Kadna E-Book

SOMMAIRE

Quelles compétences pour le RSSI ?

Entretiens croisés avec Olivier Daloy et Joris Pégli

Les compétences de l'expert cyber : voyage dans un paradoxe

Didier Spella

Juristes et dirigeants, même combat !

Constance Baudry, Xavier Cotinat et Stéphane Baller

Modifier durablement les comportements grâce à la formation

Olivier Jacob

L'apport des simulations pour se préparer aux crises

Thierry Roux

Dossier : Accélérer le développement des compétences clés, quelle stratégie RH ?

Delphine Chevallier

Cybersécurité : où et comment se former ?

Delphine Chevallier

Le truc auquel on ne comprend rien : CERT,

CSIRT,

SOC

Delphine Chevallier

CONTRIBUTEURS

Olivier Jacob est diplômé de l’ESCP Business School et coach certifié Métasystème. Fort d’une solide expérience dans le développement commercial et le conseil, il a fait sa carrière au sein de grandes entreprises multinationales sur plusieurs continents. Professeur affilié à l’ESCP et coordinateur du programme de négociation commerciale, il est également responsable du Groupe RH Alumni de l’école et président de la Commission Carrière. Fondateur d’Inéa Conseil, organisme de conseil et de formation dédié à l’amélioration des performances commerciales et de management, il accompagne les entreprises dans des secteurs aussi divers que le conseil, la banque, les assurances, l’énergie, l’édition ou l’automobile. Ce travail de fond auprès de grandes entreprises, leaders dans leurs domaines, lui permet d’acquérir et de transmettre les meilleures techniques de développement des compétences.

Dirigeant de MIRAT DI NERIDE, Didier Spella est un expert reconnu en stratégie des entreprises et en cybercriminalité, et référent CyberMalveillance. Il est le co-fondateur de CMCS (Charente-Maritime Cyber Sécurité) et responsable du CLUSIR - Nouvelle Aquitaine Ouest (La Rochelle – Niort – Cognac). Ancien Officier Supérieur de l’Armée de l’Air, il développe ensuite son expertise en réseau et continuité des affaires dans une multinationale américaine. Passionné par la problématique de la cybersécurité et notamment le conflit qui peut exister entre le cybermonde et la sécurité, les travaux de Didier se concentrent sur les enjeux du positionnement de l’être humain confronté au dilemme liberté-sécurité.

Ingénieur et scientifique, architecte de systèmes dans la logistique et la maintenance opérationnelle civile et militaire pendant plus de 25 ans, Thierry Roux devient serial entrepreneur dans le secteur aérospatial et les smart grids (réseaux électriques intelligents). Puis avec d'autres passionnés, il fonde le cabinet d'experts Great-X qui accompagne le développement et la sécurisation d'activités d'importance vitale françaises. Formateur dans l'âme, conférencier et vaporisateur de projets en France et à l'étranger, il publie régulièrement dans ses domaines de prédilection : la cybersécurité, la cyber résilience, la gestion des risques et des crises.

Stéphane, Constance et Xavier sont membres de la Task Force Cyber au sein du cabinet d'avocats De Gaulle Fleurance et Associés.

Stéphane Baller est avocat Of Counsel, en charge de la stratégie du développement du cabinet, et passionné par l'innovation et l'enseignement.

Constance Baudry est consultante en communication pour le cabinet, et dispose de plus de 20 ans d’expérience dans des secteurs très différents (droit, santé, assurance, industrie, sport, ESS, médias). Son crédo : œuvrer, en étroite collaboration avec les experts métiers, à une communication à impact positif !

Xavier Cotinat est DSI pour le cabinet, et a 20 ans d'expérience en sécurité informatique dans des secteurs d’activité très différents (droit, énergie, banque, télécom). Son objectif : conjuguer cybersécurité et confort des usagers.

Nous sommes des managers et opérationnels de toutes les composantes de l’entreprise (RH, Finance, Marketing, commercial, logistique, services généraux, production de produits ou de services…), de tous secteurs, qui souhaitons nous engager pour acquérir et transmettre à nos équipes de nouvelles compétences pour protéger nos organisations.

Nous sommes également des experts de la cybersécurité avides de rendre opérationnels et concrets nos savoirs et savoir-faire techniques pour tous les métiers.

Rassemblés sous la bannière Thalia NeoMedia, premier cabinet de conseil et de formation en cybersécurité fondé par des managers, nous avons un seul objectif : faire grandir nos organisations et développer notre souveraineté organisationnelle et collective en matière de sécurité numérique.

Vous voulez contribuer ? Vous avez une question, un sujet que vous souhaiteriez aborder ? Contactez-nous sur [email protected]

EDITO

Nous abordons une nouvelle étape : après les temps où tout nous semblait facile, endormis par le marketing des vendeurs de solutions nous promettant monts et merveilles, nous prenons conscience que naviguer dans l’espace numérique, y stocker et faire circuler des données, y déporter nos opérations - de la simple consultation d’information, aux transferts de données jusqu’à la signature d’un contrat, ou un transfert d’argent- n’a en réalité rien d’anodin. Car en parallèle, l’espace numérique a ouvert un terrain de jeu illimité pour la malveillance, les escroqueries en tout genre et la criminalité.

