Données & cybersécurité : les RSSI se rêvent en centre de profit…
On le sait, une donnée de qualité, et en quantité, c’est le nerf de la guerre de toute stratégie IA. De facto, les directions du numérique et les métiers se sont mis au diapason pour collecter ces données et alimenter les algorithmes.
Dans cette quête de la donnée, les CISO ont aussi un rôle à jouer : « il n’y a pas d’IA efficace sans une data de qualité et tout le groupe Vinci s’est engagé dans une démarche vers une culture data », explique Benoît Herment, group CISO de Vinci. « Cette démarche passe par trois étapes », explique-t-il. « On commence souvent par le volet gouvernance et les CISO se sont emparés de ce sujet de gouvernance de la donnée destinée aux IA ».
Pour le responsable, la donnée est avant tout un projet d’entreprise et les CISO doivent échanger avec leurs pairs des RH, du juridique et des métiers afin d’identifier ces données de qualité. « Le CISO doit être intégré à la gouvernance de cette data, afin de s’assurer que celle-ci est de qualité et qu’elle soit utilisée de manière éthique et sécurisée ».
Outre cette collaboration, le CISO doit lui-même organiser la collecte des données qui vont alimenter ses outils de protection, et notamment son SOC. Or, si ces données sont précieuses dans l’amélioration de la détection et l’analyse des incidents de sécurité, ces informations pourraient bien se montrer utiles dans d’autres cas d’usage métiers. « Les SOC et les CERT sont des sources de données qui intéressent l’entreprise au sens large. Nous lions nos data cyber aux grands référentiels du groupe, que ce soient les référentiels clients, fournisseurs, celui des employés avec l’IAM, par exemple. Cela permet de disposer d’un data lake où piocher des données pour les cas d’usage. », explique Benoît Herment.
Jean-Yves Poichotte, RSSI de Sanofi, considère que cette transformation du rôle du CISO est essentielle : « à partir du moment où les équipes cyber sont en mesure d’apporter une réelle valeur au travers de leurs données, nous sommes en mesure de passer d’une fonction de support à une fonction business, ou en tout cas une fonction qui amplifie la valeur créée par le business. C’est un changement de paradigme pour toutes les équipes cyber. Nous ne sommes plus au fond de la cale ! »
Le RSSI considère que les transformations technologiques induites par les données et les IA doivent permettre à chaque collaborateur d’une entreprise de s’approprier la problématique cyber : « le matin, quand on prend sa voiture, même si on connaît le code de la route, les voitures modernes émettent une alerte lorsque vous dépassez la vitesse limite. Il faut appuyer sur un bouton pour lui dire d’arrêter de vous le rappeler continuellement… C’est ce que l’on va attendre de la cyber ».
Et Jean-Yves Poichotte de préciser sa pensée : « le CISO doit créer ces guides et accompagner les utilisateurs et les métiers afin qu’ils ne sortent pas de l’épure et ne doit pas les rattraper lorsque c’est trop tard. Ce sont des transformations de notre métier dont il est essentiel de tenir compte. Il faut intégrer la cyber à la culture d’entreprise. Il existe aujourd’hui une quantité incroyable de réglementations. Or, quel est le métier autre que le digital qui peut maîtriser toutes les réglementations du numérique à l’échelle internationale ? Il n’y en a pas d’autres. »
Stratégie data : attention à ne pas perdre de vue l’objectif
Le rôle croissant du CISO dans la mise en place d’une stratégie data est également constaté par Eric Antibi, CTO de Palo Alto France : « nous sommes de plus en plus impliqués sur des projets data. La posture reste toujours d’améliorer la sécurité du client, mais la question de la data est devenue fondamentale ».
« Nous sommes en mesure de passer d’une fonction de support à une fonction business ou en tout cas une fonction qui amplifie la valeur créée par le business. C’est un changement de paradigme pour toutes les équipes cyber. » Jean-Yves PoichotteRSSI de Sanofi
Si les CISO vont avoir une opportunité de valoriser leurs données auprès des autres entités de leurs entreprises, il reste à mettre en place une stratégie ad-hoc. « Par le passé, on a vu trop de data lake cyber où l’on entassait des données pour des raisons d’archivage, de compliance, mais qui perdaient l’objectif initial qui était d’améliorer l’efficacité des SOC, par exemple », estime le directeur technique.
