Cet article est le compte-rendu du webinar que nous avons réalisé avec Arnaud Sobczak, Head of Cybersecurity chez Anywr. Anywr propose un service RH 360° digitalisé, allant de la recherche de Talents dans le monde entier à l'accompagnement de leur mobilité et de leur formation. Anywr c’est aussi 20M€ levés, 4000 clients dont 15% du Fortune 500, et 800 employés de 27 nationalités.
Cette trajectoire impressionnante sur les 5 continents s’accompagne aussi de défis technologiques, et évidemment, des enjeux de cybersécurité croissants. C’est dans ce contexte qu’Arnaud a été nommé pour être le 1er RSSI d’Anywr en début d’année 2023.
Nous avons pu l'interviewer dans le cadre d'un retour d'expérience interactif, dans lequel il nous a partagé de nombreux conseils. Pour participer au prochain évènement, n'hésitez pas à faire un tour sur notre page d'évènements.
Bonne lecture !
Quel est le parcours d’Arnaud ?
Arnaud, le responsable de la sécurité chez Anywr, a une carrière bien remplie de 15 ans dans le domaine de la sécurité. Avant de rejoindre Anywr il y a cinq mois en tant que premier Responsable de la Sécurité des Systèmes d'Information (RSSI), il a passé plusieurs années en tant que Head of Cyber.
Que fait Anywr ?
Acteur majeur de la mobilité internationale, Anywr a pour vocation de faciliter la mise à disposition de talents étrangers. L'entreprise propose des solutions adaptées à tous les modes de travail, qu'ils soient en remote ou en présentiel. En raison de sa mission, des données confidentielles et d'identité circulent en permanence sur sa plateforme, ce qui souligne l'importance cruciale de la sécurité.
Anywr compte actuellement 800 employés et a permis la mobilité de 50 000 talents. Son histoire complexe de fusions-acquisitions a conduit à une grande hétérogénéité des systèmes utilisés, un défi non négligeable pour la sécurité de l'information.
Quelle est la première chose à faire en tant que nouveau RSSI ?
Premier conseil contre-intuitif d’Arnaud : la première tâche n’est pas de lancer un audit de découverte, comme on pourrait s'y attendre. Il faut d’abord prendre le temps de comprendre le business et l'historique de l'entreprise, de cerner son cœur de métier, la manière dont les gens travaillent et le business model.
Pourquoi cette approche ? Selon Arnaud, pour être un véritable facilitateur du business, un RSSI doit comprendre l'entreprise dans son ensemble et ainsi éviter d'être un frein à son développement.
Arnaud souligne également que les mentalités évoluent : les CEO sont de plus en plus conscients de l'importance de la sécurité, et les exigences des clients à cet égard sont en constante augmentation.
Quels ont été ses premiers défis en arrivant chez Anywr ?
En arrivant chez Anywr, Arnaud s'est rapidement confronté à des défis de taille. Il a constaté qu'il y avait une certaine infrastructure de sécurité IT et légale en place, mais pas de sécurité applicative ni de sécurité de plateforme.
Il a ensuite dû évaluer le niveau de culture cyber de l'entreprise : les utilisateurs étaient-ils capables de reconnaître un e-mail de phishing ? Quelle était leur hygiène en matière d'accès ?
Pour répondre à ces questions, il a mené un audit de maturité qui comportait une partie technique de découverte, avec des tests de pénétration et des scans de vulnérabilité, et une partie plus orientée utilisateur, avec des discussions pour évaluer le niveau de culture cyber.
Une autres des premières initiatives d'Arnaud a été de collaborer étroitement avec l'équipe juridique sur la partie Data Privacy, qui était déjà bien gérée d'un point de vue audit. Cependant, la gestion technique de ce volet était absente.
Le défi était donc de créer un socle solide permettant à l'entreprise d'être en conformité avec les différentes législations, en tenant compte des spécificités régionales et des divergences législatives entre les pays. Par exemple, le RGPD n’est valide qu’en Europe, et ne s'applique pas partout de la même manière.
Comment mettre en place un socle commun de sécurité ?
La mise en place d'un socle commun de sécurité est un processus rigoureux qui a commencé par des réunions de travail et la production d'un premier livrable au sein de l'application.
Arnaud et son équipe ont ensuite mis en place une feuille de route, et créé à la fois de la documentation interne et externe. La création d'une Politique de Sécurité des Systèmes d'Information (PSSI) est une étape importante pour démontrer sa maturité, mais Arnaud souligne qu'il ne faut pas y consacrer trop de temps.
“Ne pas avoir de PSSI c’est un manque de maturité, par contre il ne faut pas passer trop de temps sur ça, ce n’est pas le coeur du métier. Il faut trouver l’équilibre entre faire ce qu’on veut démontrer, et démontrer ce qu’on fait.”
