Retour sur le workshop « DevSecOps, SI ouverts, réseaux en mutation… Comment la coopération CIO-CISO va-t-elle traverser les challenges des années à venir ? »

Peut-on éviter de retourner aux vieux réflexes de la confrontation entre DSI et RSSI ? Après des années de remise en question, les organisations qui ne jurent plus que par la sécurité par design et la résilience numérique, doivent s’assurer d’inscrire la relation entre ces deux acteurs clés dans une forme de pérennité.

En effet, avec les transformations de l’agilité, la virtualisation, la cloudification… la production informatique dans les entreprises a fait sa mue. Intégrer le facteur sécurité est une question transverse, loin d’être seulement technologique. L’intégration se pense au niveau des solutions, du réseau, mais aussi de la culture de l’entreprise. Et sur ce dernier point, le duo DSI-RSSI est forcément au centre du jeu… à condition que le comité exécutif soit convaincu que des objectifs communs et une évolution de la gouvernance sont de nature à changer la donne.

A l’occasion du workshop Alliancy « Les défis d’un nouveau monde » organisé en partenariat avec Verizon, nos invités, DSI et RSSI ont témoigné entre-autre, de la relation concrète CIO-CISO dans leur entreprise et de l’utilité d’une possible intégration du RSSI dans la DSI : quelles sont les pratiques, les choix organisationnels et les nouveaux partis-pris qui assurent une bonne coopération DSI-RSSI à l’ère du DevOps et du cloud ? Qu’est-ce qui permet à cette coopération de survivre aux nouvelles réalités du SI, du réseau et des innovations technologiques dont l’entreprise s’empare ?

Rony Bejjani, Group CIO – Akka Technologies

« Le RSSI monte en puissance dans les entreprises, comme une chrysalide qui se transforme en papillon ou un « Mister No » qui devient « business enabler ». Le tandem qu’il forme avec les directeurs des systèmes d’information permet d’atteindre les objectifs globaux de la DSI. »

Stéphane Gérome, Directeur de la Gouvernance DSI – Carrefour

« La thématique sécurité monte en puissance chez Carrefour depuis plus de 10 ans. Dans le même temps, nous assistons à une prise de conscience de la diversification des risques (intrusions pour malveillance - ramsomwares, dénis de service, vol de données internes, vol de données de nos clients...). Dans l'évaluation des risques cyber, les enjeux de pertes financières directes sont désormais combinés avec les risques réputationnels. Le niveau de maturité au sein de l'Entreprise permet à la DSI de maintenir voire accroître son niveau d'investissement dans le domaine de la cyber sécurité, avec un niveau de justification raisonnable et raisonné... » 

Stephane Czernik, Deputy CISO – IPSEN

« Depuis un an et demi, nous sommes détachés de la DSI et nous reportons au département Risques. Nous disposons donc d’une totale indépendance, mais nous travaillons en étroite collaboration avec le DSI. Le RSSI aide le DSI à obtenir des budgets supplémentaires quand c’est nécessaire. Il est aussi le responsable de la sécurité physique. »

Frédéric Novello, DSI – SNCF Transilien

« Nous disposons de plusieurs RSSI dans le groupe et nous mettons particulièrement l’accent sur la définition et le déploiement d’une gouvernance globale, transversale à toute l’organisation afin de s’assurer qu’une intrusion dans le SI d’une société ne se propage à l’ensemble. »

Marc Chousterman, Principal Cybersecurity Architect – Verizon

« Un time-to-market tendu peut être à l’origine de développements accélérés oublieux des bonnes pratiques de sécurité. L’action de la RSSI peut alors générer des frictions avec la DSI. Mais la prise de conscience des Comex tend progressivement à gommer ces antagonismes. »

Nous remercions nos invités pour leur présence à cet échange et pour s’être prêtés au jeu du partage, ainsi que notre partenaire, qui a permis son organisation.

Une rencontre organisée avec le soutien de Verizon :

Verizon est l’un des principaux fournisseurs mondiaux de solutions de Communications. Nous associons notre expertise à l’un des réseaux IP offrant le plus de connexions dans le monde pour fournir des solutions largement primées dans le domaine des communications d’entreprises, de l’infogérance, de la sécurité des informations et des réseaux.  Les solutions de Verizon adaptées à tous les secteurs de l’industrie, sont basées sur des plateformes sécurisées de mobilité, de Cloud, de réseautage stratégique, d’Internet des objets et de Communications Avancées, permettant de multiplier les potentiels d’innovation, d’investissement et de modernisation commerciale, pour accompagner les entreprises dans leur Transformation Digitale. enterprise.verizon.com/fr-fr/

Peut-on éviter de retourner aux vieux réflexes de la confrontation entre DSI et RSSI dans les entreprises ? Après des années de remise en question, les organisations qui ne jurent plus que par la sécurité par design et la résilience numérique, doivent s’assurer d’inscrire la relation entre ces deux acteurs clés dans une forme de pérennité.

