La confiance, le nouveau mot d’ordre du RSSI
« Avec l’agressivité qui règne désormais sur les marchés, il faut faire preuve d’intégrité pour remporter de nouveaux contrats et satisfaire sa clientèle. » Denis Onuoha, RSSI, Arqiva
Le travail d’un RSSI ne s’arrête pas une fois qu’il a quitté le bureau. C’est un engagement à plein temps, qui demande confiance et rigueur. Pour garantir la sécurité et le bon fonctionnement d’une entreprise, il faut être extrêmement vigilant et se préparer à toutes les éventualités. Nous avons eu la chance de rencontrer Denis Onuoha, RSSI chez Arqiva, entreprise de télécommunications britannique qui fournit des infrastructures et équipements de télévision et de radio aux principaux diffuseurs du pays, qui nous a raconté comment il gérait son département.
Sachant que les principaux diffuseurs du pays s’appuient sur les infrastructures fournies par Arqiva, l’entreprise doit de protéger ses réseaux à tout prix. « Nous sommes à l’avant-garde des infrastructures de communication, mais nous travaillons en coulisses pour établir les connexions nécessaires », explique Denis Onuoha. « Nous aidons des millions de voix à se faire entendre par le biais de la télévision, de la radio, de la téléphonie mobile et d’Internet. Et surtout, nous travaillons avec tous les acteurs du secteur, qu’il s’agisse des opérateurs de téléphonie mobile, des groupes de radio indépendants ou des grands diffuseurs tels que la BBC, ITV et BSkyB. Dans ces conditions, la sécurité est une priorité absolue pour tout le monde, et pas seulement pour moi. »
« J’ai commencé ma carrière en tant qu’analyste informatique et expert en sécurité dans une banque privée », raconte Denis Onuoha. « Depuis le début, la sécurité a toujours été au cœur de mes préoccupations. Cela m’a donné les clés pour appréhender mon travail chez Arqiva et m’a préparé aux défis qui m’attendaient. »
Denis Onuoha nous a expliqué que son équipe était divisée en quatre pôles distincts. « L’un de nos groupes s’occupe uniquement de notre programme de sécurité interne et de sa mise en œuvre », nous confie-t-il. « Nous avons un département dédié à la cybersécurité, qui propose des conseils en sécurité technique et des services d’assistance avant-vente à nos clients. Ensuite, nous avons ce que nous appelons la Red Team, qui passe ses journées à essayer de pirater notre réseau pour garantir que tout soit aussi sécurisé que possible. Enfin, nous avons des spécialistes de la prévention des atteintes à la sécurité, qui consacrent toute leur énergie à anticiper les nouvelles menaces. »
« Je préside également le groupe de travail sur la cybersécurité de l’AIB (Association of International Broadcasters) », ajoute Denis Onuoha. « Ce groupe a été créé pour permettre aux journalistes de radio et de télévision de travailler en sécurité sur le terrain et pour faire évoluer le métier tout en améliorant la sécurité. En d’autres termes, j’ai la chance de travailler avec des fabricants de technologies axées sur la sécurité, tout en collaborant avec des personnes extrêmement intelligentes. Nous partageons nos idées et nos informations pour contribuer à préserver la sécurité dans notre secteur. »
Nous lui avons demandé quels étaient à ses yeux les plus grands défis qui attendaient les entreprises et s’il avait des conseils à donner pour les relever.
1. Trouver les compétences qui font défaut
« Le secteur évolue rapidement, il est donc de plus en plus difficile de trouver les personnes dont les compétences combleront les lacunes de l’équipe », indique Denis Onuoha. « Mais ce n’est là qu’un aspect du problème. Pour surmonter ce défi, il faut aussi éduquer votre entreprise autant que possible. En tant que RSSI, il en va de votre responsabilité de communiquer et de faire comprendre les enjeux de la sécurité au sein de votre organisation. »
Nous avons discuté de ce sujet il y a peu sur le blog, où nous expliquions comment vos employés pouvaient devenir votre meilleur rempart contre les cyberattaques. « Je conseille, bien sûr, de mettre en place des règles concernant les mots de passe et d’examiner attentivement les technologies utilisées par vos équipes pour les sécuriser », poursuit Denis Onuoha. « Ensuite, il faut envisager la sécurité en fonction des risques. Par-là, j’entends qu’il vous faut évaluer les risques si vous ne faites rien, et vous en servir pour définir vos priorités et vos ressources. »
2. Donner à ses équipes les outils qu’elles veulent
« Avec la prévalence des technologies mobiles et cloud, on voit apparaître une prolifération d’outils et chacun utilise ce qui lui convient le mieux », affirme Denis Onuoha. « Cela constitue une difficulté de taille pour les équipes de sécurité. En effet, les frontières du réseau s’élargissent de manière significative étant donné que chaque département utilise ses propres outils et que tout le monde veut travailler ensemble. »
« Néanmoins, les entreprises comprennent de mieux en mieux le défi que cela représente », ajoute-t-il. « Mon conseil est de donner accès aux services cloud et de sécuriser les appareils. En mettant en place des contrôles tels que le chiffrement, les mots de passe éphémères et l’effacement à distance, on est sûr que les informations et les réseaux restent sécurisés. »
3. Intégrer la sécurité à la gestion du cycle de vie client
« Nous sommes certifiés ISO 27001 et nos clients nous contrôlent régulièrement pour s’assurer que nous sommes en conformité et que nous plaçons la sécurité au cœur de toutes nos activités », indique Denis Onuoha. « De nos jours, une entreprise a un devoir de transparence. Si vous lui confiez vos données personnelles, il est essentiel qu’elle soit capable de démontrer un traitement des données de premier ordre. La confiance est la nouvelle monnaie d’échange. »
Prendre ces risques en considération vous confère un avantage notable, puisque votre marque gagne en crédibilité. « Avec l’agressivité qui règne désormais sur les marchés, il faut faire preuve d’intégrité pour remporter de nouveaux contrats et satisfaire sa clientèle », explique Denis Onuoha. « Il est bien trop facile pour les clients d’obtenir ce qu’ils veulent chez quelqu’un d’autre. »
En guise de conclusion, Denis Onuoha nous a donné un dernier conseil tactique. « La confiance entre le client et vous va dans les deux sens. Cela est vrai tout au long de la chaîne d’approvisionnement, aussi assurez-vous de travailler avec vos fournisseurs pour garantir le plus haut niveau de service et de sécurité possible. Vérifiez régulièrement vos processus et vos technologies. Si vous établissez des bases saines, il sera bien plus facile de mettre en œuvre un niveau élevé de sécurité et conformité.«