GFI : L’ISO 27001 au cœur de sa stratégie industrielle de sécurité
Quel regard portez-vous sur la cyber menace ?
Depuis une dizaine d’années, le vol de données est devenu un business lucratif et une arme concurrentielle. Devant la multiplication des agressions, et des pertes associées, les organisations sont poussées à se prémunir du risque a priori (d’ailleurs incitées par leurs assurances et par les sanctions légales en cas de négligence).
Cette problématique « sécurité » n’est plus un sujet seulement réservé aux techniciens et à leurs outils. Elle s’est généralisée à l’ensemble des usagers de l’informatique, avec des risques démultipliés par la profusion des terminaux mobiles, et demain des objets connectés.
Ce contexte amène aujourd’hui nos clients à devenir exigeants et à introduire des critères de choix de leurs fournisseurs dans les appels d’offres.
Au sein de votre ESN généraliste, quel est le travail d’un monsieur « Sécurité » ?
« Protéger GFI informatique ». C’est-à-dire garantir la sécurité de notre propre système d’information, mais aussi et surtout de tous les projets que nous réalisons pour nos clients.
Cela passe par fournir un cadre de référence et de cohérence permettant l’articulation entre la sécurité des SI, celle des personnes et des biens, la continuité d’activité, et la couverture des risques métiers.
C’est aussi s’assurer du respect des lois et règlementations touchant le domaine de la SSI, en particulier en étant l’interlocuteur spécialisé en matière de protection de données à caractère personnel.
Plus précisément, que faites-vous ?
Mes équipes et moi-même déployons les processus, méthodes et outils permettant aux business unit de répondre aux exigences sécuritaires de leurs clients, de les préserver contre les cyberattaques et de protéger les données et systèmes d’information qu’ils nous confient.
Pour cela, nous devons garantir à notre clientèle un haut niveau de sécurité dans les prestations que nous réalisons en intégrant cette composante dans nos processus industriels, et ce, depuis la phase d’avant vente jusqu’à la clôture du projet.
La mise en œuvre de cette stratégie s’appuie de façon essentielle sur nos collaborateurs. Nous devons leur donner un niveau de connaissance et de compétences en adéquation avec les risques et enjeux de la cybercriminalité.
Enfin, en cas d’incident, nous devons avoir une réactivité permettant de limiter les impacts financiers et opérationnels pour Gfi et pour nos clients.
Quel est votre principal objectif ?
L’objectif est de transformer en permanence nos processus d’entreprises pour qu’ils prennent en compte les enjeux labiles de la cybersécurité et pour que l’ensemble de notre organisation adopte les bons réflexes.
C’est une sorte de thérapie génique adaptative, sans fin, de l’ADN de l’entreprise. C’est un travail collectif qui implique toutes les directions de notre groupe : la RH, les ventes, la direction industrielle, la DAF, le juridique…
Quels sont les risques principaux que vous devez traiter ?
Les risques principaux que nous devons maîtriser sont ceux qui touchent le business de nos clients. Si le site d’une plateforme e‑commerce que nous gérons se fait « hacker » le 20 décembre, à 17 h, les conséquences pour lui et nous seraient majeures !
Le numérique ayant conquis progressivement des pans entiers de la vie économique, les Entreprise de Services du Numérique accompagnent la transformation digitale des entreprises sur l’ensemble de leurs applications et infrastructures, depuis la conception jusqu’à l’exploitation.
Ces risques sont prioritaires par rapport aux nôtres, qui existent bel et bien, mais qui, en terme d’ampleur, sont beaucoup plus faibles. La sécurité est un élément fondamental dans les systèmes d’information que nous développons et gérons pour notre clientèle.
En particulier vis-à-vis de la préservation de leurs données confidentielles et personnelles.
Quelle est la principale difficulté que vous rencontrez dans la mise en place de la sécurité ?
La principale difficulté est d’arriver à proposer à nos clients une stratégie leur permettant de concilier la réduction du coût de leurs systèmes d’information et la prise en compte des enjeux croissants de la cybersécurité.
