Thierry Auger, président de la prochaine édition des Assises de la Cybersécurité, répond aux questions de Solutions-Numériques. A la fois DSI Corporate du Groupe Lagardère et directeur de la cybersécurité pour l’ensemble de la sécurité du groupe, il évoque les priorités des entreprises en matière de sécurité ainsi que ses grands chantiers pour les mois à venir.
Solutions-Numériques : Thierry Auger, vous allez présider les Assises de la Cybersécurité 2022. Quel sera votre mot d’ordre pour cette édition marquée par l’ère post-Covid, mais aussi la guerre en Ukraine ?
Thierry Auger : L’édition 2022 des Assises de la Cybersécurité sera placée sous le signe de l’accélération. Les entreprises doivent améliorer leur résilience et le niveau de protection, mais aussi accompagner l’accélération de l’action des équipes de sécurité qui ont beaucoup de projets à traiter en parallèle. Le socle sanitaire doit encore être consolidé face aux nouvelles menaces et la liste des projets à traiter par les RSSI reste longue, ce qui implique de prioriser ces chantiers. Pour que cette accélération se traduise dans les faits, il faut se fixer des priorités : il est impossible de tout traiter en même temps, et il faut absolument replacer la donnée et la résilience au cœur de la problématique.
Vous êtes DSI Corporate et directeur cybersécurité du groupe Lagardère. Pouvez-vous nous résumer ce que représente la cybersécurité dans un groupe aussi internationalisé et diversifié ?
T. A. : Le groupe Lagardère a une organisation distribuée, avec globalement plus de 40 grands systèmes d’information indépendants. Il s’agit de SI locaux car l’activité de chacune de nos filiales est très diversifiée : chacune a besoin d’équipes locales adaptées à son activité : pour un média, la disponibilité H24 de la diffusion est essentielle, pour la production de concerts et de spectacles, c’est la disponibilité du système de billetterie, etc.
Pour environ 130 millions d’euros de budget SI annuel, dont un peu moins de 5 % dédiés à la cybersécurité. C’est un chiffre relativement approximatif car s’il est simple à consolider pour le volet technologique, on sait ce que l’on achète, pour le volet RH c’est plus flou, avec des prestations qui incluent des volets cyber. Une augmentation de la part cybersécurité est actée pour 2022/2023.
La cellule Corporate compte une vingtaine de personnes avec ses prestataires et cela varie au sein de nos DSI locales, pour un groupe de 300 structures qui compte un total de 31 000 personnes.
Quelle est votre rôle dans une organisation aussi décentralisée ?
T. A. : Ma mission est de structurer la gouvernance de la sécurité au niveau du groupe, générer les analyses de risques et assurer la cohérence de l’action des DSI du groupe. Cette synergie entre DSI et RSSI est vitale pour un grand groupe et je dirais même que cette action doit encore être élargie dans les entreprises : compliance, direction des risques, audit, RSE, direction financière pour le volet assurantiel doivent de plus en plus être associés à la sécurité de l’entreprise. Créer cette osmose est le réel secret de l’efficacité. Lorsque ces profils ne partagent pas entre eux, il devient très compliqué d’afficher de la cohérence.
Vous assumez à la fois la fonction de DSI et de directeur cybersécurité au niveau groupe. Ce cumul est-il un atout ?
T. A. : Ce cumul de fonctions pose bien évidemment le problème d’être à la fois juge et partie, mais c’est un problème que nous pallions par une augmentation des audits de sécurité. C’est un moyen de ne pas fonctionner dans un écosystème fermé et de garder du recul sur notre posture de sécurité. Avoir ces deux casquettes apporte beaucoup d’efficacité au quotidien, cela permet d’avoir totalement la main sur le système d’information et sa sécurité et pouvoir très rapidement déployer une solution si un besoin urgent survient. Etre DSI et RSSI, c’est bien évidemment plus de soucis et de difficultés à résoudre au quotidien, mais cela permet aussi d’être très proche du terrain puisque vous opérez vous-même ces moyens de détection et de protection.
Endosser cette double casquette permet d’avoir totalement la main sur le système d’information et sa sécurité, et pouvoir très rapidement déployer une solution si un besoin urgent survient.
