Passer au player
Passer au contenu principal
Rechercher
Se connecter
Regarder en plein écran
Like
Favori
Partager
Plus
Ajouter à la playlist
Signaler
[WEBINAIRE] CSIRT-BFC / Sérénitique - Comment sensibiliser la direction des entreprises au bon fonctionnement et à la sécurité du Système d'Information ?
CSIRT-BFC - Centre régional de cybersécurité
Suivre
il y a 2 ans
Catégorie
🤖
Technologie
Transcription
Afficher la transcription complète de la vidéo
00:00
Bienvenue à tous, merci d'être présents pour ce webinaire de juin.
00:05
Je vous donne d'abord les modalités du webinaire, il est enregistré,
00:10
vous avez vos caméras et micros désactivés, mais vous pouvez poser vos questions dans le chat.
00:15
On répondra aux questions plus tôt, vers la fin du webinaire.
00:20
Vous retrouverez ensuite la rediffusion de ce webinaire sur notre chaîne Dailymotion.
00:25
Je vous enverrai à tous un mail à la fin du webinaire, dans les prochains jours,
00:30
avec le lien vers la rediffusion.
00:33
Pour ceux qui ne connaissent pas encore le CSIRT ou le Centre Régional de Cybersécurité Bourgogne-Franche-Comté,
00:40
on est un centre de réponse aux incidents cyber qui s'adresse aux collectivités,
00:47
établissements publics, PME, ETI et associations de Bourgogne-Franche-Comté.
00:52
On a trois missions principales, la réponse à l'incident, l'alerte et la sensibilisation,
00:59
avec le référentiel des acteurs cyber en Bourgogne-Franche-Comté,
01:02
d'où notre webinaire d'aujourd'hui, qui est présenté par Monsieur Dussaut,
01:09
que je vais laisser se présenter et vous laisser la main pour votre présentation.
01:18
Je vais commencer par ça, comme ça.
01:27
Normalement c'est bon, vous voyez la slide ?
01:30
Oui, c'est tout bon.
01:32
Ok, parfait.
01:33
Je suis David Dussaut, je suis le créateur et le gérant de Serenetic,
01:40
une entreprise bonoise que j'ai fondée en 2008.
01:44
On gère historiquement toute ou partie de l'informatique pour tout type de clients,
01:50
des PME principalement.
01:54
En fin 2021, j'ai changé un peu de concept,
01:59
j'ai décidé de m'engager plus fortement auprès de mes clients
02:03
en adaptant un fonctionnement style médecine chinoise.
02:08
Vous êtes en bonne santé parce qu'on s'occupe de vous régulièrement,
02:13
sans que vous n'ayez rien à demander.
02:16
Donc ça a changé pas mal de choses chez nous,
02:19
et puis forcément les clients aussi avec qui on travaille.
02:23
Du coup, dans ce fonctionnement-là, il y a beaucoup d'interactions avec les dirigeants,
02:31
et ils sont en général tous impliqués dans la cybersécurité,
02:36
et plus largement dans le bon fonctionnement de leur entreprise,
02:41
donc de l'informatique.
02:43
Ce que je voulais vous partager aujourd'hui,
02:46
c'est l'expérience que j'ai sur toutes ces années là-dessus,
02:50
et puis comment faire pour avoir ces échanges-là avec la direction.
02:59
L'état des lieux
03:03
L'état des lieux, en général, les dirigeants aujourd'hui,
03:12
quand on les rencontre, c'est plutôt dans notre phase de prospection,
03:17
il y en a une partie qui réagit un peu comme ce que vous voyez à l'écran,
03:22
ils n'ont jamais eu de mauvaise expérience,
03:25
donc ils se disent pourquoi changer les choses,
03:29
on est très bien comme ça aujourd'hui.
03:35
Il faut être une entreprise technologique, en effet,
03:38
on est dans l'industrie, on n'a pas besoin de tout ça,
03:43
tant que notre logistique va bien, la production,
03:48
on n'a pas forcément le lien avec l'informatique derrière.
03:54
Et puis si jamais ils se disent qu'ils perdent quelque chose,
03:58
il y a un comportement qu'on retrouve assez régulièrement,
04:03
qui est le fait de dire, le feu a pris, il faut l'éteindre,
04:07
on va l'éteindre, on attend que le feu prenne.
