IT Radio
Transcription
IT Radio
n°22 – Février 2016 IT R ADIO Bonjour et bienvenue dans cette nouvelle édition d’IT radio. Tout de suite, l’actu de la communauté SI ! IT R ADIO , ACTUALITÉS L’école est finie pour les élèves de la deuxième promotion de l’IS Project Academy ! Le programme de formation s’est achevé en Décembre à Cascais avec la dernière session de cours. Ce 3 février, les élèves ont passé leur examen, dont la réussite est une des conditions de certification et dont les résultats seront connus en mars. Les certifiés auront ainsi acquis de nouvelles compétence fonctionnelles et comportementales indispensables à leur activité de chef de projet SI. Lors de la prochaine promotion, prévue après l’été, l’académie s’élargira en ajoutant un second cursus destiné aux architectes. Nous souhaitons aux futurs élèves beaucoup de succès dans ce parcours ! Pour toute information, contactez Thierry Dargent. Le chantier J+1 SI a été lancé mi-Septembre 2015 afin d’accompagner le Projet d’Entreprise dans la mise en place de la nouvelle organisation du Groupe. Les équipes de la DSI Groupe, de Business Support IT et de la Filière SI ont été mobilisées sur plusieurs chantiers tels que : la mise à jour des systèmes d’identité et des applications du Groupe, la préparation des opérations de déménagement et d’équipement des sites, la mise en place d’un support utilisateurs adapté, la mise en ligne du nouvel intranet et l’accompagnement au rebranding du Groupe. Grâce à la mobilisation des équipes, tout s’est bien passé, le chantier J+1 SI a tenu les objectifs fixés au 1 er janvier, merci à tous ! IT R ADIO , LE DOSSIER Dans un monde de plus en plus connecté, la moindre faille de sécurité peut être fatale pour une entreprise. Tout de suite un extrait de l’interview de Jacques Sibué, Responsable Sécurité des systèmes d’informations, et de Jérôme Cuvilliez, Consultant sécurité dans l’équipe de Jacques, qui nous expliquent comment les équipes sécurité d’ENGIE nous protègent au quotidien. Jacques bonjour… Bonjour Avant tout un point de définition, la cyber-sécurité qu’est-ce que c’est ? Alors la cyber-sécurité c’est l’assemblage de la sécurité sous toutes ses formes. Donc celles qui concernent à la fois la sécurité des systèmes d’information traditionnels, des systèmes industriels, des systèmes digitaux au sens large. Donc tous ceux qui concernent la mise en relation des systèmes de l’entreprise avec tout un ensemble de périphériques disponibles auprès des utilisateurs, par exemple les smartphones. 1 ENGIE a lancé le programme One Security pour répondre aux ambitions du Groupe en matière de cyber-sécurité, pouvez-vous nous en dire plus ? Les ambitions du Groupe c’est naturellement de se protéger mais aussi de protéger ses clients, ses fournisseurs, ses employés. One Security est un programme ambitieux qui va se dérouler sur trois ans et qui a pour objectif d’accélérer la transformation de la sécurité. Il comprend trois principaux piliers, le premier autour de la protection des données, le deuxième lié à la supervision et le dernier lié à la protection des infrastructures critiques, notamment industrielles. Merci Jacques pour ces informations. Bonjour Jérôme ! Bonjour, Pouvez-vous nous expliquer comment les équipes sécurité travaillent sur le terrain ? On a trois aspects importants au niveau de la sécurité informatique. D’abord l’animation de la gouvernance de la cybersécurité. Le second aspect c’est la mise en place plutôt opérationnelle des exigences de sécurité. Et enfin le troisième et qu’on est en train de développer actuellement c’est tout ce qui concerne la surveillance des réseaux, notamment via le SOC, le Security Operation Center, qui permet effectivement de détecter en temps réel les éventuelles attaques ou soupçons d’attaques qu’on pourrait avoir sur notre réseau. Et quelles sont vos dernières réalisations en matière de cyber-sécurité ? Alors, on