Il y a un domaine où les RSSI doivent souvent améliorer les pratiques de leur entreprise, c’est dans celui de la surveillance, ce que l’on appelle la Threat Intelligence. Accélérer, cela veut aussi dire accroître les moyens de surveillance car améliorer les capacités de détection est un moyen de pallier les protections qui manquent encore à un système d’information. L’objectif est de détecter le plus en amont possible une attaque potentielle pour prendre les mesures de protection nécessaire avant que celle-ci ne survienne.
Vous évoquez la nécessité d’accélération des entreprises dans la cyber. Comment y parvenir lorsqu’on est un RSSI dont les moyens sont, par nature, limités ?
T. A. : Les RSSI n’ont pas les moyens aujourd’hui de mener tous les projets en parallèle, c’est vrai. C’est la raison pour laquelle il est impératif de hausser le niveau de surveillance sur la surface visible du système d’information, que sur le Dark Web, le Deep Web, le Shadow IT, les objets connectés, la vie des DNS. Il est, par exemple, difficile de détecter des ressources déployées par des utilisateurs eux-mêmes si le nom de domaine n’a pas de lien direct avec l’entreprise. Une solution comme CybelAngel peut retrouver ce type de ressources à partir de mots-clés en effectuant une analyse des contenus et remonter une alerte auprès de l’équipe cyber.
Un autre point important porte sur la transformation de l’analyse de risques. Il est vital de passer d’un modèle statique issu du passé à une analyse beaucoup plus dynamique. L’analyse de risques a longtemps reposé sur des questionnaires envoyés aux filiales, questionnaires qui étaient ensuite longuement analysés, puis faisaient l’objet de recommandations. Il faut sortir d’un tel modèle et se tourner là encore vers des solutions technologiques beaucoup plus adaptées à une approche dynamique. La solution d’analyse de risques de Citalid nous apporte une approche qui, en complément du contrôle au sens de la norme, va enrichir son analyse de la maturité défensive en s’appuyant sur les scorecards de sécurité mis à disposition par les constructeurs et les éditeurs afin de les injecter dans les algorithmes d’analyse de risques. Le Security Scorecard de Microsoft 365 par exemple est très pertinent car il tient directement compte des choix de paramétrage réalisés par l’entreprise.
Citalid injecte notamment le contexte géopolitique de chaque pays, si bien que quand le CERT Orange nous a signalé une campagne de destruction de données menée en parallèle à la guerre russo-ukrainienne, l’analyse de risques tient directement compte de cet élément. Ce sont des informations extrêmement précieuses et qui nous font gagner énormément de temps de réaction. Il faut enfin faire un lien entre la gestion du risque et le monde de l’assurance et instaurer une dynamique entre les actions qui vont être réalisées et le réajustement annuel de la couverture et des franchises et primes afférentes.
Quels seront vos grands chantiers pour les mois à venir ?
T. A. : Sur la thématique de la gestion de risques, nous travaillons avec Citalid afin d’adapter le plus possible leur offre aux attentes de nos DSI et RSSI. Sur le volet protection, notre volonté est de changer d’approche, et passer d’une protection de nos données au niveau stockage et transport à une protection liée aux usages. Nous devons nous assurer que les utilisateurs peuvent exploiter des ressources dans le Cloud public là où ils le souhaitent tout en nous assurant de la protection de ces données. Nous allons animer sur les Assises un atelier avec Microsoft, Google, Amazon Web Services et OVH consacré au Confidential Computing. Ce besoin de protection de bout en bout est un sujet qui intéresse, aujourd’hui, particulièrement les responsables de la sécurité.
On parle beaucoup du besoin d’offres souveraines, quelle est votre position sur cette question ?
T. A. : La souveraineté est importante à partir du moment où j’ai un devoir de conformité à assurer dans tel ou tel pays ou bien une réglementation propre au domaine du métier et il nous faut dans ce cas des réponses. Cela dit, le groupe Lagardère est fortement internationalisé et nous devons prendre en compte les contraintes fixées par chaque pays. Disposer d’offres souveraines nous permet d’assurer la souveraineté des données sur certains pays ou certaines plaques, mais c’est, d’une certaine façon, une remise en cause du travail de centralisation des services menée au niveau mondial ces dernières années afin d’optimiser les coûts et la charge pour les équipes. Et un vrai challenge pour demain !
Propos recueillis par Alain Clapaud et Jean Kaminsky