Penser la gestion de la sécurité comme un enjeu business

A l’occasion d’une conférence sur les évolutions de la perception de la sécurité des données par les entreprises et le grand public, Rohit Ghai, président de RSA Security a assuré qu’avouer avoir été victime d’une cyberattaque quand on est une entreprise n’est pas néfaste pour son image. Tant que le problème est bien géré et rapidement.

Le point de vue de RSA Security, soutenu par son président, Rohit Ghai, est que les entreprises ne peuvent plus sécuriser la totalité de leurs données. Il faut donc définir lesquelles sont les plus critiques et renforcer la sécurité sur ces points. (Crédit : Nicolas Certes)

En direct de Londres. C’est dans le quartier de Westminster, non loin de Big Ben, que RSA Security à organiser une matinée de discussions autour de l’évolution des pratiques en matière de gestion et sécurisation des données. Concernant les entreprises, Rohit Ghai, président de la filiale de Dell Technologies, estime qu’elles ont dû devenir de plus en plus transparente sur leur activité, enjeux de sécurité inclus, ces dernières années.

D’abord car les données sont devenues le carburant de toute entreprise et qu’elle « sont devenues plus liquides » selon le président de RSA Security. C’est-à-dire qu’elles circulent de plus en plus aisément entre les silos d’une entreprise, mais aussi entre plusieurs sociétés partenaires. Ces flux de données augmentent en permanence. « Il n’est plus possible de sécuriser la totalité de ses données » lance Nigel Ng, vice-président des ventes en EMEA et Asie-Pacifique. « Il faut donc définir quelles données sont les plus critiques pour votre activité. » Ces types de données varient bien sûr en fonction du secteur d’activité. 

Personne n’est à l’abri d’une attaque

En plus de ces enjeux de sécurité, l’année écoulée a connu son lot d’événements autour de l’intégrité des données personnelles. La mise en place du RGPD, en mai dernier, a été l’occasion pour les entreprises de se montrer plus transparente sur leurs pratiques. Et de se mettre à niveau en matière de protection de leurs SI par la même occasion. « Aujourd’hui vous ne pouvez plus seulement utiliser les données de vos clients de manière éthique mais également l’obligation de les informer que vous le faites » indique Rohit Ghai. Avec le RGPD, si un problème met en péril les données d’une entreprise, elle doit le signaler dans les 72 heures. Or, il ne semble pas toujours dans l’intérêt de cette entreprise de dévoiler qu’elle vient de découvrir une faille de sécurité.

Le président de RSA Security n’est toutefois pas d’accord avec cette assertion. « Il n’y a pas de honte à admettre que votre société a été victime d’une faille. La cybersécurité est moins une question technique qu’un problème qui concerne votre activité. Vous devez juste définir la manière dont vous priorisez votre business, vos actifs et votre management et mettre en place les bons frameworks. » En d’autres termes, Rohit Ghai indique que, comme on ne peut pas éviter de tomber malade, personne n’est à l’abri d’être attaqué. « Il faut donc savoir comment la traiter et gérer le problème au mieux s’il arrive. » Une communication efficace en cas d’attaque informatique permettrait même de calmer les tensions médiatiques autour de cet événement plus rapidement d’après Nigel Ng. Ce dernier ajoute que les dommages seront bien plus graves pour une entreprise si elle cache un problème qui viendrait à fuiter, plutôt que le signaler dès son apparition.

Penser aux données partagées avec le channel

De plus, la gestion des risques ne se limite pas à la seule activité d’une entreprise. Cette dernière doit aussi prévenir les dangers venant de son écosystème de partenaires afin que ses données ne soient pas compromises en bout de chaîne. « Il est primordial de bien catégoriser ses données en se fondant sur leur valeur commerciale et définir lesquelles partager et à quel partenaire » développe Rohit Ghai. RSA Security inclut ces enjeux dans sa solution Archer qui offre au client une vision totale de son écosystème et des flux de données qui y transitent. Cette plateforme est notamment utilisée par le groupe pétrolier hongrois MOL group, présent lors de la table ronde.

En France, 50 % de la clientèle de RSA Group se situe dans le secteur bancaire indique M. Ng. Le fournisseur s’adresse principalement aux grands comptes. Certains partenaires de l’éditeur peuvent proposer une offre as a service (plus abordable) de sa plateforme, mais ce modèle ne représente qu’environ 10 % de l’activité de RSA. L’offre PME est majoritairement assurée par Secureworks, autre filiale de Dell. Concernant le modèle commercial de RSA, il est fondé sur des partenaires locaux. Deux à trois distributeurs sont affiliés à un pays particulier. L’éditeur ne référence que quatre revendeurs sur son site web (Alliacom, Bigso, Veraguard et KRTech).

chevron_left
chevron_right