a travaillé dernièrement sur deux sujets connexes. Le premier étant la redéfinition de la politique Groupe de protection du patrimoine qui définit les niveaux de classification des informations qui peuvent être traitées au sein d’ENGIE. Donc on a contribué à ce document afin de définir les règles de protection associées à chacun des niveaux de classification des informations. Ce qui nous a permis également de travailler sur la mise en place du réseau social d’entreprise Yammer et de la sécurité qui l’accompagne. Afin que les utilisateurs puissent échanger des informations a minima de niveau interne sur ce réseau social. Merci Jérôme pour ces précisions. Rendez-vous sur le player IT radio pour écouter l’intégralité de cette interview. IT R ADIO , AGENDA Les 10, 11 et 12 février se tiendront les Cyber Security Days à l’auditorium de T1 [T un] à la Défense. Les participants, principalement des DSI, des RSSI, des experts et des responsables en sécurité des systèmes industriels, sont attendus les deux premiers jours pour examiner les évolutions de nos politiques et de nos dispositifs de sécurité. Le 12 février se tiendra la session plénière ouverte à l’ensemble des acteurs du Groupe qui concourent à la cybersécurité, où nos experts présenteront les enjeux 2016 de la cyber-sécurité et les plans d’actions ENGIE pour y faire face. La journée et les cyber-security days se concluront par la remise des awards récompensant les meilleures actions de cyber-sécurité menées en 2015 ! C’est la fin d’IT Radio : merci pour votre écoute. Rendez-vous le 4 mars pour la prochaine édition. À très vite ! 2 IT R ADIO , LE DOSSIER Dans un monde de plus en plus connecté, la moindre faille de sécurité peut être fatale pour une entreprise. Tout de suite un extrait de l’interview de Jacques Sibué, Responsable Sécurité des systèmes d’informations, et de Jérôme Cuvilliez, Consultant sécurité dans l’équipe de Jacques, qui nous expliquent comment les équipes sécurité d’ENGIE nous protègent au quotidien. Jacques bonjour… Bonjour Avant tout un point de définition, la cyber-sécurité qu’est-ce que c’est ? Alors la cyber-sécurité c’est l’assemblage de la sécurité sous toutes ses formes. Donc celles qui concernent à la fois la sécurité des systèmes d’information traditionnels, dits de gestion. Mais aussi la sécurité des systèmes industriels, et puis la sécurité des systèmes digitaux au sens large. Donc tous ceux qui concernent la mise en relation des systèmes de l’entreprise avec tout un ensemble de périphériques disponibles auprès des utilisateurs, par exemple les smartphones. Ce qu’on appelle plus communément, l’internet des choses. Donc la cyber-sécurité c’est tout ça. Et puis d’une manière générale c’est la sécurité qui déborde de l’entreprise et qui s’intéresse aussi bien à ses clients, ses fournisseurs, les Etats etc… ENGIE a lancé le programme One Security pour répondre aux ambitions du Groupe en matière de cyber-sécurité, pouvez-vous nous en dire plus ? Les ambitions du groupe c’est naturellement de se protéger mais aussi de protéger ses clients, ses fournisseurs, ses employés. Et puis de respecter les règlementations liées à la cyber-sécurité… qui deviennent de plus en plus larges et se multiplient de par le monde. Parce que l’Etat considère que les entreprises doivent protéger, pas simplement leurs actifs, mais aussi les populations, les dispositifs d’infrastructure critique qui aujourd’hui sont tous interconnectés. Vous travaillez sur le programme One Security, qu’est-ce que c’est exactement ? Alors, One Security est un programme ambitieux qui va se dérouler sur trois ans et qui a pour objectif d’accélérer la transformation de la sécurité, pour faire face aux enjeux de la cyber. Il comprend trois principaux piliers, le premier autour de la protection des données, le deuxième lié à la supervision puisqu’en fait en matière de cyber-sécurité on part du principe qu’on