04:12
Par exemple, le fait de ne pas se sentir concerné,
04:16
de croire que ça arrive toujours aux autres,
04:20
principalement aux grosses entreprises,
04:23
c'est souvent la croyance qu'on rencontre,
04:26
et qu'au vu de l'activité qu'on a,
04:29
il n'y a aucune raison de revoir sa politique de sécurité
04:34
et de gestion de l'informatique.
04:36
Et puis aussi, il y a l'aspect, ça rejoint un peu le point,
04:41
on a quelque chose, on a l'impression que ça suffit,
04:46
mais on ne fait rien pour le vérifier régulièrement,
04:50
et on reste un peu sur les acquis.
04:55
Ce qui n'aide pas là-dedans, c'est le discours,
05:00
qui est servi par les prestataires informatiques,
05:06
comme moi, par les équipes internes ou les DSI,
05:11
ou des fois les fournisseurs de matériel informatique.
05:15
Ça discute technique, ça va très loin dans le sujet,
05:20
donc dans l'informatique,
05:23
mais le parallèle avec l'activité,
05:27
ce que ça amène en termes positifs est rarement fait,
05:32
et c'est une histoire de les vulgariser, on va dire,
05:38
et de faire des parallèles pour pouvoir aider
05:42
ceux qui prennent les décisions de se rendre compte.
05:47
Puisqu'il y a plein de belles choses, bien sûr,
05:50
mais comment ça aide l'entreprise à avancer,
05:54
à gagner des clients, à les conserver,
05:58
peu importe l'objectif que les directions ont,
06:02
l'informatique doit être au service du business en somme.
06:08
Voilà ce lien entre la continuité d'utilisation de l'informatique,
06:14
qui demande à ce qu'elle soit sécurisée, en bon état, etc.,
06:19
et le business, ce lien est vraiment difficile d'être fait.
06:24
Les intérêts, les défis, c'est ça,
06:30
c'est côté entreprise à gauche, côté droite IT,
06:37
comment tous ces deux mondes-là arrivent à discuter,
06:42
comment est-ce qu'on tire des traits entre tout ça,
06:46
et que ça puisse avancer dans le sens qu'il faut.
06:52
Il faut que l'informatique soit au service des préoccupations
06:56
et des problèmes de l'entreprise, et pas à l'inverse,
07:00
il ne faut pas avoir l'impression que l'informatique freine,
07:04
ou nous ne sert à rien, qu'il n'y ait pas de valeur perçue,
07:08
il y en a toujours une, mais il faut bien s'atteler à tout ça,
07:13
et ça c'est notre rôle à nous, tous ceux qui sont dans l'IT,
07:19
de raccrocher les wagons là-dessus.
07:23
Donc le plan que je vous propose par rapport à ça,
07:27
c'est d'abord de réinstaurer le dialogue,
07:30
il est peut-être toujours là, mais en tout cas de l'élever,
07:35
de ne plus parler d'antivirus, de pare-feu,
07:39
mais de vraiment s'intéresser à ce que l'entreprise fait,
07:44
aux volontés des dirigeants, et ça le voir plusieurs fois dans l'année,
07:49
il ne s'agit pas de le voir qu'une seule fois,
07:53
ce rythme s'adapte en fonction du dynamisme de l'entreprise,
07:57
mais dans l'idéal au moins une fois tous les trimestres,
08:01
passer en rue tous les projets, tout ce qui a marché, pas marché,
08:06
prendre un peu de temps, principalement être dans l'écoute,
08:11
et puis de ça, si ce n'est pas fait aujourd'hui,
08:15
ça c'est l'étape 1 qui est quand même le socle,
08:18
qui va être de comprendre le flux de données,
08:22
donc identifier ce qui a la plus haute valeur dans l'entreprise,
08:26
les systèmes, les données, les processus qui stimulent,
08:31
qui soutiennent les fonctions de revenus, la croissance, etc.,
08:36
saisir l'aspect le plus critique dans l'environnement numérique,
08:42
pour maintenir le fonctionnement de l'entreprise.
