Rencontre avec Jean-Yves Mathieu pour évoquer ses nouvelles fonctions chez Aubay Luxembourg, mais également sur l'évolution des pratiques de cybersecurité ou encore les dernières tendances du secteur.

Depuis janvier vous occupez la fonction de Head of Information Security Departement au sein de la société Aubay. Quelles sont désormais vos missions et tâches principales ?

J’ai décidé de rejoindre Aubay Luxembourg pour relever un défi qui me tenait à cœur, monter une équipe de professionnels ‘’RSSI à la carte’’ de la sécurité de l’information afin de délivrer un service de qualité à nos clients.

Notre service nous permet de répondre à différents besoins comme par exemple, l’écriture et la mise en œuvre de vos politiques de sécurités, le besoin d’une étude de risques, la réalisation de séances de sensibilisation à la sécurité pour tous vos employés, une analyse comparative entre les régulations locales (CSSF) et européennes(GDPR), la revue de votre architecture au niveau sécurité, l’aide pour la mise en place d’une gouvernance et dans la gestion des accès.

Pour assurer la qualité de tous ces services mis à votre disposition, ma mission est de créer une équipe de professionnels expérimentés afin d’offrir à nos clients et futurs clients les conseils dont ils ont besoin pour élever l’efficacité de leur stratégie de leur sécurité actuelle.

Nos RSSI sont en soutien des conseils d'administration, des dirigeants ainsi que les directeurs de la technologie qui ont besoin d'une ressource stratégique expérimentée pour des projets précis. Nos RSSI possèdent de solides compétences en affaires pour appuyer la planification stratégique ainsi que les connaissances techniques requises pour travailler directement avec le leadership IT sur les stratégies de mise en œuvre.

 

Toute votre carrière ou presque a été dédiée à protéger les systèmes d'informations des entreprises, comment avez-vous vu évoluer cette pratique ?

Nous sommes tous familiers avec l’expression, "’La question n’est pas de savoir SI vos données ou votre système seront compromis, mais QUAND le seront-ils ?"

Intelligence économique, veille stratégique, conformité réglementaire... Le RSSI ne se doutait pas, il y a dix ans, quand la fonction a été créée, qu'il serait un jour gestionnaire des risques organisationnels, réglementaires, stratégiques et opérationnels.

Le métier de RSSI se modifie depuis quelques années déjà et ce, en raison de l’apparition de nouveaux comportements, notamment de nouvelles utilisations de l’informatique et de nouveaux règlements.

La technologie cohabite de plus en plus avec l'organisationnel. Et l'organisationnel aime les procédures. Il est important de redéfinir la fonction de RSSI, car il faut le dire, celle-ci devient plus transversale et plus organisationnelle que technique.

Son rôle est de conseiller, alerter et informer la direction générale. Mais aujourd’hui, un RSSI doit aussi recommander, et c'est là que se posent de nouveaux problèmes, liés à l'indépendance de sa fonction. Va-t-il, par exemple, en matière de protection de la vie privée des utilisateurs, préconiser des règles en faveur de ces derniers ou en faveur de la direction générale ? Afin de garantir son indépendance, la profession doit se doter d'une charte de bonnes pratiques courantes.

Cette charte, également guide déontologique, définira le rôle attribué aux fonctions essentielles du RSSI : conseiller, assister, informer, former, alerter et préconiser.

Pour moi, il est extrêmement important que l'entreprise reconnaisse que le RSSI est un membre important de l'équipe de gestion des risques de l'entreprise.

Désormais, le RSSI doit aussi savoir communiquer, la sécurité étant devenue un enjeu business et c’est pour cela que la sécurité doit être à l’écoute et se ‘’charpenter’’ autour du Business.

 

Quelles sont les principales tendances du secteur à surveiller ?

• L’authentification à deux facteurs,

• Cloud hybride : la voie de la raison,

• Des communications unifiées résolument tournées vers la mobilité.

• L’intégrité, la confidentialité et la disponibilité de l’information.

 

Quelles sont les principales innovations qui vont augmenter considérablement le risque de cyberattaques ?

Indéniablement les accessoires connectés (IoT). Si les accessoires connectés sont une solution idéale pour inciter les individus à interagir davantage avec le monde qui les entoure, ils représentent également un risque de sécurité de plus en plus important. Selon le cabinet ABI Research, nous utiliserons, d’ici 2019, environ780 millions de dispositifs de ce type. Ces IoT, en particulier dans les endroits densément habités, seront une cible de choix pour les attaques visant les données personnelles qu’ils collectent. Ils constituent en effet des points d’entrée relativement peu sécurisés. Peu de fabricants s’intéressent à la création de fonctionnalités de sécurité visant à protéger la vie privée des utilisateurs.

Il existe cependant des moyens assez simples pour se protéger en commençant par changer le mot de passe par défaut, ou encore en n’oubliant pas de mettre à jour le logiciel (Firmware) sur tous vos appareils connectés. C'est le seul moyen de s'assurer que le vendeur fournit des corrections de bogues et des vulnérabilités.

 

Comment sensibiliser toutes les parties prenantes de l'entreprise ?

Les entreprises doivent élaborer et mettre en œuvre des programmes de sensibilisation à la sécurité afin de fournir des informations sur les bonnes pratiques de sécurité de l’information, les types de menaces communes, les politiques et procédures de l'entreprise concernant l'utilisation appropriée des applications, des systèmes et des réseaux.

Le personnel possédant des droits d'accès privilégiés doit notamment être conscient du bon comportement en matière de sécurité de l’information et tout le personnel doit être conscient de l'importance de la sécurité pour les activités et objectifs essentiels.

Ces sensibilisations doivent s’adapter au public présent, il va de soi que l’on ne parlera pas technique devant des responsables non IT ou des membres du conseil d’administration comme on ne parlera pas de risque financier ou de l’impact au niveau image de marque de la société devant un auditoire IT.

L’un des services que nous offrons est dédié à des séances de sensibilisation constamment mises à jour et dédiées aux différents publiques comme les membres de l’équipe IT, les membres de la direction, etc…