La première étape pour créer son corpus, c’est de documenter l'existant. Le reste se fait par itérations, en ajoutant des informations au fur et à mesure. L'enjeu majeur est de rendre cette information accessible à tous les employés. Par exemple, les commerciaux doivent être capables de répondre aux questions des clients concernant la sécurité.
Quelle est la temporalité idéale d’une roadmap ?
Il est plus rentable d’établir une a stratégie de cybersécurité focalisée sur le court à moyen terme, avec une temporalité de 12 à 14 mois au maximum pour leur roadmap. Arnaud est catégorique : il n'est pas productif d'établir une stratégie sur trois ans. La question doit être : Comment établir des process sans mettre de freins à l’activité ?
En effet, présenter au Comité Exécutif une vision à trois ans, susceptible de fluctuer tous les six mois, est une approche contre-productive. Pour Arnaud, il est préférable de ne pas s'auto-saboter.
Côté méthodes, on peut utiliser un diagramme de Gantt pour structurer la stratégie globale, et des listes de tâches pour le suivi des tâches opérationnelles au jour le jour.
Comment aborder le sujet de la sécurité auprès de la direction ?
Paradoxalement, arriver après un incident de sécurité peut être un avantage, même si ce n'était pas le cas pour Aranud à son arrivée chez Anywr.
Le soutien des sponsors est vital pour faire valoir les enjeux de la sécurité : il s'agit de faire correspondre ces enjeux aux contraintes métiers des différentes parties prenantes.
Par exemple, les collaborateurs en lien avec le business comprennent généralement l'intérêt de la sécurité pour justifier leur position vis-à-vis de leurs clients. Cependant, la construction d'une équipe dédiée, l'obtention de ressources et la définition d'une ligne de budget spécifique représentent toujours un défi complexe.
D'autant plus que la sécurité est souvent un poste de dépenses important. Ces aspects nécessitent donc une attention particulière et une communication stratégique efficace au sein de l'entreprise.
Quel est le ROI de la sécurité ?
Estimer le retour sur investissement de la sécurité n'est pas une tâche aisée, notamment parce que cela dépend beaucoup de la culture de l'entreprise. Si une approche structurée de la gestion des risques est déjà en place, le calcul du ROI peut être pertinent. Sinon, l'exercice est peu fructueux.
La stratégie qui fonctionne le mieux, selon Arnaud, est de mettre en avant les gains opérationnels liés à une meilleure sécurité. Par exemple, des processus plus fluides, des temps de réaction réduits en cas d'incident, etc. Plutôt que de tenter de quantifier des risques cyber hypothétiques, il s'agit donc de montrer comment une bonne gestion de la sécurité peut améliorer concrètement le fonctionnement de l'entreprise.
Comment gérer l’hétérogénéité des systèmes d'information ?
L'hétérogénéité des SI, conséquence directe de la croissance externe de Anywr, représente un défi de taille pour la sécurité. Les processus IT liés aux fusions et acquisitions sont efficaces sur le plan de l'infrastructure, mais le véritable enjeu réside dans les différences de pratiques et de cultures.
Arnaud insiste sur l'importance d'éliminer les anciennes pratiques pour favoriser une culture commune de la sécurité. Cela peut passer par des actions concrètes comme le remplacement des fichiers Excel par des outils plus sécurisés. L'objectif est d'éviter de compromettre les systèmes "déjà propres".
Le but est de fournir une base propre à partir de laquelle le reste de l'entreprise peut se développer, en favorisant des pratiques sécurisées.
Comment uniformiser les cultures en interne ?
L'uniformisation des cultures de sécurité en interne est un défi colossal pour Anywr, qui doit être abordé progressivement. Arnaud recommande une approche pragmatique : il est préférable de fournir une solution de substitution qui répond à l'instant au problème de l'utilisateur, même si ce n'est pas la solution finale.
"Mieux vaut fournir une solution de substitution pour résoudre le problème de l’utilisateur, même si on sait que ce n’est pas la solution finale."
Il est crucial de se faire des alliés parmi les collaborateurs et de créer de l'adhésion autour de la politique de sécurité. Arnaud le souligne bien : sans le soutien des employés, la mise en œuvre de la stratégie de sécurité est vouée à l'échec.
Cette approche doit cependant être assortie d'une certaine fermeté. Savoir dire non quand c'est nécessaire est essentiel pour maintenir l'intégrité de la sécurité de l'entreprise.
À cet égard, la visibilité et les compétences en communication sont tout aussi importantes que la technique. Il est essentiel de savoir se mettre en avant, de transmettre clairement les messages de sécurité et de construire des relations de confiance au sein de l'entreprise.
Comment trouver l'équilibre entre fermeté et diplomatie ? Quelques illustrations.