08:46
C'est que en questionnant le dirigeant, le RH, le DAF, les chefs de service,
08:53
c'est pour ça que je vous parlais de réinstaurer le dialogue,
08:56
c'est vraiment comme ça, en se mettant dans leur basket,
08:59
qu'on peut arriver à mettre le doigt là où il faut
09:03
pour que toute l'entreprise continue de fonctionner.
09:06
Les fonctions commerciales, critiques, comment est-ce qu'elle gagne de l'argent,
09:11
cartographier le processus métier, les flux de données,
09:18
les sources et les destinations, où elles sont créées,
09:22
comment elles sont stockées, traitées, comment elles sont transmises dans chaque processus.
09:28
C'est découvrir, hiérarchiser les risques commerciaux.
09:35
En deuxième temps, une fois que vous avez capté toutes ces informations,
09:40
vous y avez mis de l'ordre, vous vous êtes bien approprié, c'est clair pour vous,
09:46
il faut concevoir un plan qui donne la priorité à la protection du profit,
09:52
à l'érosion de la marge, et ça en protégeant les systèmes
09:56
avec une stratégie d'atténuation des risques.
09:59
C'est comme ça qu'on tire la meilleure partie du budget de sécurité.
10:04
On protège un euro, on gagne un euro de chiffre d'affaires forcément.
10:10
Troisième étape, c'est d'extraire ces informations,
10:18
on les utilise aussi pour créer le plan de réponse aux incidents,
10:23
pour le rendre plus efficace.
10:26
L'idée, c'est que l'organisation soit viable à long terme,
10:31
et non pas si ou quand il y aura une cyberattaque,
10:35
parce qu'il y en aura forcément une, donc il faut être prêt.
10:39
En comprenant les systèmes de l'entreprise les plus critiques,
10:44
comment ils génèrent du revenu,
10:48
ça permettra de mettre le doigt sur les efforts de reprise,
10:53
de permettre à l'entreprise de se remettre sur pied, bien sûr, rapidement.
10:57
Après, il y a les attaques, mais il y a tout le reste aussi,
11:02
il peut y avoir une dysfonction, un manque de puissance,
11:06
on peut le voir venir en étant, comme je le disais tout à l'heure,
11:10
un peu dans la posture médecine chinoise,
11:13
avoir cette vision de dézoomer complètement,
11:18
et l'idée de se voir régulièrement, ça va être ça,
11:22
d'être plus résilient à la fin.
11:26
Voilà, pour ce point-là.
11:33
Conclusion que je fais par rapport à tout ça,
11:37
c'est que les dirigeants sont responsables de l'informatique dans l'entreprise,
11:43
comme plein d'autres sujets.
11:45
Il est vrai qu'il est rarement pris à bras-le-corps,
11:49
ils y accordent peu d'intérêt, ou alors par manque de connaissances,
11:54
par manque d'échanges, je veux dire,
11:58
à nous d'arriver à capter leur attention,
12:02
pour qu'ils se rendent compte que ça sert à leurs intérêts.
12:08
Et donc, pour qu'ils puissent s'en emparer et piloter,
12:13
on doit, en plus de tout ce que je viens de dire là,
12:17
faire des analogies, peut-être mettre des tableaux de bord aussi,
12:21
pour qu'ils se rendent compte visuellement un peu des choses.
12:25
Tous les autres parties prenantes, on va dire, dans l'entreprise,
12:30
DAF, RH, responsables de services,
12:33
grâce à eux, on peut arriver à mesurer un retour sur investissement.
12:37
C'est quelque chose aussi, je pense, qui plaît, on va dire, en général,
12:42
quand on le fait.
12:44
Donc, échanger plusieurs fois, ça je vous l'ai dit tout à l'heure,
12:48
c'est en lien avec les objectifs de performance, de commerce,
12:51
tout dépend de ce qui drive la direction.
12:55
Et puis, ça permet même aussi de dépasser, dans certains cas,
12:59
il y a certains métiers qui ont plein de conformités, d'obligations.
13:04
Donc là, ça permet en effet d'ouvrir de nouveaux marchés,
13:09
on peut faire vraiment plein de choses.
13:13
Tout ça doit pas être... c'est continu, en fait, tout ce travail-là,
13:18
bien sûr, c'est pas... on fait un audit, un inventaire,
13:23
on met tout ça à plat, on crée un plan, et puis c'est bon.
