Cybersécurité et évolutions du métier de la DSI | Stormshield

Longtemps considérée comme un simple fournisseur de services IT pour les pôles métiers, la DSI est aujourd’hui aux avant-postes de la transformation numérique des entreprises. Face à l’hyperconnexion, charge à elle désormais de conseiller, d’évangéliser et d’insuffler une culture d’hygiène informatique à tous les étages. Un rôle central renforcé par la montée des enjeux et des risques de cybersécurité.

Allumer votre ordinateur au travail, vous connecter à internet, sauvegarder vos documents… Tous ces petits gestes du quotidien seraient impossibles sans la Direction des Systèmes d’Information (DSI) de votre entreprise. En charge du parc informatique de l’entreprise, la DSI s’occupe de l’ensemble des matériels et des logiciels qui le compose, qu’il s’agisse des applications, des données et des infrastructures nécessaires au stockage, aux sauvegardes, aux impressions ou encore aux télécommunications. Bref, si vous pouvez travailler et lire cet article au bureau aujourd’hui, c’est grâce à votre DSI.

 

DSI, un rôle stratégique

La DSI assure donc l’interface entre les hommes et les machines. Longtemps considérée comme un simple fournisseur de services IT pour les pôles métiers, la DSI est aujourd’hui aux avant-postes de la transformation numérique des entreprises, poussée par les nouveaux usages et les nouvelles technologies. Résultat : ce poste-clé, à la croisée de la technique, de la gestion de projet, du management, de la sécurité et de la stratégie, a su évoluer pour intégrer de nouvelles missions, et de nouvelles compétences. « Ce sont moins des compétences techniques que des capacités à communiquer et à écouter, note Franck Nielacny, DSI chez Stormshield. Il faut être capable de discuter facilement avec un comptable, un logisticien, un DRH... de connaître les métiers et leur vocabulaire. Bref, d’être dans un esprit de business partner. C’est fondamental car les directions métier sont de plus en plus impliquées pour les choix IT. »

Ce sont moins des compétences techniques que des capacités à communiquer et à écouter.

Franck Nielacny, DSI chez Stormshield

D’exécutant opérationnel, la DSI a pivoté vers un poste stratégique d’accompagnement des grands projets de l’entreprise. « De plus en plus, on attend du DSI qu’il soit au courant des évolutions technologiques, qu’il anticipe le besoin exprimé par les directions métier et qu’il soit capable de coordonner les deux avec cohérence », souligne Franck Nielacny. « Avant, l’IT devait s’aligner sur la stratégie business. Avec la transformation numérique, c’est l’inverse qui se produit », analyse de son côté Frédéric Lau, directeur de mission au Cigref, cité ici.

Aujourd’hui, la DSI prépare l’entreprise de demain et absorbe progressivement des enjeux qui vont au-delà de l’IT traditionnelle d’interface homme-machine. Les enjeux grandissants de cybersécurité des entreprises imposent autant un équipement en matière de solutions de sécurité qu’une prise de conscience des collaborateurs. La DSI a désormais la charge de conseiller, d’évangéliser et d’insuffler une culture d’hygiène informatique à tous les étages de l’entreprise. Ce qui suppose une bonne dose de pédagogie. « Chez Stormshield par exemple, tous les collaborateurs ont une forte culture du numérique et une bonne sensibilité à la sécurité. Mais on n’est jamais à l’abri d’un accident ou d’une erreur, donc il y a toujours des actions de pédagogie à mener, en collaboration avec le RSSI et les RH », confirme Franck Nielacny.

DSI du CEA (Commissariat à l'Énergie Atomique et aux énergies alternatives), Louis Arrivet mise beaucoup sur la pédagogie. « Les chercheurs sont une population particulière : c’est leur métier de farfouiller, de chercher, de développer et d’innover. Du coup ils déploient parfois des protocoles exotiques, pas toujours à intégrer dans un SI sécurisé. J’ai des équipes dont le boulot consiste à faire de la pédagogie auprès de tout le CEA, tout le temps », confie-t-il. Car avec la montée des enjeux de cybersécurité, la DSI est en première ligne pour assurer la protection de son entreprise.

 

La cybersécurité, une préoccupation quotidienne des DSI

Quand on parle de cybersécurité, on y associe donc attaques d’envergure, malwares destructeurs et failles de sécurité médiatiques. Mais ce n’est que la partie émergée de l’iceberg ; pour une DSI, la cybersécurité se joue sur tout ce que l’on ne voit pas. « La cybersécurité concerne tous les collaborateurs et tous les services de l’entreprise, on la traite de moins en moins en silo, souligne Franck Nielacny. C’est une préoccupation quotidienne qui engendre des actions de surveillance, de contrôle et de mise à jour des dispositifs pour protéger l’entreprise. Ça fait partie du quotidien de toute DSI. »

Entre un quart et un tiers des actions quotidiennes sont consacrées à la cybersécurité.

