Category
🤖
TechnologieTranscription
00:00Bienvenue à tous, merci d'être présents pour ce webinaire de juin.
00:05Je vous donne d'abord les modalités du webinaire, il est enregistré,
00:10vous avez vos caméras et micros désactivés, mais vous pouvez poser vos questions dans le chat.
00:15On répondra aux questions plus tôt, vers la fin du webinaire.
00:20Vous retrouverez ensuite la rediffusion de ce webinaire sur notre chaîne Dailymotion.
00:25Je vous enverrai à tous un mail à la fin du webinaire, dans les prochains jours,
00:30avec le lien vers la rediffusion.
00:33Pour ceux qui ne connaissent pas encore le CSIRT ou le Centre Régional de Cybersécurité Bourgogne-Franche-Comté,
00:40on est un centre de réponse aux incidents cyber qui s'adresse aux collectivités,
00:47établissements publics, PME, ETI et associations de Bourgogne-Franche-Comté.
00:52On a trois missions principales, la réponse à l'incident, l'alerte et la sensibilisation,
00:59avec le référentiel des acteurs cyber en Bourgogne-Franche-Comté,
01:02d'où notre webinaire d'aujourd'hui, qui est présenté par Monsieur Dussaut,
01:09que je vais laisser se présenter et vous laisser la main pour votre présentation.
01:18Je vais commencer par ça, comme ça.
01:27Normalement c'est bon, vous voyez la slide ?
01:30Oui, c'est tout bon.
01:32Ok, parfait.
01:33Je suis David Dussaut, je suis le créateur et le gérant de Serenetic,
01:40une entreprise bonoise que j'ai fondée en 2008.
01:44On gère historiquement toute ou partie de l'informatique pour tout type de clients,
01:50des PME principalement.
01:54En fin 2021, j'ai changé un peu de concept,
01:59j'ai décidé de m'engager plus fortement auprès de mes clients
02:03en adaptant un fonctionnement style médecine chinoise.
02:08Vous êtes en bonne santé parce qu'on s'occupe de vous régulièrement,
02:13sans que vous n'ayez rien à demander.
02:16Donc ça a changé pas mal de choses chez nous,
02:19et puis forcément les clients aussi avec qui on travaille.
02:23Du coup, dans ce fonctionnement-là, il y a beaucoup d'interactions avec les dirigeants,
02:31et ils sont en général tous impliqués dans la cybersécurité,
02:36et plus largement dans le bon fonctionnement de leur entreprise,
02:41donc de l'informatique.
02:43Ce que je voulais vous partager aujourd'hui,
02:46c'est l'expérience que j'ai sur toutes ces années là-dessus,
02:50et puis comment faire pour avoir ces échanges-là avec la direction.
02:59L'état des lieux
03:03L'état des lieux, en général, les dirigeants aujourd'hui,
03:12quand on les rencontre, c'est plutôt dans notre phase de prospection,
03:17il y en a une partie qui réagit un peu comme ce que vous voyez à l'écran,
03:22ils n'ont jamais eu de mauvaise expérience,
03:25donc ils se disent pourquoi changer les choses,
03:29on est très bien comme ça aujourd'hui.
03:35Il faut être une entreprise technologique, en effet,
03:38on est dans l'industrie, on n'a pas besoin de tout ça,
03:43tant que notre logistique va bien, la production,
03:48on n'a pas forcément le lien avec l'informatique derrière.
03:54Et puis si jamais ils se disent qu'ils perdent quelque chose,
03:58il y a un comportement qu'on retrouve assez régulièrement,
04:03qui est le fait de dire, le feu a pris, il faut l'éteindre,
04:07on va l'éteindre, on attend que le feu prenne.
04:12Par exemple, le fait de ne pas se sentir concerné,
04:16de croire que ça arrive toujours aux autres,
04:20principalement aux grosses entreprises,
04:23c'est souvent la croyance qu'on rencontre,
04:26et qu'au vu de l'activité qu'on a,
04:29il n'y a aucune raison de revoir sa politique de sécurité
04:34et de gestion de l'informatique.
04:36Et puis aussi, il y a l'aspect, ça rejoint un peu le point,
04:41on a quelque chose, on a l'impression que ça suffit,
04:46mais on ne fait rien pour le vérifier régulièrement,
04:50et on reste un peu sur les acquis.
04:55Ce qui n'aide pas là-dedans, c'est le discours,
05:00qui est servi par les prestataires informatiques,
05:06comme moi, par les équipes internes ou les DSI,
05:11ou des fois les fournisseurs de matériel informatique.
05:15Ça discute technique, ça va très loin dans le sujet,
05:20donc dans l'informatique,
05:23mais le parallèle avec l'activité,
05:27ce que ça amène en termes positifs est rarement fait,
05:32et c'est une histoire de les vulgariser, on va dire,
05:38et de faire des parallèles pour pouvoir aider
05:42ceux qui prennent les décisions de se rendre compte.
05:47Puisqu'il y a plein de belles choses, bien sûr,
05:50mais comment ça aide l'entreprise à avancer,
05:54à gagner des clients, à les conserver,
05:58peu importe l'objectif que les directions ont,
06:02l'informatique doit être au service du business en somme.
