Codes courtage

Le webzine de PLANETE CSCA

Accueil > Webzine > Les métiers du courtage > IARDT / Grands risques > La gouvernance pour répondre aux enjeux de la cyber sécurité

17 décembre 2021

La gouvernance pour répondre aux enjeux de la cyber sécurité

Entretien avec Guillaume Vitse, Directeur général de CNPP Cybersecurity, la filiale du groupe CNPP dédiée à la sécurité des systèmes d’information.

Partenaire de PLANETE CSCA à l’occasion du Déjeuner des souscripteurs du Collège Île-de- France & Centre en septembre dernier, Guillaume Vitse partage ses convictions en matière de cyber risques et de prévention.

Quel est le rôle du groupe CNPP ?

CNPP est un acteur international de réfé- rence, qui s’est développé depuis 60 ans autour de 4 piliers :

  • Sécurité incendie et explosion
  • Sureté et malveillance
  • Risques professionnels
  • Atteintes à l’environnement

Depuis plus de 10 ans, le groupe met au cœur de ses préoccupations la cyber sécurité. En effet, au sein de nos laboratoires, la sécurité physique est une préoccupation importante. Nos équipes testent depuis longtemps la robustesse des centrales d’alarmes, des systèmes de vidéosurveillance. Ainsi la certification NF A2P propose aujourd’hui l’extension « @ », pour indiquer que nous avons également évalué et validé la robustesse des systèmes examinés au regard de leur vulnérabilité logique.

Progressivement, le groupe CNPP a intégré la notion de sécurité logique en intégrant une filiale CNPP Cybersecurity dédiée en matière de sécurité des systèmes d’information, qui vient renforcer l’offre de CNPP en conseil et formation pour ce domaine de risques.

Depuis quelle date CNPP a-t- il développé une expertise en Cyber sécurité ?

Depuis maintenant plus de 3 ans, CNPP ac- compagne les entreprises et les collectivités au travers de ses activités de conseil et de formation, mais également en matière d’évaluation et de certification.

Toutes les entreprises sont confrontées à un risque Cyber, les réponses à apporter sont- elles toujours les mêmes ?

Mon premier réflexe serait de dire aux courtiers que les mêmes principes s’appliquent à leur propre entreprise et à leurs clients. Mais en fonction de l’activité de la structure, de sa taille et de la nature des informations traitées, les mesures à mettre en place devront être adaptées.

En matière de cyber sécurité, deux types d’actions se conjuguent. Assez instinctive- ment, les dirigeants envisagent les me- sures d’ordre technique : mettre en place un antivirus, un firewall, un serveur de sauvegarde. Mais elles ne seront efficaces qu’associées à des mesures organisationnelles, de gouvernance de la sécurité de l’information. En effet, une réflexion sur les responsabilités en la matière est indispensable pour prendre du recul et mieux gérer ces problématiques dans l’entreprise.

Si je fais un parallèle avec la mise en œuvre du RGPD, et la désignation d’un DPO, cette réglementation a eu le mérite de mettre un coup de projecteur sur la gestion des données personnelles dans chaque organisation et la nécessité d’attribuer des rôles et des responsabilités en matière de sécurité de l’information.

Concernant la sécurité des données de l’entreprise qui englobe donc les données personnelles, mais aussi des informations aussi sensibles que ses données financières, nommer un responsable parait indispensable. Un poste de RSSI, comme le DPO, devrait être envisagé dans toute structure. Il aura la charge de définir le périmètre du système d’information à protéger, une étape importante pour mettre en place une approche par les risques : avant de faire évoluer un serveur de sauvegarde, il faut d’abord regarder où sont les données, quels sont les risques potentiels associés à chaque catégorie de données, quelles sont les mesures déjà prises, et celles qu’il faudrait envisager. Cette démarche permet de prioriser les actions et de les articuler les unes par rapport aux autres, pour une meilleure efficacité.

La prise en compte de cette approche par les risques n’aura-t-elle pas un impact sur la gouvernance de l’entreprise ?

Ce serait souhaitable ! La sécurité de l’information ne doit pas être abordée comme un sujet technique mais comme un enjeu de survie de l’organisation. Dans les entreprises, même les plus petites d’entre elles, le service informatique ou le presta- taire dédié à ces sujets est contraint par des objectifs forts en matière de production. Le RSSI va venir les challenger, grâce à sa maîtrise tech- nique, nécessaire pour comprendre les sujets, et sa dimension management de l’information. Il aura un rôle d’éclairage et de conseil, auprès de la direction générale, sans conflit d’intérêt avec la mise en œuvre opé- rationnelle des projets. La direction générale doit pouvoir prendre des décisions en toute connaissance de cause.

Le courtier est un interlocuteur tout désigné pour prôner cette approche par les risques en matière de sécurité informatique auprès de ses clients, comme il le fait déjà pour les autres risques pour lesquels il les accompagne.

Quels sont les services que peut apporter CNPP Cybersecurity pour mettre en œuvre concrètement ces conseils ?

CNPP Cybersecurity apporte des réponses transverses en termes de sécurité, de prévention et de maîtrise des risques, grâce à des équipes pluridisciplinaires qui écoutent, identifient les besoins des organisations pour définir des solutions sur mesure. Nous travaillons partout en France, ainsi qu’en Afrique, et sommes en mesure d’intervenir à distance, pour tester des vulnérabilités ou pour dispenser des formations en visio comme en e-learning.

À différents niveaux et en fonction des besoins de chaque entreprise, nous pouvons proposer un RSSI à temps partagé, un jour par semaine, un jour par mois, pour piloter la sécurité de l’information.

Pour des entreprises plus importantes, nous pouvons accompagner un collaborateur en interne pour le faire évoluer vers des fonctions de RSSI, ou le former au risk management ISO 27005. Renforcer ces aspects en interne permet à la structure de se doter d’une cartographie, de détecter les impacts et de proposer des mesures pour réduire les risques jusqu’à ce qu’ils deviennent acceptables, ou partagés avec un assureur.

CNPP Cybersecurity propose aussi un accompagnement pour obtenir une certification ISO/CEI 27001, l’équivalent de l’ISO 9001 en matière de cyber sécurité. Gravir cette marche offre l’avantage pour

l’entreprise de piloter la sécurité de l’information dans un souci d’amélioration continue. La certification revêt aussi un caractère d’atout concurrentiel en cas d’appel d’offres par exemple.

 

Propos recueillis par Céline Meslier