L’innovation et l’évolution des usages redéfinissent aujourd’hui les modèles bancaires avec – tel qu’évoqué dans notre précédent article – comme première conséquence l’ouverture du système d’information. Une ouverture nécessaire pour accompagner la transformation numérique, l’intégration des réseaux sociaux, de nouveaux partenaires, voire…des clients, au cœur du SI.
Dans ce contexte la sécurité est souvent ressentie comme un mal nécessaire. Le Responsable de la Sécurité du SI doit alors changer de posture et anticiper l’évolution des usages métiers et SI, mais aussi des menaces. Ceci est d’autant plus vrai dans le monde de la banque de détail avec des sujets très concrets comme l’explosion de la mobilité, la mise à disposition de tablettes dans les agences, l’ouverture du back-office bancaire, ou encore la nouvelle concurrence des plateformes d’intermédiation pour les clients.
Maîtriser les risques au service des métiers
Le RSSI doit faire évoluer sa posture, basée aujourd’hui en grande partie sur la protection du SI, en améliorant ses capacités d’observation et d’anticipation des évolutions métiers.
L’enjeu pour lui ? Adopter un rôle de facilitateur, pour amener de la fluidité, autoriser les nouvelles technologies, les nouveaux usages et ainsi rendre concrètes les étapes permettant d’intégrer la sécurité dans les processus métiers. L’agilité et la rapidité de « délivrance » d’un service sont les éléments les plus importants pour les métiers. Si la sécurité répond trop tard, elle sera souvent ignorée.
En parallèle, le RSSI fait face à une explosion de la cybercriminalité. Des attaques plus ciblées, plus sophistiquées et plus destructrices se multiplient. Dans le cadre de l’opération Ababil, de nombreux cas d’attaques DDoS (Distributed Denial of Service) ont été recensés contre des banques hollandaises et américaines (notamment Bank of America). Autre exemple, une campagne de phishing très sophistiquée qui a récemment touché 14 entreprises en France afin de dérober des données bancaires au travers d’e-mails et d’appels téléphoniques ciblés.
Le combat est inégal : les attaquants sont innovants et rapides alors que le RSSI est contraint par des budgets et la rentabilité attendue des projets. Pour inverser la tendance, il doit se focaliser sur une stratégie de détection et de réaction face à ces attaques. Il doit également rester en veille et prendre une longueur d’avance sur les innovations des cybercriminels.
L’idéal est naturellement d’adopter une approche consistant à se concentrer sur les risques jugés prioritaires d’un point de vue sécurité mais aussi… métiers ! Ceci bien entendu, tout en répondant aux exigences de la conformité qui vont grandissant sur les sujets de la lutte contre le blanchiment, le terrorisme ou encore la fraude.
Face à la multiplication des sujets, il paraît essentiel d’aller plus loin que les pratiques classiques de plans d’action tri-annuels. Il convient se doter d’un outil pour réussir à résoudre l’équation entre innovation et sécurité. Mais alors quel outil utiliser pour avoir une vision globale ?
Mettre en place un outil d’anticipation : construire le radar SSI
Le radar SSI, est un outil simple et visuel permettant le suivi des nouveaux usages, des menaces et des réglementations. Utile dans tous les secteurs, Solucom l’a en particulier décliné dans le secteur de la banque de détail.
Il s’accompagne d’un processus de veille permettant d’anticiper les évolutions et d’orienter la stratégie SSI afin de pouvoir répondre aux besoins d’ouverture, de mobilité, de fluidité exprimés par les métiers.
En partant des sujets bruts identifiés dans les actions de veille de Solucom, le RSSI choisira de prioriser les thèmes majeurs propres à son environnement pour ensuite définir une fiche actions par thème. Ces fiches déclenchent par la suite des réactions à court terme ou des projets à moyen terme afin de fournir une réponse sécurité en avance de phase des demandes. À travers cette transformation du mode opératoire et du positionnement du responsable sécurité, celui-ci devient porteur d’innovation et enraye son image de frein aux innovations.
En mai dernier, au cours de la remise des Trophées de la Sécurité, les discussions ont porté sur l’avenir de la fonction de RSSI. Trois pistes ont été évoquées. Parmi elles, celle d’ « Expert sécurité en solutions métiers ». Cette voie nécessiterait une intégration de la sécurité très en amont dans les projets : la clé selon nous d’une innovation maîtrisée au sein de la DSI. Pour cela, il est crucial que le responsable sécurité aille au-devant des métiers pour en comprendre les enjeux, tout en s’insérant naturellement dans la politique de sécurité et les processus historiquement définis.