TRANSFORMATION & ORGANISATION
« Faire de la cybersécurité un levier d’amélioration du métier »
Au regard de l’évolution des enjeux liés à la cybersécurité, Trans-For-Nation inaugure une nouvelle rubrique, donnant la parole à des CISO pour évoquer les défis liés à la menace et à l’évolution de la fonction au cœur des organisations. C’est Franck Bedell, CISO of The Year, responsable de la cybersécurité au sein de Baloise, qui a accepté de répondre à nos questions.
June 18, 2024
À l’automne dernier, vous avez été consacré CISO of The Year 2023/2024. Qu’est-ce que cette distinction représente pour vous ?
C’est avant tout une reconnaissance par mes pairs du travail que nous avons accompli avec l’équipe au fil des dernières années. Ce titre, surtout, a permis de mettre en lumière la vision que je porte vis-à-vis des enjeux de cybersécurité, aussi bien en interne que vers l’extérieur, à l’échelle du marché luxembourgeois. C’est une occasion de montrer que les idées que l’on a ne sont pas farfelues, mais qu’elles répondent à des enjeux critiques, et contribuent à soutenir le développement de l’activité de Baloise dans le temps. Ce titre a renforcé notre légitimité tout en reconnaissant l’importance que la compagnie accorde à ces enjeux de cybersécurité et de protection de l’information. Il a contribué à soutenir la dynamique en place, nous permettant de concrétiser plus efficacement notre stratégie.
Car la cybersécurité est, en effet, devenue un enjeu stratégique…
Au regard des budgets que l’on doit mobiliser, de la transformation à opérer, la cybersécurité dépasse désormais le simple cadre de l’IT. C’est un enjeu clé, auquel on ne répond plus en se contentant de déployer des antivirus ou des firewalls au niveau de l’infrastructure.
Il faut en effet mettre en place des programmes complets et transversaux, au départ d’une analyse approfondie des enjeux métiers, de l’ensemble des données produites, traitées et stockées au niveau de l’activité. La cybersécurité entre aujourd’hui dans une tout autre dimension. Il est nécessaire que le top management puisse mieux prendre conscience de ces faits, afin d’accepter d’y consacrer les moyens et d’apporter le support nécessaire en matière de gestion du changement.
Aujourd’hui, diriez-vous que les dirigeants des entreprises ont pris la mesure des risques associés aux cybermenaces ?
Je pense que la plupart des dirigeants ont conscience des enjeux. Dans de nombreuses entreprises une attaque de type « ransomware » est aujourd’hui considérée comme l’un des risques les plus importants auxquels elles sont exposées, bien plus que certains risques réglementaires ou financiers. Cependant, les responsables ne sont pas toujours à l’aise avec les moyens à mettre en œuvre pour limiter ces risques. Encore aujourd’hui, la cybersécurité et la sécurité de l’information sont toujours considérées comme un centre de coûts et non comme un levier de pérennisation de l’activité ou encore un facteur d’excellence opérationnelle. L’une des missions des CISO, de nos jours, est de les amener à voir au-delà du simple moyen de protection et de définir un axe clair d’amélioration. Que ce soit, par exemple, en sécurisant des processus opérationnels ou encore en minimisant l’exposition ou la quantité de données stockées. Avec une bonne stratégie on peut à la fois élever le niveau de sécurité tout en contribuant à la rentabilité de la compagnie.
Cela fait trois ans que vous déployez une nouvelle stratégie de sécurité. Pouvez-vous nous dire quels en sont les grands axes ?
