#1 Interview RSSI
Face aux menaces quotidiennes, il est impossible d'envisager de monter un business sans mettre en place une sécurité dans son entreprise.
Par souci de confidentialité, nous avons anonymisé ce témoignage.
Stéphane est RSSI depuis 13 ans. Il occupe aujourd'hui ce poste dans une ESN (Entreprise de Services Numériques) d’environ 2400 salariés.
Comment gérez-vous les compromis entre sécurité et utilisabilité ?
Stéphane : À trop vouloir fermer les portes à certaines pratiques, le risque est de voir les employés contourner le système et sortir de notre surveillance. C'est pourquoi il vaut mieux parfois privilégier le contrôle que l'interdiction.
Comment gérez vous la constante évolution des menaces ?
Stéphane : On répond aux menaces par différents biais. D'abord grâce à une cellule CERT (Computer Emergency Response Team) afin de suivre l’activité cyber de l’entreprise. Puis, pour étendre le champ de contrôle et de réactivité, la mise en place d’un SIEM (Security Information and Management) et d’une équipe SOC (Security Operations Center). Enfin, à travers différentes méthodes, nous sensibilisons régulièrement nos employés sur les risques.
Comment sont gérés les situations de crise ?
Stéphane : Les situations de crise sont gérées en suivant un processus en constante évolution. Les retours d'expérience à chaque fois que nous y sommes confrontés nous permettent de nous améliorer et de mieux les gérer. Les crises peuvent venir de partout car les risques sont accrus notamment avec la législation qui change, par exemple avec le RGPD.
Comment assurez-vous que les bonnes pratique soient respectées par les collaborateurs ?
Stéphane : Nous sensibilisons à chaque début de projet, pour éviter les mauvaises surprises et pour démarrer avec de bonnes pratiques. Un travail conjoint avec le DPO est apprécié pour mettre en place cette sensibilisation et permettre l’installation d’alertes lors d’infraction.
Avez-vous apporté des outils pour rendre la politique de sécurité interne compréhensible ?
Stéphane : Pour rendre la politique de sécurité compréhensible de tous, nous misons sur la pédagogie et non sur des outils.
Avez-vous un contrôle des données ? Une traçabilité ?
Stéphane : Nous avons différentes manières de contrôler et de tracer nos données. Nous l'appliquons en priorité aux parties du SI qui contiennent les données les plus sensibles de l'entreprise, donc les plus précieuses.
Quels sont vos projets sécurité pour les années avenirs ?
Stéphane : Nous allons mettre en place un Bastion ainsi qu'un renforcement des alertes SIEM dans les futurs projets. Aussi, un gros chantier nous attend sur les données professionnelles/données personnelles.
Pour finir, avez-vous un conseil à donner que vous appliquez au quotidien dans votre métier ?
Stéphane : Si je devais donner un conseil que j’applique au quotidien dans mon métier, c'est de savoir écouter, être persuasif et être un bon pédagogue.