13:28
Tout ça, ça doit être dynamique.
13:31
Forcément, s'adapter sur ce que vous allez vouloir faire.
13:36
Et puis aussi, avoir une analyse des risques en temps réel,
13:40
puisqu'il s'agit pour nous, en tout cas, de gérer le risque,
13:44
et de vous le présenter, de vous dire, voilà les risques, c'est ça,
13:48
ce qu'on l'atténue, ce qu'on ne l'atténue pas.
13:51
Après, c'est entre les mains des dirigeants.
13:54
Et en faisant ça, c'est un cercle vertueux,
13:57
et puis en général, les entreprises derrière sont compétitives,
14:01
performantes, et durent dans le temps.
14:06
Voilà, pour la présentation du sujet.
14:11
Je suis à votre écoute, bien sûr, si vous avez des questions.
14:15
Bien, merci beaucoup pour votre présentation.
14:18
C'est le moment des questions, si vous en avez.
14:22
Il n'y en a pas encore eu de poser.
14:30
Mais oui, en résumé, la direction aime beaucoup les chiffres,
14:33
donc il faut plutôt leur donner des éléments visuels.
14:41
Oui, c'est vraiment s'adapter, c'est entamer la conversation avec eux,
14:45
c'est comprendre ce qu'il est Drive.
14:48
Voilà, on est des êtres humains, on ne se ressemble pas.
14:51
Mais en effet, après, un dirigeant va peut-être plus vouloir avoir des chiffres
14:56
en relation avec son activité,
14:59
parce que nous, dans notre métier, des chiffres, on en montre plein.
15:02
Les menaces, les cibles, la performance, il n'y a pas de souci.
15:06
Mais ça, finalement, ce n'est pas ça.
15:10
Certains qui sont un peu technophiles vont peut-être vouloir jeter un coup d'œil,
15:13
mais à mon sens, il ne faut pas avoir que ça.
15:18
Si c'est demandé, il n'y a pas de souci, mais il faut qu'il y ait le reste.
15:26
A priori, pas de questions, c'était très clair.
15:29
Eh bien, j'ai fait court aussi pour ne pas...
15:36
C'était à l'essentiel.
15:38
À l'essentiel, oui.
15:40
Voilà.
15:41
Comme il faut y aller avec les dirigeants finalement aussi.
15:44
Oui, c'est vrai.
15:46
C'est vrai que c'est quelque chose qu'il faut garder en tête,
15:51
puisqu'ils ont rarement le temps, quand même, ils sont beaucoup pris.
15:56
Et même si avec les années, en général, on m'accorde de plus en plus de temps,
16:02
par exemple, mais vraiment, c'est quelque chose qui se fait sur le temps.
16:06
Et au début, ça va être le plus dur,
16:09
ça va être de comprendre vraiment ce qui peut les attirer
16:14
et d'essayer d'être très concis.
16:19
Eh bien, je crois qu'il n'y a vraiment pas de questions du tout.
16:24
Merci à vous, David, pour cette présentation
16:29
et d'avoir accepté notre invitation.
16:32
Et puis, merci à tous les participants d'avoir répondu présent.
16:38
Comme je vous l'ai dit au début, je vous enverrai à la suite de ce webinaire
16:43
le lien vers la rediffusion qui sera sur Dailymotion.
16:47
Et puis, je vous mets aussi dans le chat l'agenda des événements
16:51
Brun-Franche-Comté qui est disponible sur le site du CISRT.
16:54
Et puis, nous, on se retrouvera pour un webinaire en septembre.
16:58
On fait une petite pause estivale et on se retrouve en septembre.
17:02
Merci beaucoup à tous.
17:05
Merci, bonne journée.
17:07
Au revoir.
Écris le tout premier commentaire
Ajoute ton commentaire
Recommandations
39:25
|
À suivre
[WEBINAIRE] CSIRT-BFC / ACOVE : Piloter votre cyber-résilience par l’approche GRC
CSIRT-BFC - Centre régional de cybersécurité
il y a 4 semaines
31:18
[WEBINAIRE] CSIRT-BFC / Cybergogne - PRA/PCA et culture cyber : Comment construire la résilience de son organisation ?