Il s’agit d’une stratégie basée sur le paradigme Zero Trust qui envisage la sécurité de manière globale. On peut distinguer trois grands axes. Le premier, au niveau technique, qui vise à protéger les informations à travers l’ensemble de la chaîne de valeur, à notre échelle et auprès de nos partenaires. Il s’agit de sécuriser tous les flux de données, en d’autres termes, de protéger les systèmes vis-à-vis des attaques externes mais également internes sans distinction. Le deuxième axe quant à lui, est une transformation à opérer, un changement de culture, de passer d’une approche de la sécurité basée sur la conformité à des réglementation, à une autre qui s’envisage « By Design » a tous les niveaux de risques. En effet, il ne s’agit pas de mettre en place des enjeux clés pour le business. Il s’agit de faire prendre conscience à chacun de l’importance de protéger l’information, tant d’un point de vue personnel que professionnel. Enfin, au niveau du troisième axe, il s’agit de ne plus cantonner la cybersécurité à un enjeu IT, mais de l’envisager comme un risque digital, transversal et il convient alors de travailler sur ces risques avec les différents services et partenaires afin de mieux les identifier, les appréhender et donc les mitiger.
Quels sont les principaux challenges liés à la mise en œuvre de cette stratégie ?
Il y a d’abord eu un défi technique, au niveau de l’IT, pour définir et déployer l’ensemble des dispositifs de détection et de réponse aux attaques à travers l’ensemble de nos systèmes informatiques. On ne peut pas tout faire en une fois et il faut vraiment implémenter les éléments, les uns après les autres, tout en conservant une vision globale. C’est un peu comme jouer avec nos Lego, brique après brique, essai après essai on avance. Au-delà de cet aspect matériel, l’humain à également une place cruciale et nous devions donc mettre en place une réelle « culture de la cybersécurité » partagée par l’ensemble des équipes de Baloise. Dans cette optique, un des moments les plus marquants, fut peut-être l’organisation d’un «cybersecurity day» en juin 2023.. C’était une journée entièrement consacrée aux enjeux de la sécurité ou tous les employés on pu, au travers de conférences, de jeux et de différentes informations, prendre conscience globalement des enjeux et les amener de leur propre initiative à contribuer à une meilleure gestion des risques. Même s’il est quelquefois compliqué d’obtenir des budgets suffisants pour permettre à l’ensemble des collaborateurs d’une entreprise de consacrer de leur temps de travail à la sécurité, il est clair que cela coutera toujours moins cher qu’une erreur humaine ouvrant la porte à un cybercriminel par manque d’attention. Il va de soi que cela ne peut se faire sans le support plein et entier des organes de décision. D’ailleurs, nous allons remettre cela cette année à la demande de plus de 71% du personnel. Le nouveau challenge qui nous occupe actuellement concerne la gestion de la régulation Européenne, avec notamment la mise en conformité vis-à-vis du Digital Operationnal Resiliance Act (DORA) qui impose de grandes transformations pour la gestion, la disponibilité et la sécurisation des données critiques.
Comment convaincre le top management de l’importance de faire de la sécurité un enjeu central ? Les confronter au risque suffit-il ?
C’est un élément des plus importants. Depuis près deux ans, nous veillons à sensibiliser les dirigeants à la cybersécurité, à rendre intelligibles les risques encourus, à travers des tests ou des simulations par exemple. Ce travail porte ces fruits car lorsque l’on est confronté à ces situations de crise, nous comprenons beaucoup plus facilement les impacts. La réglementation est un autre levier important pour faire bouger les choses. L’arrivée de DORA, par exemple, fait que nous avons une oreille beaucoup plus attentive lorsque nous nous adressons aux décideurs. Mais au-delà de cela, il faut aussi travailler à leur faire prendre conscience que le fait de réduire les risques doit leur permettre de gagner de l’argent. Pour en arriver là, nous avons dû également nous adapter et savoir quantifier les risques afin de communiquer des informations en termes financiers, beaucoup plus compréhensibles.
