entre ces deux forces opposées?
Nous parlons essentiellement d'une informatique à deux vitesses. Un premier environnement est bâti sur un ensemble d'hypothèses formulées sur les actifs, sur les lieux où ils résident et sur la manière dont l'architecture des infrastructures a été conçue. Le deuxième est la nouvelle informatique haut débit, facteur d'innovation au sein de l'entreprise. Celle-ci facilite l'ouverture de l'entreprise dont les données sont libres, et favorise les opportunités offertes par le Big Data et l'analytique. La difficulté consiste à naviguer tout en gérant ces deux univers. Les sociétés ne peuvent pas se permettre de refuser l'innovation et l'ouverture de leur entreprise au numérique, mais elles peuvent repenser leur architecture et leurs contrôles de sécurité, elles peuvent apprendre à reconnaître les joyaux qu'elles doivent protéger et développer des mesures de sécurité modulables à l'échelle des risques de leur environnement et des exigences réglementaires qu'elles doivent respecter. Elles peuvent enfin s'assurer qu'elles investissent dans les capacités de détection et de réaction dont elles ont besoin. Tel est le message que je souhaite délivrer. Les difficultés existent, mais elles peuvent être traitées en adoptant une approche pragmatique et en comprenant qu'une nouvelle ère a commencé, que les 'pertes acceptables' sont désormais un concept inéluctable, et en évoquant ces questions en conseil d'administration comme sur le plan opérationnel. Essayer de se convaincre qu'aucun incident n'aura lieu équivaut aujourd'hui à se voiler la face. Gérer une entreprise, aujourd'hui et demain, requiert la prise de risques calculés. Il ne s'agit pas de s'opposer totalement aux risques, mais de les contrôler. Les implications différeront d'une société à l'autre.

4. Selon votre expérience, les sociétés ont-elles commencé à faire des progrès et à considérer la sécurité du point de vue de la gestion des risques?
Oui, nous travaillons avec plusieurs multinationales de différents secteurs qui ont déjà adopté cet état d'esprit. Leur stratégie d'investissement démontre très clairement qu'elles ont choisi de privilégier leurs capacités de détection et de réaction plutôt que de prévention. Il ne s'agit pas de dire que la prévention n'a aucune importance, mais simplement que la prévention seule ne suffit pas.

Les organisations devraient avoir conscience d'un autre problème. Aujourd'hui, le budget informatique de nombre d'entreprises stagne ou diminue, alors que les dépenses en sécurité affichent une hausse à deux chiffres. Cette situation n'est pas durable. Il est important que nos clients réfléchissent aux risques et à leur propension au risque et, sur cette base, recalibrent leurs investissements et leurs dépenses en fonction. De nombreuses sociétés se contentent d'investir afin de contrer ce problème, en pensant qu'il leur suffit de continuer d'acheter de nouveaux outils et technologies pour contrecarrer les menaces. Alors qu'en réalité, le retour sur ces investissements n'est pas toujours celui que l'on aurait imaginé. Les outils de sécurité tendent par ailleurs à submerger les sociétés d'informations sur de potentiels problèmes de sécurité, ce qui crée un nouveau problème: comment distinguer un véritable signal dans tout ce bruit?

Il convient de considérer les problèmes sous an angle différent: quelle réduction des risques est associée à cet investissement? Et de quelle manière pouvons-nous renforcer notre position vis-à-vis des risques tout en intégrant les outils et processus de sécurité à notre environnement ? Il s'agit du concept que nous appelons 'intelligence connectée', dont l'objectif est de créer un flux de tous les signaux délivrés par les outils et d'interpréter ces signaux disparates. Les architectures de Big Data favorisent ce type d'approche qui, plutôt que de se contenter de surveiller les signaux de sécurité, amène à les comprendre et à savoir comment réagir. Là est tout le changement fondamental, qui nécessite la mise en place des stratégies et des architectures appropriées. Se contenter d'investir dans la technologie ne peut suffire.

En fin de compte, personne n'y coupera. Les sociétés qui ne s'y seront pas préparées devront inévitablement gérer l'atteinte portée à leur réputation et les dommages opérationnels qui en découleront. D'un autre côté, les organisations qui s'y seront préparées afficheront une plus grande résilience et une meilleure capacité à se transformer et à s'adapter aux risques.

Contact :

BT
Agathe Esclatine
Community Manager, BT France
Tel: +33 (0)1 78 41 20 00
agathe.esclatine@bt.com