Si l’écosystème des spécialistes techniques et militaires du monde cyber dispose d'une vision claire sur les enjeux et sur ce qu’il faudrait faire, il se heurte à une difficulté conceptualisée sous le terme de ‘capacity building’ utilisé par les anglo-saxons. En effet, pour pouvoir mettre en œuvre sa stratégie, qui plus est sur des sujets émergents, toute organisation a besoin des capacités des hommes et des femmes qui vont produire, exécuter et piloter la mise en place des actions. L’être humain a des capacités d’adaptation gigantesques ; mais pour les déployer efficacement, il a aussi besoin de temps et d’expérience.

La technologie est un miroir grossissant : elle amplifie les possibilités mais également les difficultés. Force est de constater que l’espace numérique, et la rapidité avec laquelle il s’est installé dans les opérations humaines, ne rendent que plus visibles les déficits des individus et des équipes face à leur appréhension, et donc à leur appropriation des modes de fonctionnement dans le cyber espace.

L’enjeu est individuel mais aussi collectif. Il touche tous les métiers de l’entreprise mais à des niveaux différents. Pour les experts IT et en sécurité des systèmes d’information, il est désormais nécessaire d’agir en transversal et de pouvoir influencer avec pédagogie une multiplicité d’acteurs. Pour les métiers, il est urgent de ne plus considérer la sécurité numérique comme un accessoire, au risque de se faire dérober son savoir-faire, de voir ses opérations paralysées ou disparaître la totalité de ses actifs.

L’enjeu est aussi organisationnel, sur les capacités collectives à se comporter et réagir différemment : au quotidien, pour apprendre à détecter les situations potentiellement à risque dans nos interactions avec les machines numériques (ce que notre cerveau n’a pas encore intégré, contrairement à l’espace réel), ou en situation de crise, pour acquérir les bons réflexes pour sauver ce qui peut encore l’être, et remettre en route une organisation mise à mal par une attaque.

Enfin, nous devons également adopter une juste posture d’humilité et d’équilibre : il s’agit d’évoluer progressivement d’une culture d’hyper-contrôle, que nous savons dommageable à plus ou moins long terme pour nos organisations, vers une culture du « doute sain », plus efficace sur la durée face à des ennemis puissants.

Delphine ChevallierRédactrice en chef

Le RSSI est un mouton à cinq pattes !

Il doit comprendre techniquement comment l’entreprise est protégée, il doit également savoir comment réagir à une attaque ou un incident de sécurité, jusqu’à une potentielle crise.

C’est aussi la personne qui donne l’assurance au management que la protection des systèmes d’information est bien réalisée au bon niveau, avec les bons niveaux d’investissement : il construit et communique ses tableaux de bord, en échangeant avec le management, pour les éclairer sur les axes d’attention majeurs en matière de cybersécurité pour les années à venir. Il est révélateur des risques, il coordonne de nombreuses prestations et agit en transversalité pour établir des pointeurs référents dans les métiers pour sécuriser l’organisation en profondeur. S’il assure l’organisation de sa bonne conformité face aux réglementations, il contribue également à développer les bonnes postures, afin que conformité réglementaire ne rime pas avec déresponsabilisation, mais plutôt humilité et méfiance. Ce métier, s’il peut paraître frustrant, est aussi passionnant, notamment pour les plus jeunes : il demande de nombreuses qualités, également des compétences en langues avec la maitrise de plusieurs cultures, un élément fondamental pour travailler dans des grands groupes internationaux. Le RSSI doit donc acquérir de nombreuses compétences pour réussir dans son rôle.

La première relève de la communication. Le RSSI doit être un bon communicant ; plus concrètement, il doit savoir vulgariser, expliquer simplement, voire convaincre. Le RSSI est capable de parler le même jargon technique que ses propres équipes, mais aussi celui des consultants ou des sous-traitants, pour échanger avec eux.

Il doit faire preuve de ténacité : le RSSI c’est celui que l’on sort par la porte mais qui revient par la fenêtre !

Enfin, de par la transversalité du rôle, le RSSI doit générer de la collaboration et de l'engagement avec tous les métiers de l’organisation : RH, juridique, commercial, finances, experts. En effet, un écueil dans lequel les organisations peuvent tomber, est celui de croire que le RSSI est la personne providentielle en matière de sécurité numérique, alors qu’elle est l’affaire de tous. Une analyse des risques menée conjointement par de multiples acteurs augmente sa fiabilité, et permet d’ancrer les pratiques au plus proche de leurs occurrences potentielles.

Le RSSI est aussi un manager d’équipes