En d’autres termes, nous ne disons pas comment la mise en place du chiffrement va réduire les risques de confidentialité, mais plutôt comment l’intégration de ce service permet de réduire le rique de «ransomware» d’environ 150 millions d’euros à 120 millions par exemple. Diminuer le risque permet de limiter le capital immobilisé et, donc, c’est une très bonne chose au niveau financier. Parler le même langage aide à convaincre…
La menace, elle, s’intensifie…
Oui, on constate une forte accélération de la menace et le nombre d’attaques, estimées pour 2023, correspond à près de 2200 par jour, soit environ une toutes les 49s. Ce qui évolue également c’est la facilité, grâces aux outils à disposition des Cyber Attaquants, avec laquelle ils peuvent exploiter nos systèmes. Quand j’ai commencé il y a trois ans chez Baloise, il fallait fixer en moyenne une faille critique de sécurité une fois par mois. Aujourd’hui le rythme est d’une, voire plusieurs par jour. Corriger les vulnérabilités constitue un travail important et très fastidieux et la charge de travail lié à cette activité ne cesse d’augmenter. Le nombre de nouvelles vulnérabilités détectées dans le monde sur les différents systèmes implique de prioriser, de se concentrer sur les éléments critiques en premier lieu, car il n’est plus possible de tout fixer tout le temps. Les moyens mis en œuvre par les attaquants sont aussi plus importants car nous n’avons plus affaire à des pirates informatiques opérant seuls, depuis leur cave ou un cyber café et de manière opportuniste mais plutôt à des groupes organisés très efficaces. Ils disposent de l’expertise, d’outils techniques avancés, de financement et n’ont pas les barrières de la loi. Certains d’entre eux sont même très proches des Etats qui les mandatent pour des missions de plus grande envergure. Les attaques n’ont plus uniquement des objectifs purement financiers à court terme visant les sociétés mais ils participent à des campagnes de nature géopolitique, dont le but est de déstabiliser un candidat, un gouvernement, un pays…. Notre rôle, en tant qu’acteur de l’économie luxembourgeoise, est aussi de contribuer à lutter contre ces formes de piraterie en veillant à protéger nos systèmes et nos informations et ainsi contribuer à garantir notre protection et notre souveraineté nationale.
La cybersécurité s’apparente à une course, dans laquelle les cyberattaquants semblent toujours avoir une longueur d’avance. Comment appréhender sereinement cet état de fait ?
L’idée de pouvoir devancer les attaquants est un doux rêve, en effet. Mon avis est qu’il faut essayer de comprendre le mode de fonctionnement des organisations cybercriminelles, qui mènent le plus souvent des attaques d’envergure, privilégiant ce qui rapporte gros en peu de temps. Dans ce contexte, il faut commencer à se protéger vis-à-vis de ce qui est connu, des failles existantes. Je dirais que c’est 99 % du travail. Pour le 1 % restant, il faut accepter que l’on soit un jour piraté, que le système puisse être compromis. Conscient que cela peut arriver, il faut prioritiser absolument la protection des données confidentielles et critiques pour l’entreprise. C’est à ce niveau qu’il faut consacrer un maximum de moyens et également éviter de s’en remettre à des prestataires. On peut sous-traiter beaucoup de choses mais jamais sa responsabilité face à une fuite de donnée de nos clients.
Comment cela se traduit-il ?
Au niveau des données critiques et sensibles, on va donc déployer des moyens techniques renforcés, avec du chiffrage, du contrôle systématique, de l’analyse de logs, du monitoring. Mettre en place des tests de sécurité pour nos applications, nos serveurs, nos équipements réseau, en se basant sur les attaques perpétrées par les cybercriminels. Des renseignements sur les menaces permettent aujourd’hui d’analyser et de comprendre leur « modus operandi » afin de nous évaluer. Enfin, comme dit précédemment, il faut avoir un plan de repli, faire des tests de restauration et des simulations de crises permettant d’envisager un peu plus sereinement l’avenir. Pour le reste, ce qui n’est pas critique, on ne peut pas toujours nous permettre de tout déployer pour des questions financières ou car l’impact opérationnel est trop lourd. On accepte donc qu’à ce niveau les mesures de sécurité soient plus souples et on se résigne donc à pouvoir perdre des données.
Distinguer ce qui est critique de ce qui l’est moins, n’est-ce déjà pas une tâche complexe ?