sera attaqué, qu’on devra faire face à des attaques donc il faut être capable de les détecter et de réagir au plus vite. Et le dernier lié à la protection des infrastructures critiques, notamment industrielles. On va commencer à déployer les premiers outils à partir de cette année sur la protection des emails et la protection des données dans le Cloud, notamment celui de Microsoft avec Office 365. En parallèle nous allons étendre la supervision sécurité avec des détections qui seront capables d’agir au niveau mondial, que ce soit vers Internet ou au niveau industriel. Et puis naturellement renforcer les premiers systèmes d’infrastructures critiques. Que ce soient vis-à-vis d’Internet, vis-à-vis de la gestion de nos accès, de ce qu’on appelle les Active Directories, ou vis-à-vis des communications entre les systèmes de gestion et les systèmes industriels. Donc pour 2016, quelles sont vos priorités ? C’est d’abord naturellement de livrer les premiers sujets de One Security, tout en continuant à s’adapter en permanence aux évolutions qui animent le groupe. Que ce soient des nouveaux projets pilotés par le groupe ou des évolutions de la technologie. Merci Jacques pour ces informations. Bonjour Jérôme ! Bonjour, Pouvez-vous nous expliquer comment les équipes sécurité travaillent sur le terrain ? On a trois aspects importants au niveau de la sécurité informatique. D’abord l’animation de la gouvernance de la cybersécurité. Ça c’est le travail qu’on effectue avec l’équipe de Jacques Sibue le RSSI Groupe. Le second aspect c’est la mise en place plutôt opérationnelle des exigences de sécurité. Donc là c’est par les équipes projet, les administrateurs des systèmes etc… Et enfin le troisième et qu’on est en train de développer actuellement c’est tout ce qui concerne la surveillance des réseaux, notamment via le SOC, le Security Operation Center, qui permet effectivement de détecter en temps réel les éventuelles attaques ou soupçons d’attaques qu’on pourrait avoir sur notre réseau. Et sur quels chantiers est-ce que vous travaillez en ce moment ? 3 On a beaucoup travaillé effectivement sur la refonte de nos politiques de sécurité notamment par l’arrivée de nouvelles technologies et surtout de nouveaux besoins pour les utilisateurs. Par exemple l’utilisation des services Cloud que tout le monde utilise maintenant assez régulièrement, que ce soit dans la vie personnelle ou dans la vie professionnelle. Mais aussi tous les usages mobiles avec l’apparition évidemment dans l’environnement de travail des smartphones et des tablettes. Donc on a beaucoup travaillé sur les aspects sécurisation de ces équipements notamment. Et puis également, suite à la réorganisation du groupe qui est survenue au 1er janvier, on est en train de travailler à la transformation de la gouvernance cyber-sécurité au sein du groupe pour prendre en compte les 29 nouvelles BU qui sont directement en face de nous. Et quelles sont vos dernières réalisations en matière de cyber-sécurité ? Alors, on a travaillé dernièrement sur deux sujets connexes. Le premier étant la redéfinition de la politique Groupe de protection du patrimoine qui définit les niveaux de classification des informations qui peuvent être traitées au sein d’ENGIE. Donc on a contribué à ce document afin de définir les règles de protection associées à chacun des niveaux de classification des informations. Ce qui nous a permis également de travailler sur la mise en place du réseau social d’entreprise Yammer et de la sécurité qui l’accompagne. Afin que les utilisateurs puissent échanger des informations a minima de niveau interne sur ce réseau social. Le but étant dans un futur proche de donner de nouveaux outils collaboratifs qui permettront également d’échanger des informations au niveau restreint et confidentiel. C’est quelque chose qui devrait arriver avant la fin du premier semestre 2016. Merci Jérôme pour ces précisions. 4