Consultant en Sécurité des Systèmes d’Information (SSI) chez Digitemis, Alexandre Baligand intervient auprès des organisations en tant que RSSI externe. Il détaille dans cet entretien à la fois les missions, les compétences attendues et le périmètre d’action du RSSI externe. Il rappelle également l’utilité pour une entreprise d’externaliser la fonction de RSSI. Les bénéfices qui découlent de la présence d’un RSSI externe dans une entreprise sont nombreux : neutralité, hauteur de vue, compétence, expérience, performance et surtout in fine cyber-résilience augmentée.
Alexandre Baligand (consultant SSI) : « Disposer d’un RSSI externe, c’est pouvoir compter sur un expert compétent et performant »
Les questions posées à Alexandre Baligand (consultant SSI) :
1. Peux-tu nous parler de ta formation et de ton parcours professionnel ?
Alexandre Baligand : « J’ai suivi un BTS informatique en alternance en 2008, avant de fonder et de diriger durant deux ans une entreprise dans le web, qui a plutôt bien marché. J’ai ensuite intégré le monde des Entreprises de Services du Numérique (ESN) à différents postes : j’ai débuté en tant qu’ingénieur en développement puis je suis devenu consultant et architecte spécialiste Microsoft. Ces dernières années, du fait de la demande du marché, de la menace grandissante et d’une prise de conscience de l’interconnexion des solutions, j’ai développé une sensibilité à la cybersécurité. J’ai d’ailleurs obtenu un master en sécurité digitale et cybersécurité à Rennes en 2021, avant d’être recruté par Digitemis quelques mois plus tard ».
2. Quelle est ta définition de la fonction de RSSI ?
Alexandre Baligand : « La mission principale d’un RSSI est de préserver l’entreprise des risques cyber et plus particulièrement de manager ces risques dans l’ensemble d’une entreprise ou d’un groupe« .
3. Quelles sont les qualités à attendre d’un RSSI ?
Alexandre Baligand : « Le métier de RSSI est un métier de convictions. Il faut convaincre ses interlocuteurs et savoir négocier. Cela passe par beaucoup d’échanges et de temps passé avec les responsables de services (comptabilité, commerce, communication…) et en premier lieu la DSI et la direction. L’objectif est de comprendre ce qu’ils font et comment ils travaillent au quotidien pour factualiser au mieux les risques, on s’appuie évidemment sur les audits et analyses de risques pour avancer dans le bon sens. Le sujet de la cybersécurité doit imprégner tous les services et pas uniquement la DSI, c’est un sujet d’entreprise. Les RSSI doivent être les initiateurs de la prise de conscience et trouver les clés dans chaque direction pour la déclencher. »
4. Quelles sont tes missions de RSSI externe ?
Alexandre Baligand : « Les missions de RSSI externe sont aléatoires et vastes, elles dépendent des attentes du client : ça peut aller du simple suivi d’un plan d’actions cyber à la mise en place d’une Politique de Sécurité du Système d’Information (PSSI) pour rassurer des clients. D’autres entreprises plus matures en matière de cybersécurité demandent un programme cyber complet. Ce qui implique un vrai management de de la sécurité : une roadmap, un pilotage de la stratégie au quotidien, le management des équipes et des prestataires cyber. Une grande partie des missions de RSSI externe consiste à évangéliser l’ensemble de l’entreprise sur les sujets cyber. Mes interlocuteurs au sein de l’écosystème d’une entreprise sont divers et nombreux : direction, salariés, DPO, DSI, DRH, Directions métiers, fournisseurs, prestataires, clients… »
5. Quelle est la clé pour construire une Politique de Sécurité du Système d’Information (PSSI) efficace ?
Alexandre Baligand : « La clé d’une PSSI efficace est de posséder la bonne lettre de mission signée par la direction d’entreprise. La PSSI matérialise la sensibilité et l’engagement de la direction en matière de cybersécurité. Pour un RSSI, cela signifie qu’il peut compter sur l’implication de la direction sur le sujet de la cybersécurité. On obtient, dans un second temps, l’implication des autres interlocuteurs de l’entreprise soit par le biais du relationnel, soit en leur faisant signer cette PSSI. Le RSSI doit faire preuve de pragmatisme et être bon communicant pour convaincre les responsables de services. Ne pas oublier que l’objectif de la PSSI est d’être applicable et appliquée. »
6. À quel type d’entreprise s’adresse la prestation de RSSI externe ?
Alexandre Baligand : « L’externalisation de la fonction de RSSI s’adresse à des entreprises qui souhaitent réellement disposer d’une stratégie cyber et la piloter. Ce n’est pas adapté à une entreprise qui souhaite juste définir et mettre en place une PSSI, pour cela il existe des missions ponctuelles. L’externalisation d’un RSSI implique une vraie réflexion sur les enjeux et les moyens qu’on lui fournira. Disposer d’un RSSI externe, c’est se donner les moyens de compter sur un expert compétent et formé pour traiter un sujet d’ampleur. Si une entreprise désire un retour sur investissement concernant la prestation de RSSI externe, elle doit mener un programme cyber sérieux et le plus performant possible. C’est tout l’atout de cette prestation de RSSI externe : il est possible d’aller chercher de la performance, de trouver le bon interlocuteur qui conviendra à l’entreprise. »
7. Qu’apporte un RSSI externe à une entreprise ?
Alexandre Baligand : « Le RSSI externe apporte un œil neuf et compétent sur la stratégie cyber à mener. La cybersécurité est un domaine qui réclame de la hauteur de vue et de la neutralité : un DSI ne peut pas mener un programme cyber efficacement parce qu’il mettra dans la balance son propre budget et ses objectifs, systématiquement différents de la cybersécurité. La cybersécurité n’est pas le cœur de métier des services d’une entreprise, alors que c’est celui d’un RSSI : il est en mesure de la gérer, de la rendre plus performante. Son but est de rendre résiliente l’entreprise sur les risques cyber. Il mènera le programme cyber avec toute compétence en collaboration avec une équipe d’experts. Chez Digitemis, nous possédons de l’expérience et des retours de terrain variés, une approche orientée sur la performance ainsi que des méthodes qui sont extraites des normes ISO 27001 ou des analyses de risques de type EBIOS RM. Nos méthodes offrent aux entreprises des cadres de maîtrise du risque cyber. »
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?