En effet, avec les transformations de l’agilité, la virtualisation, la cloudification… la production informatique dans les entreprises a de toute façon fait sa mue. Il suffit de regarder aujourd’hui, les vitesses de développement visées par les organisations (qu’elles se dotent ou non de digital factories) et le changement de périmètre majeur qui étend leur SI à une partie d’internet, pour se rendre compte que cette mue doit absolument intégrer le facteur sécurité. Les experts bénéficient d’ailleurs aujourd’hui de plus de recul sur le sujet et ont fait émerger des modèles, à l’image du Secure Access Service Edge (SASE) défini par Gartner en 2019, qui prennent en compte cette intégration différente de la sécurité.

En la matière, la maturité reste variable. Et d’un appel d’offre à un autre, on voit régulièrement un retour aux pratiques du passé, qui font de la sécurité le nice-to-have ajouté au forceps, au dernier moment… Surtout quand le sujet du réseau entre dans la boucle et qu’il faut faire « plus efficace pour moins cher » !
Or, intégrer le facteur sécurité est une question transverse, loin d’être seulement technologique. L’intégration se pense au niveau des solutions, du réseau, mais aussi de la culture de l’entreprise. Et sur ce dernier point, le duo DSI-RSSI est forcément au centre du jeu… à condition que le comité exécutif soit convaincu que des objectifs communs et une évolution de la gouvernance sont de nature à changer la donne.

Avec ce nouveau workshop, Alliancy et son partenaire Verizon, proposent aux DSI de témoigner de la transformation de leur posture sécurité et de leur relation avec les RSSI.

  • Quelles sont les pratiques, les choix organisationnels et les nouveaux partis-pris qui assurent une bonne coopération DSI-RSSI à l’ère du DevOps et du cloud ?
  • Qu’est-ce qui permet à cette coopération de survivre aux nouvelles réalités du SI, du réseau et des innovations technologiques dont l’entreprise s’empare ?

Cet échange a permis de coconstruire une synthèse mettant en avant les pratiques les plus efficaces et les challenges à relever, qui sera publiée dans un guide dédié.

Un échange du cycle “SI et transformation”

————
A qui s’adresse cette rencontre :

Cet échange s’adresse aux DSI et RSSI des grandes entreprises.

———–
Un workshop organisé en partenariat avec

verizon

Verizon est l’un des principaux fournisseurs mondiaux de solutions de Communications. Nous associons notre expertise à l’un des réseaux IP offrant le plus de connexions dans le monde pour fournir des solutions largement primées dans le domaine des communications d’entreprises, de l’infogérance, de la sécurité des informations et des réseaux.  Les solutions de Verizon adaptées à tous les secteurs de l’industrie, sont basées sur des plateformes sécurisées de mobilité, de Cloud, de réseautage stratégique, d’Internet des objets et de Communications Avancées, permettant de multiplier les potentiels d’innovation, d’investissement et de modernisation commerciale, pour accompagner les entreprises dans leur Transformation Digitale. verizon.com/business/fr-fr/

————–
Les workshop d’Alliancy – Qu’est-ce que c’est ?

Une rencontre du programme Numérique en pratique consacrée à la nouvelle relation IT/Métiers : où en sont les organisations ? Face à la crise les entreprises se sont adaptées rapidement pour répondre aux nouveaux besoins de leurs collaborateurs, clients et partenaires. Et un nouveau chapitre de transformation s’ouvre pour elles.

Il nous emble particulièrement important de proposer des moments d’échanges d’expériences, de débat et de collaboration, notamment pour les leaders technologiques qui font face à de grands défis. 

Il s’agit de se poser un moment et de prendre le temps de l’échange autour d’une question précise, pour confronter les pratiques, enrichir des scénarios d’action et co-construire ensemble des réponses à partager ensuite avec la communauté en digital ou en présentiel.

Un guide sera préparé par la rédaction à l’issu de chaque rencontre, pour partager les pratiques et les pistes qui auront émergées de ces échanges.

Cette rencontre se déroule en présentiel, à la rédaction d’Alliancy et en petit comité (8 à 10 personnes).