single

     

Processus d'externalisation vers le Cloud au sein du groupe EDF

image_digital-strategy_article_corps_501

Au sein du groupe EDF, les externalisations vers le Cloud se font dans un cadre strict, selon une diversité de critères dont la sécurité est une composante essentielle.

ITW : Olivier Ligneul, Vice-Président CISO & CTO, chez CESIN / EDF

QUEL ROLE LE RSSI JOUE-T-IL DANS L'EXTERNALISATION VERS LE CLOUD ?

Les RSSI membres du CESIN, se sont fixés comme objectif de n'externaliser dans le Cloud que ce qui est parfaitement maîtrisé, d'un point de vue de la sécurité, mais pas seulement : la maîtrise des enjeux opérationnels et légaux est, elle aussi, absolument essentielle. Ainsi, les différentes options d'externalisations sont étudiées de manière à prendre nos décisions en toute confiance.

VOTRE PERIMETRE ELARGI VOUS FAIT-IL ABORDER LA CYBERSECURITE DIFFEREMMENT ?

Etant personnellement RSSI en même temps que CTO ; j'ai en charge simultanément des actions dans le domaine de la gouvernance technique et de la sécurité. Avec ce type de double rôle, il est important de s'assurer que les décisions soient bien réalistes et déployables dans le cadre de la vie en entreprise. Le RSSI est souvent également expert et interagit avec différents domaines d'expertise. Cela permet, à mon sens, de prendre du recul par rapport aux différents enjeux qui peuvent se poser à nous.

COMMENT L'APPLIQUEZ-VOUS AU SUJET DU CLOUD ?

L'enjeu, c'est d'être en capacité de pouvoir externaliser des fonctions dont on sait que les conséquences métiers ne seront pas problématiques. Le deuxième enjeu, c'est d'avoir une certaine urbanisation et non une duplication de différents services de divers fournisseurs qui entreraient en concurrence les uns avec les autres. Au final, il est recommandé d'externaliser les éléments qui présentent un intérêt fonctionnel mais en cohérence et en convergence, d'une manière acceptable du point de vue de la maîtrise des risques.

AVEC QUELLE GOUVERNANCE EFFECTUEZ-VOUS CES ARBITRAGES ?

Au niveau des entreprises avec des structures complexes, il est recommandé de dédier des équipes sur la partie sécurité, mais également sur la partie "politique" au titre du Cloud et de l'urbanisation. En outre, il est important de se doter d'organes de gouvernance de maîtrise d'ouvrage qui instruisent les dossiers sur les aspects techniques, économiques, sécuritaires. Enfin, des instances formelles de commission permettent de valider ou non l'externalisation de chaque solution. Autour de ces organes de gouvernance, lorsque les interactions avec les systèmes internes sont fortes ou lorsque les systèmes externalisés se trouvent sur plusieurs opérateurs de Cloud et doivent interopérer les uns vis-à-vis des autres, il devient nécessaire de faire appel à des comités d'architecture.

CE PROCESS DE VALIDATION EST-IL INCONTOURNABLE ?

Il me semble fondamental de se doter d'organes en charge de la validation de la capacité à externaliser. La direction des achats peut également jouer un rôle en n'autorisant pas l'achat d'une solution tant qu'il n'a pas cette validation.

COMMENT CELA IMPACTE-T-IL LE ROLE DU RSSI ?

Le RSSI est le gardien du temple. Il doit s'appuyer sur les bonnes expertises, techniques, juridiques, organisationnelles, achats et doit prendre des décisions qui ne sont pas contradictoires à l'avis de l'ensemble des membres. Du point de vue des métiers, cette situation peut être perçue de deux manières. Soit comme une revue de sécurité, pour challenger son approche sécurité dans ses choix d'aller vers des solutions Cloud Computing.

Deuxième option, voir le passage devant l'organe comme un label qui certifie d'un certain niveau de maîtrise technique, opérationnelle et sécuritaire. Cette démarche permet aussi de ne pas céder à une pression unique de la tête de métier qui a besoin de rendre rapidement des services et qui pourrait, de ce fait, être tentée de faire abstraction de certains risques, cyber mais aussi techniques et opérationnels.

LA RAPIDITE EST-ELLE UN ENNEMI DE LA CYBERSECURITE ?

Il ne faut pas le voir ainsi. Le besoin de rapidité doit intégrer une mise en ?uvre de la cybersécurité rapide. Il est aberrant de penser que la cybersécurité est quelque chose qui se rajoute. On parle de cybersécurité "by design". Dans la pratique, cela veut dire qu'elle est partie intégrante de la fonction que l'on veut opérer. On attend tous d'une application développée dans le cadre d'une action métier qu'elle soit sécurisée. De la même manière, techniquement, on attend d'une application hébergée dans le Cloud qu'elle soit résiliente et qu'elle ne soit pas "bavarde" ! L'opérateur du Cloud ou l'application est hébergée ne doit pas avoir accès aux informations qui y sont rattachées.

DANS CETTE APPROCHE, LA CYBERDEFENSE NE SE CONTENTE PLUS D'ETRE REACTIVE...

Une fois qu'on a dit cela, effectivement, le RSSI n'est plus seulement un conseil, un garant ou un vérificateur, mais un accompagnateur. A partir du moment ou il prend une part active au sein d'un organe pluridisciplinaire, il devient un partenaire des métiers. Le RSSI membre du Comex, cela n'aurait pas de sens, mais le RSSI régulièrement invité pour y jouer un rôle d'éclaireur, voilà qui permet de faire vivre cette notion de partenariat et de confiance mutuelle.

Pour consulter l'ensemble de l'ouvrage, cliquer ici