Les Directives Nationales de Sécurité imposent un régime de sécurité renforcé à quelques centaines d’entreprises françaises sélectionnées pour leur importance stratégique et économique. Et ces contraintes concernent aussi le volet IT. Nous avons voulu savoir si l’entreprise est réellement préparée à jouer le jeu du contre-barbouze. Rencontre avec le Commandant Luc Alloin, expert en « ce genre de choses« .

Le Cercle Européen de la Sécurité s’est intéressé hier aux Directives Nationales de Sécurité, et notamment à leur implications pour la SSI. Les DNS imposent un régime de sécurité renforcé à 241 entreprises, qui oeuvrent dans douze domaines d’activité jugés critiques.

Si l’initiative est louable, sa mise en oeuvre semble faire débat. Plusieurs participants, dont certains ont eu à côtoyer une approche similaire dans le monde militaire, nous ont fait part de leur scepticisme, en aparté, quant à une mise en oeuvre par des entreprises civiles. Non pas que les civils soient moins compétents en matière de sécurité, et plus particulièrement de SSI, mais plutôt parce qu’il s’agit ici, pour le RSSI et l’équipe IT, d’opérer un changement radical d’état d’esprit.

« Le décret Secteurs d’activité d’importance vitale (SAIV) change radicalement les choses pour la SSI car il oblige à réfléchir en terme de scénarios d’attaques », explique le commandant Luc Alloin, fondateur de la société SecurYmind.

L’affirmation n’a l’air de rien, dite comme ça, mais ses implications sont profondes pour la IT. Car jusqu’à présent la plus grande partie de l’effort sécurité IT de l’entreprise est focalisée sur un objectif unique : assurer la continuité d’activité, et notamment préparer la reprise face à un sinistre. « La redondance est généralement la réponse privilégiée de la IT dans ce contexte, mais elle ne suffit plus lorsque l’on adopte une approche basée sur des scénarios d’attaques », poursuit Luc Alloin.

Une DNS identifie en effet les menaces en terme d’entité menaçante (terrorisme, organisation criminelle, etc) et surtout de scénarios d’attaque (attentats, prise d’otages, sabotage, etc…)

Ainsi l’entreprise qui se repose sur son Plan de Continuité d’Activité découvre qu’elle n’est, en réalité, pas si prête que ça à faire face à un assaillant motivé. « Les PCA / PRA vont essentiellement se concentrer sur les rouages mécaniques de l’entreprise, tandis qu’un audit de sûreté va d’abord chercher à identifier où se trouve la valeur de l’entreprise. Et c’est généralement bien différent par rapport au PCA/PRA. Car l’objectif de ce dernier est de faire en sorte que tout fonctionne, tandis que celui de la sûreté est de trouver où appuyer pour, volontairement, casser. Ce sont deux approches, et deux états d’esprits, totalement différents », explique Luc Alloin.

L’accent, notamment, est mis sur la valeur humaine. « Les collaborateurs sont de plus en plus anxieux et mal dans leur entreprise. Ils deviennent des cibles de choix pour attaquer celle-ci », prévient notamment le commandant.

Comment réagir ? Outre un audit global de sûreté adapté, Luc Alloin préconise une approche croisée, qui implique la RH, le juridique et la SSI à travers la protection de l’information.

La RH, d’abord, qui ne doit plus être cantonnée à son rôle de paie et de licenciement. « Elle doit accompagner les collaborateurs, être plus présente, plus proche et surtout plus honnête », conseille Luc Alloin. L’objectif, ici, est bien entendu de limiter les sources de mécontentement dans l’entreprise qui sont souvent un terreau idéal pour les attaques internes (et notamment à cause de promesses non-tenues et de faux espoirs, fait remarquer le Commandant Alloin).

Le juridique, ensuite, doit suivre : les droits et les obligations de chacun doivent être clarifiés, ainsi que les sanctions possibles. Et cela non seulement au sein de l’entreprise (relations entre les collaborateurs et l’encadrement par exemple) mais aussi en externe, afin par exemple de ne pas exposer involontairement l’entreprise à un risque juridique.

Le risque informationnel, enfin, est probablement le mieux connu – à défaut d’être bien maîtrisé – des RSSI. Nous sommes là en plein DLP, avec sa difficile classification des données. Il s’agit d’un projet en soi, et non des moindres.

Pour le reste, les DNS exigent en terme de SSI une démarche proche de ISO 27001, ce qui ne dépaysera pas les RSSI soumis à ce régime.

Si ces Directives Nationales de Sécurité ne concerne au premier chef que les entreprises désignées par l’Etat comme opérateurs d’importance vitale (OIV), l’approche de sûreté globale qu’elle préconise mérite que l’on s’y intéresse tout de même, car elle offre l’avantage d’une vision transversale et complète de l’exposition de l’entreprise sur ses quatre axes essentiels : humain, technique, informatique et informationnel.