Directrice Groupe Cybersécurité et Gouvernance IT d’Unibail-Rodamco-Westfield et Administratrice du CESIN, Sabrine Guiheneuf est la présidente d’honneur des Assises de la Cybersécurité 2023. Elle propose pour cette édition de prendre de la hauteur pour concilier au mieux les exigences Cyber et celle des métiers.
Vous êtes à la fois Directrice Groupe Cybersécurité et Gouvernance IT chez Unibail-Rodamco-Westfield. Pouvez-vous préciser vos responsabilités ?
Sabrine Guiheneuf : J’ai effectivement deux casquettes. Je suis en charge de la cybersécurité du groupe et en charge des sujets de gouvernance IT. Il s’agit de piloter certains process transverses au sein de la DSI, comme ceux des achats IT ou le portefeuille projet de la DSI. Cela me permet, par exemple, de m’assurer que la Cyber est bien présente dans tous les projets IT qui sont lancés par l’entreprise, et en même temps, de penser la cyber un peu différemment. Je pilote aussi le programme Numérique Responsable par conviction personnelle et par une opportunité qui s’est présentée en interne.
Le thème des Assises sera « Prenons de la hauteur » vis-à-vis de la Cybersécurité. C’est un peu votre position chez URW, c’est la raison pour laquelle vous avez proposé ce thème pour l’édition 2023 ?
Cette thématique s’inscrit dans la continuité éditoriale des Assises. Après « Back to Fundamentals », puis « On accélère », l’idée est aujourd’hui de prendre de la hauteur par rapport à notre quotidien, mais aussi d’en profiter pour aussi faire un pas de côté vis-à-vis de la Cybersécurité.
Lors des Assises, nous parlons beaucoup de solutions d’éditeurs mais il n’y a pas que ça dans le métier de la Cyber. L’idée de la ligne éditoriale est de permettre aux participants de prendre du recul au travers des contenus qui seront proposés lors de l’événement.
Quels seront les temps forts du programme 2023 des Assises ?
Je pousse en faveur de regards croisés sur la Cyber. Nous aurons la chance d’avoir une ancienne dirigeante d’Airbus sur un de nos Meet-up. Cela va nous permettre de voir comment notre action est perçue par les instances dirigeantes d’une grande entreprise.
Une autre table ronde va porter sur les tabous liés aux mesures de sécurité imposées aux utilisateurs. L’idée est de bousculer un peu les mesures déjà en place depuis des années et qui ne sont plus aussi pertinentes. C’est notamment le cas des mots de passe. Pendant des années on a obligé les utilisateurs à les renouveler très régulièrement, aujourd’hui, l’ANSSI, le NIST et des acteurs du marché comme Microsoft estiment qu’il n’est plus nécessaire de les renouveler et on fait évoluer leurs bonnes pratiques. Il ne faut pas rester cantonné dans une posture de conformité, mais bien dans une posture de sécurité.
Vous avez ménagé une place particulière au numérique responsable dans l’agenda des Assises…
Une table ronde portera sur le numérique responsable, et notamment sur les ponts que l’on peut établir avec la Cyber sur ces sujets. Les décisions que nous sommes amenés à prendre en tant que RSSI peuvent générer une empreinte carbone et nous devons prendre en compte ces critères de choix et notre façon d’opérer la Cyber dans nos organisations. Cela doit notamment amener à reconsidérer notre position vis-à-vis du BYOD et notamment éviter de déployer des matériels qui ne seront utilisés par des prestataires que quelques semaines… L’approche « Zero Trust » garantit la sécurité des données et des infrastructures et doit nous amener à revoir nos pratiques.
Est-ce que le volet réglementaire et l’imminence de la mise en place de NIS 2 font partie des sujets de préoccupation des DSI et des RSSI ?
C’est une problématique qui sera abordée sur les Assises dans le cadre du Before puis lors d’un Meet-up. C’est à la fois un sujet de préoccupation, mais aussi une opportunité pour les RSSI qui ont du mal à se faire entendre par leur direction. NIS 2 apporte des leviers intéressants de prise de conscience des dirigeants. NIS 2 va faire évoluer la typologie d’entités soumise à cette réglementation, et être un sujet à l’agenda d’un nombre plus important d’organisations.