Dès lors, pour lui, « il faut aussi récupérer les bonnes data, savoir explorer des données de différents types, formats, et être capable de traiter celles-ci en fonction de l’objectif fixé. Enfin, le troisième élément porte sur le coût. L’extraction des données n’est pas toujours gratuite, il faut savoir quelles données conserver, et opter pour le bon type de stockage en fonction de leur nature ».
L’éditeur plaide pour sa paroisse, car sa stratégie est de pousser vers une plateformisation des solutions cyber, avec, bien évidemment, toutes les données rassemblées sur sa solution. Pour Jean Yves Poichotte, cette approche pose le problème de la standardisation des données cyber et du besoin de pouvoir les échanger avec ces plateformes éditeurs : « les éditeurs veulent plateformer les solutions cyber, mais ceux-ci ne vont pas nous obliger à être monofournisseur. Nous allons devoir tisser des liens entre les données de ces différentes plateformes, trouver les cohérences. Cela implique une certaine standardisation de ces données cyber… »
Interrogé sur la standardisation des échanges de données entre les plateformes cyber, Joël Fromont, senior manager en charge de l’équipe des architectes sécurité d’AWS souligne : « nous sommes partenaires avec Palo Alto et nous échangeons très souvent avec eux. Il existe des formats d’échange de données qui sont standardisés et qui nous permettent d’échanger mutuellement nos logs. Si l’on prend l’exemple de l’outil Prisma Cloud, celui-ci s’interface avec notre outil de détection de la menace Amazon GuardDuty ».
« La cyber bénéficie déjà de ces avancées [de l’IA générative] et cela nous permet aussi de montrer que la cybersécurité a adopté ces technologies et que nous nous montrons précurseurs vis-à-vis de nos stakeholders. » Benoît HermentGroup CISO de Vinci
De même, l’hyperscaler partage avec la communauté les données d’attaques glanées sur son réseau de pots de miel. Et Eric Antibi ajoute que toutes les données récupérées quotidiennement sur la base installée par Palo Alto permettent à l’éditeur d’enrichir ses données cyber, des données qui sont partagées avec ses clients et ses partenaires.
L’IA générative, un outil de simplification
Si le partage de la donnée de cybersécurité peut être une opportunité pour un RSSI de s’impliquer dans le business de son entreprise, l’IA générative pourrait aussi participer à ce rapprochement avec les métiers. Jean-Yves Poichotte le rappelle ainsi : « on reproche souvent à la cyber de travailler en silo, on nous reproche aussi d’être un métier assez abscons et qui s’interface peu efficacement avec ses partenaires, les collaborateurs et les métiers. Le langage naturel peut-il nous permettre de mieux opérer avec nos parties prenantes ? »
« Le CISO doit être le chef d’orchestre ; ses équipes vont coordonner la cyber, mais ceux qui sont comptables de cette sécurité, ce sont tous les acteurs dans l’entreprise. » Joël FromontSenior manager en charge de l’équipe des architectes sécurité, AWS
Benoît Herment relève que l’IA générative améliore déjà le travail des analystes des SOC, notamment pour développer des scripts et en générant des fichiers de configuration assez complexes : « ces tâches sont largement simplifiées par l’assistance des LLM. La cybersécurité bénéficie déjà de ces avancées et cela nous permet aussi de montrer que la cybersécurité a adopté ces technologies et que nous nous montrons précurseurs vis-à-vis de nos stakeholders ».
De son côté, Joël Fromont estime que la culture de la cybersécurité doit maintenant déborder le cadre du CISO et de ses équipes sécurité : « le CISO doit être le chef d’orchestre ; ses équipes vont coordonner la cyber, mais ceux qui sont comptables de cette sécurité, ce sont tous les acteurs dans l’entreprise, depuis l’utilisateur final, le développeur et l’ensemble des collaborateurs de l’entreprise ».
Prenant exemple des procédures en vigueur chez AWS, lorsqu’un développeur veut publier un programme, celui-ci doit réaliser une analyse de la menace, le threat modeling de son code : « le développeur doit détailler de manière exhaustive tous les modules de son application et ce en quoi ils présentent des risques. Tout est audité, les findings sont identifiés et des solutions sont trouvées en collaboration avec un Guardian ». Ce dernier est un expert en cybersécurité, capable d’aider le développeur dans cette démarche.
Enfin, l’IA vient simplifier les interactions avec les outils de sécurité, notamment via les assistants de type Copilot qui sont aujourd’hui de plus en plus présents sur les plateformes de cybersécurité.