Oui clairement. Que ce soit la régulation ou les principes de continuité d’activité, on nous oblige à le faire. Si on veut mettre en place, au niveau technique, une approche Zero Trust, il faut clairement en passer par là. Ce travail, qui peut sembler fastidieux, est pourtant tellement important. J’aimerais également souligner la dynamique européenne dans ces sujets, qui à travers la réglementation, pousse les acteurs à protéger ce qui compte le plus pour eux-mêmes mais également pour la sécurité de notre Europe car cela contribue fortement à améliorer la sécurité globale. On critique souvent les institutions et les décisions prisent à Bruxelles mais je pense que la stratégie Européenne sur la donnée, DORA, le Data Gouvernance Act, le Data Act, l’AI Act, NIS2, eDIAS et FIDA sont également un atout pour mettre un peu d’ordre dans un monde numérique de plus en plus vaste et de plus en plus à risque. Je pense qu’il est important de saluer le positif même si cela est un véritable casse-tête pour certains acteurs et notamment dans les secteurs qui n’ont traditionnellement jamais eu à implémenter de régulation sur la sécurité de l’information.
Lorsque l’on parle de cybersécurité, la problématique des compétences revient souvent. Comment répondre à ces enjeux si l’on manque de talents ?
On s’aperçoit en effet que certaines compétences sont rares. Les analystes en cybersécurité, notamment, ne courent pas les rues. Si l’on veut les attirer les talents, il est important de se doter d’une stratégie robuste et cohérente, à laquelle ils vont souhaiter contribuer. Au-delà, il faut pouvoir satisfaire aux aspirations de la jeune génération, qui souhaite travailler, s’épanouir professionnellement, mais aussi profiter d’un bon équilibre entre travail et vie personnelle. Il faut donc déployer des politiques de recrutement claires et précises, qui répondent à ces attentes. Dans le domaine de la gestion du risque et de la compliance, on a aussi un important besoin de compétences, de personnes capables d’appréhender des risques techniques sous la forme de risques financiers et je salue la volonté de développement de ces filières supporter par Luxembourg House Of Cybersecurity et plus généralement par le gouvernement luxembourgeois.
De plus, il y a pour moi également un réel enjeu à féminiser la profession, à attirer davantage de femmes vers ces métiers qui offrent de belles perspectives de carrière. On peut saluer le travail mené par l’association « Women Cyberforce », dont je fais partie, et qui promeut le rôle des femmes dans le domaine de la Cyber Sécurité. Il est clair que nous aurons besoin de tous les talents pour répondre à la demande des sociétés Luxembourgeoises. Enfin, si vous avez des enfants qui souhaitent trouver un métier passionnant et bien rémunéré, vous savez quoi leur conseiller.
Quels seront, selon vous, les grands défis liés à la sécurité pour les mois à venir ?
J’en vois deux principaux à court terme. D’une part, il y a un enjeu réglementaire, avec la revue et l’implémentation de la régulation DORA qui nécessite de mobiliser des moyens humains et techniques importants pour avoir la capacité de délivrer les résultats attendus pour la fin de l’année. Le second est de continuer à développer la stratégie et la culture de la sécurité en intégrant notamment les risques émergents, en l’occurrence ceux liés au développement de l’intelligence artificielle et du Quantum.
Comment voyez-vous évoluer la fonction de CISO à l’avenir ?
Actuellement la cybersécurité est encore trop souvent perçue sous l’angle de l’IT uniquement et principalement pour des besoins de conformité. Il est important de passer ce cap, pour qu’elle soit avant tout gérée par et pour le métier et au regard des risques opérationnels et financiers. Le rôle du CISO est encore très vague et ne fait pas consensus. A court terme, je pense que la régulation va inciter les CISO à prendre un rôle plus stratégique et de pilotage du risque et ainsi sortir plus ou moins de l’IT. Il devrait avoir la capacité de faire des rapports réguliers de plus en plus basés sur la quantification des risques et les opportunités de réduction d’exposition à ceux-ci. Enfin, comme on le voit plus fréquemment aux États-Unis, je ne peux que valider le fait que CISO devient un décideur à part entière, puisqu’il intègre de plus en plus souvent le comité exécutif ou même le comité des directeurs. En effet, la fonction doit se positionner comme un organe de réflexion et d’appréhension du risque, car la cybermenace devient de plus en plus importante et de plus en plus critique.