Louis Arrivet, DSI du CEA

Louis Arrivet évalue entre un quart et un tiers le nombre d’actions quotidiennes consacrées à la cybersécurité. « Tous nos projets ont une dimension cybersécurité à un moment ou à un autre, quelle que soit l’application que l’on déploie. Les inputs de cybersécurité sont intégrés dans nos réflexions, avant la phase de conception. Lorsque j’échange avec une direction sur un besoin, on évoque déjà les questions de sécurité alors que nous sommes au stade le plus amont du projet. » Et chaque DSI se sait attendu sur ces questions. « La part de la cybersécurité dans les métiers de la DSI augmente de façon exponentielle. Aux États-Unis, les experts estiment qu’il manque déjà 200 000 experts cybersécurité. Dans 10 ans, ce sera 500 000 », souligne Emmanuel Dupont, Global Chief Security Officer chez oXya.

 

SaaS et nouvelles technologies, challenges des DSI

Mais le changement de paradigme de la DSI concernant la sécurité concerne aussi l’extérieur de l’entreprise. DSI depuis 17 ans, Louis Arrivet a observé cette évolution « Il y a 20 ans, on était dans la sécurité périmétrique. On parlait de l’objet informatique. On concevait une forteresse et on pensait qu’en mettant des murailles, les gens ne rentreraient pas. Désormais, on est data centrics : on a compris que ce qui compte, ce n’est pas le système d’information, mais l’information elle-même. » Fini le développement sur serveur chez soi, “en dur”. Aujourd’hui, on virtualise, on externalise, on se plie à la mode SaaS (Software as a Service), un peu poussé il faut le dire par les nouveaux usages. Bref, on s’ouvre. Mais pas à n’importe quelle condition. La DSI est aussi la garante de la sécurité des informations de l’entreprise traitées en externe. Déléguer la maîtrise technique d’un système en mode SaaS, oui. Déléguer la maîtrise de la protection des informations de l’entreprise stockées dans ce système, hors de question.

« On est dans un domaine où tout bouge très vite, de facto le métier change, c’est sûr. Mais les fondamentaux ne changent pas, soutient Louis Arrivet. Il y a 20 ans comme aujourd’hui, le rôle de la DSI est d’avoir la maîtrise du système d’information de son entreprise. Ce sera pareil demain, même si les technologies changent. »

 

Et demain ?

Blockchain, IoT, cloud computing, serverless computing, machine learning… Demain, le terrain de jeu cyber de la DSI changera rapidement. « À très court terme, le défi est celui du cloud : les DSI doivent s’assurer que les solutions choisies sont fiables et compatibles avec les besoins des utilisateurs, mais aussi suffisamment sécurisées et qu’elles s’intègrent dans le système d’information », note Franck Nielacny.

« Mon sentiment, c’est que les entreprises vont pousser les fournisseurs de SaaS à héberger les infrastructures et le logiciel chez eux, mais en faisant en sorte que les données restent dans l’entreprise », analyse de son côté Louis Arrivet. À défaut, les fournisseurs devront apporter l’absolue garantie que les entreprises conservent la maîtrise de leurs informations, qu’elles pourront décider elles-mêmes de ce qui est sensible ou pas, et ce qu’elles veulent partager ou pas. « Ce n’est pas parce qu’on externalise qu’il faut perdre la compréhension de ces mécanismes et leur maîtrise, poursuit-il. Si on fait ça, on s’expose dangereusement. Une entreprise qui perd la maîtrise de son information est en grand danger. Tout chef d’entreprise aura encore besoin demain d’un DSI capable de lui garantir cette maîtrise. »

Idem avec l’intelligence artificielle. « Avec l’apparition d’outils basés sur l’IA et le machine learning, on passe d’un modèle de raisonnement numérique à un modèle de raisonnement « humain » par analogie. L’IA va permettre une détection plus fine des anomalies, elle pourra inventer des scénarios pour répondre aux menaces », juge Emmanuel Dupont. Et permettre à la DSI d’anticiper. « Les DSI ont toujours un petit temps de retard. On fait souvent du réactif. L’IA pourrait permettre de palier à cela, poursuit Emmanuel Dupont. Mais on peut aussi envisager des attaques à base d’IA pour déjouer les systèmes basés sur l’IA ». Si l’IA devrait rendre l’IT plus efficace et plus facile, elle n’est pas (encore) prête à remplacer la DSI. « Son rôle restera de faire en sorte de relier d’un côté un besoin métier (comme vendre / soigner / produire) à un panel de technologies mis à la disposition des marchés et des entreprises, conclut Franck Nielacny. Il faudra toujours un humain pour concilier les deux. »

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
En lien direct avec la cybersécurité, le phénomène du Shadow IT se pose aujourd'hui comme un véritable défi pour les DSI. Mais d’où vient ce phénomène ? Quels risques fait-il peser sur l’entreprise ? Quelles réponses y apporter ?
À propos de l'auteur
mm
Victor Poitevin Editorial & Digital Manager, Stormshield

Victor a la casquette d'Editorial & Digital Manager de Stormshield. Rattaché à la Direction marketing, sa mission est d'améliorer la visibilité du Groupe sur le web. Sites internet, réseaux sociaux, blogs... tout l'écosystème de Stormshield est mis à contribution. Et pour répondre aux hautes ambitions numériques du Groupe, il s'appuiera sur ses différentes expériences, au sein de plusieurs grands groupes français et internationaux, ainsi qu'en agence de communication.