L'une des tâches les plus délicates du travail de RSSI est de savoir quand être ferme et quand être diplomate. Arnaud nous en a donné quelques exemples intéressants :
- Lorsqu'un collaborateur est venu vers lui avec une demande spécifique - "J’ai entendu parler d’ISO 27001, il nous la faut" - Arnaud n'a pas simplement acquiescé ou refusé. Au lieu de cela, il a adopté une approche maïeutique, posant des questions pour comprendre la logique derrière cette demande et aider le collègue à réfléchir à la pertinence de la norme ISO 27001 pour l'entreprise.
- Autre exemple : dissuader le personnel de télécharger des applications professionnelles sur leurs téléphones personnels. Plutôt que d'interdire cela de manière autoritaire, Arnaud travaille à fournir un environnement de travail sécurisé qui rendrait cette pratique inutile. Ils envisagent, par exemple, la mise en place du modèle de sécurité Zero Trust.
- Enfin, Arnaud a mis l'accent sur l'importance de l'éducation pour instaurer une culture de la sécurité au sein de l'entreprise. Ainsi, quand un email de phishing a circulé peu après son arrivée, il l'a utilisé comme une occasion d'apprentissage, créant des chaînes de discussion sur Slack pour sensibiliser l'équipe sur ce type de menaces. En utilisant des exemples concrets, comme l'incident de fuite de données de Voyageur du Monde, Arnaud s'efforce de faire comprendre à tous l'importance de la sécurité.
"Il est crucial que tout le monde, y compris l'équipe technique, soit aligné et travaille dans la même direction."
Les incidents, toujours utiles pour montrer les risques ?
Les incidents de sécurité sont sans aucun doute utiles pour illustrer les risques et sensibiliser à l'importance de la sécurité. Cependant, il met en garde contre le risque de tomber dans une facilité trompeuse : après quelques mois, on ne peut plus utiliser ces incidents comme une excuse pour justifier des manquements en matière de sécurité.
De plus, lors de la communication avec le Comex, ces incidents doivent être présentés avec la plus grande humilité, en insistant sur le fait que la sécurité est un domaine où la modestie est de rigueur. Après tout, un faux pas peut arriver à n'importe qui et il est essentiel de se concentrer sur les leçons à en tirer pour renforcer la résilience de l'entreprise.
Comment gérer les Serial Clickers ou les profils qui ne se sentent pas concernés ?
Il y a toujours des individus qui sont convaincus que la sécurité n'est pas leur problème. Pour ces profils, il est nécessaire de proposer des solutions techniques qui garantissent la sécurité sans nécessiter leur implication directe.
La bonne nouvelle, c'est que les outils actuels permettent de faire face à la plupart des erreurs de comportement basiques. La stratégie de sécurité doit être conçue pour être résiliente face à ces situations.
“Aujourd’hui on dispose de tous les outils pour palier à une erreur d’inattention”
La double utilité d’une équipe sécurité ?
D'une part, l’équipe sécurité agit comme une fonction support pour l'ensemble de l'entreprise, assurant que tout le monde peut travailler de manière sécurisée et efficace. Cela implique la création d'un environnement sûr, la formation et l'éducation sur les questions de sécurité, et l'aide aux employés pour gérer les problèmes de sécurité au fur et à mesure qu'ils surviennent.
D'autre part, elle joue un rôle clé dans le soutien à la croissance de l'entreprise. Elle propose des fonctionnalités et des améliorations qui augmentent non seulement la sécurité, mais aussi l'efficacité opérationnelle et la satisfaction des clients. En d'autres termes, la sécurité n'est pas seulement une mesure défensive - elle est également une force motrice pour l'innovation et le succès commercial.
Conclusion : Les étapes clés pour réussir en tant que 1er RSSI
- Comprendre le fonctionnement de l'entreprise en profondeur
Il est avant tout nécessaire de comprendre profondément l'entreprise et son fonctionnement. Il s'agit d'apprendre à connaître le business, la culture d'entreprise, et la façon dont les gens travaillent. - Auditer le périmètre
Ensuite seulement, effectuer des audits techniques pour comprendre le périmètre de sécurité et identifier les risques immédiats. Arnaud insiste sur l’importance de trouver des sponsors au sein de la direction de l'entreprise pour aider à promouvoir et soutenir les initiatives de sécurité. - Miser sur la communication et la visibilité interne
Mais tout cela n'est que la moitié de l'équation. L'autre moitié, c'est la communication et la visibilité. Il est essentiel que les employés de tous les niveaux comprennent le travail de l'équipe de sécurité et reconnaissent sa valeur. - Déployer sa roadmap à moyen terme
Enfin, il n’y a plus qu’à déployer une feuille de route de sécurité claire et bien définie. Il s'agit de mettre en place une stratégie à court et moyen terme, qui ne se contente pas de réagir aux menaces, mais qui les anticipe et les prévient activement.
Merci à Arnaud pour son témoignage, et aux participants de la séance pour leurs questions !
Ça vous a plu ? N'hésitez pas à faire un tour sur notre page d'évènements pour vous inscrire au prochain webinar.
