Complémentaires, les rôles de Directeur de la Cyber-sécurité et de Directeur de la Sûreté ne

peuvent plus opérer séparément l’un de l’autre. Leur collaboration étroite s’impose même
comme une nécessité dans un monde gouverné par l’information…

Tribune du CESIN par Michel Juvin

L’impact des nouvelles technologies entraîne des changements à un rythme effréné – qui est
même aujourd’hui supérieur à la loi de Moore – en particulier dans le domaine de
l’information. Omniprésente, l’information, la data, est devenue vitale pour la vie des
entreprises. Elle est une source de croissance et une richesse qui a canalisé les rivalités entre
les entreprises et les pays. Des cyber-armes sont aujourd’hui utilisées contre les entreprises
publiques ou privées sur un terrain de guerre mondiale via les réseaux connectés avec des
technologies puissantes, innovantes et des méthodes proches de celles développées pendant la
guerre froide. Pour répondre à cette cyberguerre, deux rôles complémentaires doivent
s’entraider au sein des entreprises.

Le Directeur de la Cyber-sécurité ou CISO (Chief Information Security Officer) est l’un de

ces nouveaux postes dont le rôle est de protéger l’information dans l’ensemble de
l’écosystème de l’entreprise. Ce rôle est en relation avec, s’il en existe un, celui de Directeur
de la Sécurité ou CSO (Chief Security Officer) dont l’objectif est, quant à lui, de s’assurer de
la protection physique des employés : il intègre la notion de sûreté (« safety » en Anglais). La
protection des données à caractère personnel est désormais dévolue aux Data Protection
Officer (DPO).

D’où la nécessité de définir qui fait quoi et organiser la coopération entre ces différents
acteurs.

Des prérogatives qui se recoupent

Le CSO est amené à prendre en charge la sécurité des accès aux locaux, y compris les accès
réservés aux lieux sensibles ; c’est-à-dire ceux contenant des informations classifiées
(confidentielles ou hautement sensibles). En cas de perte de ces dernières, l’évolution de
l’entreprise peut être impactée négativement.

Cette fonction du CSO couvre aussi l’espace de travail. Il doit faire appliquer les
recommandations décrites à la fois dans la charte informatique et la politique de sécurité de
l’information : laisser son poste de travail fermé en cas d’absence, vider les espaces non
surveillés de documents sensibles, etc. Cela concerne notamment les espaces de coworking
(salle de réunion ou open-space), mais aussi les locaux d’impressions qui doivent être équipés
de broyeur de papier et exempts de papiers classifiés.

L’autre domaine important de coopération est une activité qui est peu souvent évoquée. Il
s’agit des investigations à l’encontre d’employés qui auraient commis une malversation. Cette
action est parfois l’objet de tensions entre protagonistes de culture différente. Le rôle du CISO
sera alors de s’assurer que l’investigation s’effectue en conformité avec la charte informatique
et la loi française qui définit les règles de protection de l’employé et de ses données
personnelles ; données qui auraient pu être stockées sur l’ordinateur professionnel de
l’employé. Il est évident que des traces de fraudes (majoritairement à l’origine de la procédure
de licenciement) peuvent avoir été cachées par ce dernier sur son poste de travail et il faut
souvent recourir à un expert technique pour les retrouver ; cette action sera plutôt de la
responsabilité du CISO qui maitrise bien les aspects techniques d’une telle investigation.

Des cadres juridiques à respecter

De fait, cette inspection du poste de travail et d’autres données potentiellement hébergées sur
des serveurs de l’entreprise doit se faire en respectant la loi de manière à ce que ces preuves
soient opposables devant un tribunal en cas de recours au Conseil des prud’hommes par
l’employé incriminé. Seul un auditeur assermenté auprès d’un tribunal – ou non assermenté
mais associé à un huissier de justice présent lors de l’investigation – pourra attester de
l’origine et de l’intégrité des preuves remises aux tribunaux. Au sein du CESIN, nous
recommandons que le CISO identifie à l’avance cet expert judiciaire qui aura à intervenir.
Pour anticiper ces cas d’inspection, il est donc souhaitable de préparer un contrat type avec un
auditeur assermenté(1), externe de préférence (pour limiter les risques de fuite dans
l’entreprise), d’éviter de faire cette action dans l’urgence et de bien respecter les étapes d’une
procédure écrite au préalable par le CISO et validée par les RH et le CSO.

Une entraide salutaire

Par ailleurs, il s’avère nécessaire pour la profession de CSO d’utiliser des technologies qui
s’appuient fortement sur des solutions informatiques puissantes, comportant parfois des
moteurs d’analyse de données. C’est le cas, par exemple, des solutions de gestion de badges
intelligents(2) ou de solutions qui analysent les images de vidéosurveillance et permettent, à
l’aide de la reconnaissance visuelle, de détecter les comportements suspects car différents de
ceux habituels des salariés(3). Il est impératif que le CSO s’appuie sur l’expertise du CISO
pour s’assurer que d’une part, l’installation de ces technologies est conforme à la loi française
et la réglementation Européenne(4) ainsi qu’à la charte informatique, et d’autre part, que ces
installations sont faites en toute transparence vis-à-vis des employés et en particulier auprès
des Instances Représentatives du Personnel, pour éviter tous les problèmes qui pourraient
prendre une grande importance et nuire à l’image de l’entreprise. Le recours au CISO
permettra aussi de s’assurer de la mise en place de solutions qui s’assureront de l’intégrité des
données et des accès à ces données classifiées ; ceci aussi en accord avec les Ressources
Humaines.

On le voit encore, le rôle transversal du CISO est important mais il doit se mettre en capacité
de coopérer avec le CSO de façon constructive. Ils pourront ensemble mieux comprendre les
risques à l’encontre de l’entreprise dans un monde de cyberguerre froide. CISO et CSO sont
donc deux domaines complémentaires et leur coopération est essentielle pour apporter de la
valeur dans la protection de l’information de l’entreprise.

Tribune de Michel Juvin, membre du CESIN

(1) Ou un auditeur non assermenté mais associé à un huissier
(2) Mise en place de zones sensibles, d’accès réglementé ou encore de sas à passage unique, …
(3) Analyse comportementale (UBA : User Behavior Analytic) permettant d’anticiper une situation à risque pour l’entreprise.
(4) GDPR ou règlement Européen de protection des données personnelles