La sécurité possède un coût. Ce qui n’est pas toujours bien anticipé par nos clients, dont les budgets, sont déjà contraints par les exigences renforcées de l’ANSSI les concernant ; surtout les OIV (Opérateurs d’Importance Vitale).
Comment arrivez-vous à surpasser cette problématique ?
Grâce à une stratégie industrielle de la sécurité. Nous avons défini des typologies de site en fonction de leurs capacités à délivrer un niveau d’engagement sécurité.
La majorité de nos sites vont avoir un niveau sécuritaire standardisé et certains sites seront à très fort niveau d’engagement sécurité. Dans ces locaux, la sécurité physique et logique est renforcée, les collaborateurs ont une formation renforcée et les pratiques de sécurité dans les projets sont accentuées.
Nous optimisons ainsi le coût de sécurisation de notre capacité industrielle tout en étant capables de délivrer des prestations à plus haut niveau d’engagement.
Comment allez-vous conforter votre haut niveau d’engagement ?
Cette stratégie s’appuie sur la norme ISO 27001 : 2013 que nous sommes en train de déployer dans l’entreprise. Au 1er trimestre 2016, une première vague de centres de service sera certifiée. Fin 2016, tous nos centres de service en France et à l’international rentreront dans le périmètre de la certification.
Ils permettront de garantir à nos clients un niveau de sécurité conforme à leurs attentes et en amélioration continue, sur toutes les activités de notre groupe.
Comment sensibilisez-vous les 12 000 employés de votre groupe à la sécurité ?
Tous nos collaborateurs, du président au technicien, doivent être au courant de la politique de sécurité du groupe et l’appliquer dans leurs tâches quotidiennes.
Nous les sensibilisons par différents canaux (université interne, eLearning, communication managériale, sessions spécifiques de sensibilisation, mail…) en fonction de la géographie et de leurs activités. C’est un processus continu, qui prend en compte l’évolution des menaces et de l’effectif du groupe.
Connaissez-vous aujourd’hui des cyberattaques ?
Le groupe Gfi, comme toutes entreprises, subit et subira des cyberattaques. Nous essuyons toute sorte d’attaques : tentative de phishing, arnaques aux présidents, infections virales, infections de sites web, déni de service… Nous avons affaire à toutes les typologies d’attaque et nous devons nous y préparer.
Nous avons aussi la spécificité, comme d’autres ESN, de gérer en outsourcing des systèmes d’informations de nos clients. Nous subissons donc aussi par rebond les cyberattaques qu’ils subissent.
Quand des sites d’organismes publics ont été attaqués après l’attentat de Charlie Hebdo, certains étaient hébergés dans nos Datacenter et nous avons eu à gérer la crise ensemble avec les clients.
Êtes-vous en mesure d’analyser les attaques et de prévoir les défenses ?
La détection des cyberattaques est une composante importante de notre système de management de la sécurité de l’information. Des cybercriminels menacent régulièrement notre système d’information et nous devons en premier nous en protéger, mais surtout détecter rapidement si une attaque a réussi afin de réduire au maximum l’impact.
C’est pour cela que nous sommes éditeurs d’une solution de type SIEM, nous permettant d’assurer une surveillance continue 24⁄7 de notre système d’information et de détecter les signes précurseurs d’une attaque dans des millions de log quotidiens.
Quelles solutions de sécurité proposez-vous à vos clients ?
Gfi est éditrice de solutions de sécurité française autour du contrôle d’accès physique, de la gestion des accès à privilège, de la biométrie et de la corrélation d’événement de sécurité (SIEM).
Afin de proposer des prestations qui répondent aux enjeux futurs de la cybercriminalité, ces solutions bénéficient du programme stratégique d’innovation du groupe.
Nous investissons en R&D pour que nos produits soient en rupture technologique par rapport au marché. Aujourd’hui se construisent les réponses de demain.