CSIRT-BFC - Centre régional de cybersécurité
il y a 3 mois
30:59
[WEBINAIRE] CSIRT-BFC / FCNET - Cybersécurité : Trois piliers pour sécuriser votre activité
CSIRT-BFC - Centre régional de cybersécurité
il y a 6 mois
34:01
[WEBINAIRE] CSIRT-BFC / H4ckrz - Pentest et Red Team : Testez votre cybersécurité
CSIRT-BFC - Centre régional de cybersécurité
il y a 10 mois
34:40
[WEBINAIRE] CSIRT-BFC / AMG Informatique - L'importance de réaliser un audit de cybersécurité pour établir sa feuille de route
CSIRT-BFC - Centre régional de cybersécurité
il y a 10 mois
14:47
[WEBINAIRE] CSIRT-BFC - Présentation de Mon Espace CSIRT-BFC
CSIRT-BFC - Centre régional de cybersécurité
il y a 1 an
57:01
[WEBINAIRE] CSIRT-BFC / NUMAXION - Mon site web est-il sécurisé ? Quels sont les points à vérifier ?
CSIRT-BFC - Centre régional de cybersécurité
il y a 1 an
39:38
[WEBINAIRE] CSIRT-BFC / Silexo - Comment réagir en cas de violation de donnée Rapide présentation de ProDPO-20240521_093954-Meeting Recording
CSIRT-BFC - Centre régional de cybersécurité
il y a 2 ans
46:41
[WEBINAIRE] CSIRT-BFC / Almond - Autopsie d'une cyberattaque
CSIRT-BFC - Centre régional de cybersécurité
il y a 2 ans
19:31
[WEBINAIRE] CSIRT-BFC / Virtua Networks - A la découverte des solutions IaaS : infrastructure, supervision, sauvegarde
CSIRT-BFC - Centre régional de cybersécurité
il y a 2 ans
35:19
[WEBINAIRE] CSIRT-BFC / APAVE - Comment évaluer le risque cyber chez les fournisseurs ?
CSIRT-BFC - Centre régional de cybersécurité
il y a 2 ans
33:36
[WEBINAIRE] CSIRT-BFC / CCI - Diagnostic cyber 360 : un bon point de départ pour votre démarche sécurité informatique
CSIRT-BFC - Centre régional de cybersécurité
il y a 2 ans
47:13
[WEBINAIRE] CSIRT-BFC / LP-CONSULTING - NIS 2 : Acteurs publics et privés, que prévoit pour vous, la nouvelle directive européenne en matière de cybersécurité ?
CSIRT-BFC - Centre régional de cybersécurité
il y a 2 ans
1:01
[EVENEMENT] Forum Cybersécurité - 21 juin 2023
CSIRT-BFC - Centre régional de cybersécurité
il y a 2 ans
34:42
[WEBINAIRE] CSIRT-BFC / ACADIR - Comment bien gérer la sauvegarde de ses données ?
CSIRT-BFC - Centre régional de cybersécurité
il y a 2 ans
41:45
[WEBINAIRE] CSIRT-BFC / 3S Sécurité - La Messagerie, réel vecteur d'attaque. Comment se protéger ?
CSIRT-BFC - Centre régional de cybersécurité
il y a 2 ans
25:19
[WEBINAIRE] CSIRT-BFC / Agnès Bardel - Suis-je obligé d'avoir une charte informatique ?
CSIRT-BFC - Centre régional de cybersécurité
il y a 2 ans
1:02
Le bêtisier High school musical
yoannsover
il y a 1 semaine
1:03
Fais du doublage avec moi dans « the vampire diaries «
yoannsover
il y a 5 jours
4:35
Downhill practice highlights at Fort William. | UCI MTB 2018
Red Bull
il y a 8 ans
1:21
Top : Idées cadeaux de dernière minute
Le Bonbon
il y a 3 semaines
5:51
My Roommate Has COVID-19
VICE
il y a 6 ans
0:37
Avant première « 28 ans plus tard le temple des morts "
yoannsover
il y a 3 jours
2:01
Alex Lutz : Le conseil qui a tout changé
OnTime
il y a 2 jours
2:00
Les top et flops de 2025 pour Sydney Sweeney
CANAL+
il y a 13 heures
Écris le tout premier commentaire