Lundi 6 juin 2016. Le soleil couchant allonge les ombres de l’avenue d’Iéna, lavée par les pluies diluviennes des semaines passées. Aucune empreinte ne demeure sur le pavé moiré devant le porche de la Maison des Arts et métiers où s’engouffrent quelques anonymes pressant contre leur cœur des mallettes en cuir fauve.
Après avoir passé un portier souriant mais imposant, les deux envoyés spéciaux du CR2PA réussissent à atteindre leur but, une salle bien éclairée de l’étage où se presse une foule détendue mêlée de costumes gris et de -quelques- tailleurs de couleur : 120 personnes, dont une majorité de RSSI (responsables de la sécurité des systèmes d’information), quelques dirigeants d’entreprises, des universitaires et des responsables de procédures d’audits ou de contrôle interne.
L’enjeu ce soir n’est pas l’ensemble de la gouvernance de l’information, mais l’un de ses domaines les plus complexes et mystérieux : la cybersécurité. 
Plus précisément la conférence cybersécurité du G9+/Sopra Steria, qui visait « à présenter des retours d’expérience et témoignages récents, illustrant la diversité des menaces et des stratégies, ainsi qu’un panorama de nouvelles solutions innovantes et de domaines d’investissements pour le futur ».
L’invitation était accrocheuse : « Face à des menaces de plus en plus importantes et hétérogènes, les Entreprises se mobilisent, les fournisseurs de solutions et de services cherchent à innover et à répondre à des besoins toujours plus diversifiés et souvent plus globaux… »
Le CR2PA y était, et vous invite à lire le compte rendu (dans l’espace Adhérents, dans une nouvelle page Présentation et comptes rendus d’événements).
_____________________
Quelques aperçus :
La menace est réelle et multiforme, du petit vol à la destruction du système vital de la nation. Les attaques sont souvent discrètes : ne pas constater d’anomalie visible dans son SI n’est pas une garantie de sécurité effective.
L’attaquant n’est pas infaillible, il faut faire l’effort de le repérer, partager les traces des attaques et éviter la contagion.
Les hackeurs raisonnent de façon économique. Ils se spécialisent.
La sécurité by design est un objectif montant. Il existe une grande expertise française en cybersécurité, un vivier d’entreprises d’excellence mondiale. Mais un manque criant de personnel qualifié dans les entreprises.
La localisation des données est un choix structurant.
Réseau ou expert, il faut un tiers certificateur de la qualité des produits et des intervenants.
On commence à pouvoir s’assurer contre les destructions. Mais l’impact humain est majeur en cas d’attaque aboutie.
Comment communiquer ? Comment éduquer ? réguler le Shadow IT ? trouver le bon équilibre entre le produit de sécurité et son utilisation ?
La sensibilisation commence à l’école maternelle. Constituer des équipes SSI d’élite c’est bien, mais il faut faire bouger le système entier.
On sait que le risque ne peut être nul, mais on peut retarder l’incident, en limiter l’ampleur et accélérer la remédiation.