06:08Voilà ce lien entre la continuité d'utilisation de l'informatique,
06:14qui demande à ce qu'elle soit sécurisée, en bon état, etc.,
06:19et le business, ce lien est vraiment difficile d'être fait.
06:24Les intérêts, les défis, c'est ça,
06:30c'est côté entreprise à gauche, côté droite IT,
06:37comment tous ces deux mondes-là arrivent à discuter,
06:42comment est-ce qu'on tire des traits entre tout ça,
06:46et que ça puisse avancer dans le sens qu'il faut.
06:52Il faut que l'informatique soit au service des préoccupations
06:56et des problèmes de l'entreprise, et pas à l'inverse,
07:00il ne faut pas avoir l'impression que l'informatique freine,
07:04ou nous ne sert à rien, qu'il n'y ait pas de valeur perçue,
07:08il y en a toujours une, mais il faut bien s'atteler à tout ça,
07:13et ça c'est notre rôle à nous, tous ceux qui sont dans l'IT,
07:19de raccrocher les wagons là-dessus.
07:23Donc le plan que je vous propose par rapport à ça,
07:27c'est d'abord de réinstaurer le dialogue,
07:30il est peut-être toujours là, mais en tout cas de l'élever,
07:35de ne plus parler d'antivirus, de pare-feu,
07:39mais de vraiment s'intéresser à ce que l'entreprise fait,
07:44aux volontés des dirigeants, et ça le voir plusieurs fois dans l'année,
07:49il ne s'agit pas de le voir qu'une seule fois,
07:53ce rythme s'adapte en fonction du dynamisme de l'entreprise,
07:57mais dans l'idéal au moins une fois tous les trimestres,
08:01passer en rue tous les projets, tout ce qui a marché, pas marché,
08:06prendre un peu de temps, principalement être dans l'écoute,
08:11et puis de ça, si ce n'est pas fait aujourd'hui,
08:15ça c'est l'étape 1 qui est quand même le socle,
08:18qui va être de comprendre le flux de données,
08:22donc identifier ce qui a la plus haute valeur dans l'entreprise,
08:26les systèmes, les données, les processus qui stimulent,
08:31qui soutiennent les fonctions de revenus, la croissance, etc.,
08:36saisir l'aspect le plus critique dans l'environnement numérique,
08:42pour maintenir le fonctionnement de l'entreprise.
08:46C'est que en questionnant le dirigeant, le RH, le DAF, les chefs de service,
08:53c'est pour ça que je vous parlais de réinstaurer le dialogue,
08:56c'est vraiment comme ça, en se mettant dans leur basket,
08:59qu'on peut arriver à mettre le doigt là où il faut
09:03pour que toute l'entreprise continue de fonctionner.
09:06Les fonctions commerciales, critiques, comment est-ce qu'elle gagne de l'argent,
09:11cartographier le processus métier, les flux de données,
09:18les sources et les destinations, où elles sont créées,
09:22comment elles sont stockées, traitées, comment elles sont transmises dans chaque processus.
09:28C'est découvrir, hiérarchiser les risques commerciaux.
09:35En deuxième temps, une fois que vous avez capté toutes ces informations,
09:40vous y avez mis de l'ordre, vous vous êtes bien approprié, c'est clair pour vous,
09:46il faut concevoir un plan qui donne la priorité à la protection du profit,
09:52à l'érosion de la marge, et ça en protégeant les systèmes
09:56avec une stratégie d'atténuation des risques.
09:59C'est comme ça qu'on tire la meilleure partie du budget de sécurité.
10:04On protège un euro, on gagne un euro de chiffre d'affaires forcément.
10:10Troisième étape, c'est d'extraire ces informations,
10:18on les utilise aussi pour créer le plan de réponse aux incidents,
10:23pour le rendre plus efficace.
10:26L'idée, c'est que l'organisation soit viable à long terme,
10:31et non pas si ou quand il y aura une cyberattaque,
10:35parce qu'il y en aura forcément une, donc il faut être prêt.
10:39En comprenant les systèmes de l'entreprise les plus critiques,
10:44comment ils génèrent du revenu,
10:48ça permettra de mettre le doigt sur les efforts de reprise,
10:53de permettre à l'entreprise de se remettre sur pied, bien sûr, rapidement.
10:57Après, il y a les attaques, mais il y a tout le reste aussi,
11:02il peut y avoir une dysfonction, un manque de puissance,
11:06on peut le voir venir en étant, comme je le disais tout à l'heure,
11:10un peu dans la posture médecine chinoise,
11:13avoir cette vision de dézoomer complètement,
11:18et l'idée de se voir régulièrement, ça va être ça,
11:22d'être plus résilient à la fin.
11:26Voilà, pour ce point-là.
11:33Conclusion que je fais par rapport à tout ça,
11:37c'est que les dirigeants sont responsables de l'informatique dans l'entreprise,
11:43comme plein d'autres sujets.
