A l’heure où la cybersécurité
fait quotidiennement les titres de l’actualité, les collectivités territoriales,
au même titre que le secteur privé, représentent une cible de choix pour les pirates informatiques. Quelle démarche doivent-elles initier pour se protéger et sécuriser
durablement leurs systèmes d’information ? Le point avec Jérôme LEBEGUE,
responsable des activités Audit & Conseil chez AMOSSYS.
Vous êtes responsable
des activités Audit & Conseil chez Amossys. Quelles sont les problématiques
de cybersécurité pour lesquelles vos clients du secteur public vous sollicitent
le plus ?
Les sollicitations tournent actuellement autour de trois
principales thématiques :
- Le réglementaire ; que l’on
soit sur le RGPD qui concerne tout le monde ou sur des problématiques
d’homologation de systèmes pour les Organismes d’Importance Vitale (OIV).
- Les audits techniques des
plateformes exposées. De plus en plus d’acteurs prennent conscience de l’impact
en termes d’image mais aussi en termes juridique si le service exploite des
données personnelles notamment.
- Les audits internes ;
parfois après un incident parfois après la nomination d’un nouveau RSSI qui
souhaite avoir un état des lieux de ses systèmes.
Globalement, on constate une prise de conscience de plus en
plus forte sur le fait que la cybersécurité est un METIER à part entière. Les organisations
font de moins en moins une confiance aveugle à leurs fournisseurs sur les
aspects cyber.
Quelle démarche leur conseillez-vous d’adopter pour se prémunir des
risques spécifiques auxquels ils s’exposent ?
Anticiper ! Plus la sécurité sera prise en compte tôt,
moins elle coûtera : c’est aussi simple que cela.
De quelle manière Amossys peut-elle accompagner les acteurs publics ?
De par son expertise et son
ancienneté dans le domaine, AMOSSYS est en capacité d’intervenir sur un large
panel d’activités. Nous pouvons par exemple apporter notre expertise sous forme
de conseil dans le cadre d’une organisation SSI qui se met en place ou lors d'une refonte.
Nous pouvons également accompagner
les décideurs dans leurs problématiques cybersécurité sur les choix et les
arbitrages à mener. Dans le cadre de projets plus globaux, nous pouvons
intervenir à chaque étape du cycle, depuis la conception du produit jusqu’à la
recette sécurité.
Enfin, nous réalisons des
prestations de sensibilisation et de formation des équipes (architectes,
administrateurs, développeurs) afin qu’ils soient armés pour faire face au
risque cyber.
Pouvez-vous illustrer par
quelques exemples ?
AMOSSYS adapte ses prestations d’accompagnement
à la structure concernée. Nous sommes par exemple intervenus au sein de Communautés
de Communes dans le cadre d’un premier état des lieux de sécurité (en incluant
la thématique RGPD).
De la même façon, le cadre
réglementaire renforcé pour les OIV avec la Loi de Programmation Militaire
(LPM) nous a amené à renforcer nos interventions auprès de ces clients, avec
des niveaux de maturités très variables. En tant que Prestataire d’Audit de la Sécurité
des Systèmes d’Information - LPM (PASSI-LPM), AMOSSYS est un acteur de choix pour
ces thématiques et nous intervenons autant sur les phases d’accompagnement en amont,
d’assistance à homologation que dans les phases d’audit de sécurité.