11:45Il est vrai qu'il est rarement pris à bras-le-corps,
11:49ils y accordent peu d'intérêt, ou alors par manque de connaissances,
11:54par manque d'échanges, je veux dire,
11:58à nous d'arriver à capter leur attention,
12:02pour qu'ils se rendent compte que ça sert à leurs intérêts.
12:08Et donc, pour qu'ils puissent s'en emparer et piloter,
12:13on doit, en plus de tout ce que je viens de dire là,
12:17faire des analogies, peut-être mettre des tableaux de bord aussi,
12:21pour qu'ils se rendent compte visuellement un peu des choses.
12:25Tous les autres parties prenantes, on va dire, dans l'entreprise,
12:30DAF, RH, responsables de services,
12:33grâce à eux, on peut arriver à mesurer un retour sur investissement.
12:37C'est quelque chose aussi, je pense, qui plaît, on va dire, en général,
12:42quand on le fait.
12:44Donc, échanger plusieurs fois, ça je vous l'ai dit tout à l'heure,
12:48c'est en lien avec les objectifs de performance, de commerce,
12:51tout dépend de ce qui drive la direction.
12:55Et puis, ça permet même aussi de dépasser, dans certains cas,
12:59il y a certains métiers qui ont plein de conformités, d'obligations.
13:04Donc là, ça permet en effet d'ouvrir de nouveaux marchés,
13:09on peut faire vraiment plein de choses.
13:13Tout ça doit pas être... c'est continu, en fait, tout ce travail-là,
13:18bien sûr, c'est pas... on fait un audit, un inventaire,
13:23on met tout ça à plat, on crée un plan, et puis c'est bon.
13:28Tout ça, ça doit être dynamique.
13:31Forcément, s'adapter sur ce que vous allez vouloir faire.
13:36Et puis aussi, avoir une analyse des risques en temps réel,
13:40puisqu'il s'agit pour nous, en tout cas, de gérer le risque,
13:44et de vous le présenter, de vous dire, voilà les risques, c'est ça,
13:48ce qu'on l'atténue, ce qu'on ne l'atténue pas.
13:51Après, c'est entre les mains des dirigeants.
13:54Et en faisant ça, c'est un cercle vertueux,
13:57et puis en général, les entreprises derrière sont compétitives,
14:01performantes, et durent dans le temps.
14:06Voilà, pour la présentation du sujet.
14:11Je suis à votre écoute, bien sûr, si vous avez des questions.
14:15Bien, merci beaucoup pour votre présentation.
14:18C'est le moment des questions, si vous en avez.
14:22Il n'y en a pas encore eu de poser.
14:30Mais oui, en résumé, la direction aime beaucoup les chiffres,
14:33donc il faut plutôt leur donner des éléments visuels.
14:41Oui, c'est vraiment s'adapter, c'est entamer la conversation avec eux,
14:45c'est comprendre ce qu'il est Drive.
14:48Voilà, on est des êtres humains, on ne se ressemble pas.
14:51Mais en effet, après, un dirigeant va peut-être plus vouloir avoir des chiffres
14:56en relation avec son activité,
14:59parce que nous, dans notre métier, des chiffres, on en montre plein.
15:02Les menaces, les cibles, la performance, il n'y a pas de souci.
15:06Mais ça, finalement, ce n'est pas ça.
15:10Certains qui sont un peu technophiles vont peut-être vouloir jeter un coup d'œil,
15:13mais à mon sens, il ne faut pas avoir que ça.
15:18Si c'est demandé, il n'y a pas de souci, mais il faut qu'il y ait le reste.
15:26A priori, pas de questions, c'était très clair.
15:29Eh bien, j'ai fait court aussi pour ne pas...
15:36C'était à l'essentiel.
15:38À l'essentiel, oui.
15:40Voilà.
15:41Comme il faut y aller avec les dirigeants finalement aussi.
15:44Oui, c'est vrai.
15:46C'est vrai que c'est quelque chose qu'il faut garder en tête,
15:51puisqu'ils ont rarement le temps, quand même, ils sont beaucoup pris.
15:56Et même si avec les années, en général, on m'accorde de plus en plus de temps,
16:02par exemple, mais vraiment, c'est quelque chose qui se fait sur le temps.
16:06Et au début, ça va être le plus dur,
16:09ça va être de comprendre vraiment ce qui peut les attirer
16:14et d'essayer d'être très concis.
16:19Eh bien, je crois qu'il n'y a vraiment pas de questions du tout.
16:24Merci à vous, David, pour cette présentation
16:29et d'avoir accepté notre invitation.
16:32Et puis, merci à tous les participants d'avoir répondu présent.
16:38Comme je vous l'ai dit au début, je vous enverrai à la suite de ce webinaire
16:43le lien vers la rediffusion qui sera sur Dailymotion.
16:47Et puis, je vous mets aussi dans le chat l'agenda des événements
16:51Brun-Franche-Comté qui est disponible sur le site du CISRT.
16:54Et puis, nous, on se retrouvera pour un webinaire en septembre.
16:58On fait une petite pause estivale et on se retrouve en septembre.
17:02Merci beaucoup à tous.
17:05Merci, bonne journée.
17:07Au revoir.