Comment Air France-KLM diffuse une culture de la sécurité informatique

Les relations avec la direction

Etre audible dans son organisation est donc le premier point. Guillaume Poupard, directeur de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), estimait, à l’automne dernier, lors des Assises de la Sécurité, à Monaco, qu’il y avait du mieux dans ce domaine, notamment grâce à la médiatisation de grands épisodes comme WannaCry et NotPetya.

Pour se faire entendre, le RSSI doit toutefois encore très largement compter sur le DSI pour porter son message. Marc Leymonerie estime qu’il convient ainsi de présenter au comité exécutif (Comex) une intervention sur la sécurité informatique au moins une ou trois fois par an.

Ces interventions doivent aller au-delà de la présentation des seuls éléments techniques en place, en particulier parce que « la plupart des incidents commencent par des comportements inadaptés ».

Dès lors, il convient de communiquer sur ce plan conçu pour sensibiliser et de « s’assurer que l’ensemble des collaborateurs saura déployer les bons comportements face à une situation inconnue ou dangereuse ». Il faut diffuser, en somme, une véritable culture de la cybersécurité dans toute l’organisation, de manière granulaire, jusqu’à chaque collaborateur.

Impliquer les métiers

Pour y arriver, Marc Leymonerie mise sur le management intermédiaire, « qu’il faut aider à anticiper une décision qui relèvera de son niveau : à quel moment il va en parler avec son équipe ? Combien de temps il pourra y consacrer ? Quels sont les moyens dont il pourra se doter ? Est-ce que ce sera supportable pour ses équipes, compte tenu de leur métier ? ». Car pour s’assurer de l’adoption des mesures, il faut qu’elles soient comprises, tolérables, et acceptées.

Au sein du groupe Air France-KLM, « plan de protection de l’information » a été mis en place. Concrètement, il s’appuie sur un module de formation en ligne, qui se déroule en 30 minutes. « Les équipes et leur management décident de ce qui est important en termes de grandes familles d’informations (NDR : ce qu’il faut protéger pour les besoins de leur activité) ». Le module présente alors automatiquement les risques, là où ils se situent et les mesures qui peuvent être prises - qu’il s’agisse de formations ou de logiciels à installer, par exemple.

La notion de choix apparaît essentielle dans cette approche. « C’est une discussion collégiale. Nous misons sur l’intelligence collective d’une équipe et de son manager ».

Quantifier une approche qualitative

De prime abord, quantifier les résultats d’une telle approche parait difficile. Mais pas question pour autant de faire l’impasse sur la mesure.

Au sein du groupe Air France-KLM, ce sont les indicateurs établis par l’ETSI sur la base des travaux du club R2GS qui ont été retenus. « Ils nous permettent de nous comparer avec d’autres entreprises, de vérifier que les comportements changent ».

Mais quand ce n’est pas le cas, l’indicateur retenu peut ne pas être pertinent. Ce qui, en soit, n’est pas forcément un souci : « ils sont suffisamment nombreux pour que l’on puisse affiner ». Par exemple, Marc Leymonerie n’estime pas intéressant de savoir qu’un logiciel mis à disposition a été téléchargé : ce qui compte, c’est que les collaborateurs s’en servent.

L’objectif est clair : « que les collaborateurs se construisent une compétence qui leur servira tout au long de leur carrière ». Il s’agit de « développer une valeur, que chacun voit la sécurité comme un plus pour garantir la continuité de son activité » ou même se protéger dans son environnement personnel.

Marc Leymonerie insiste sur l’importance de proposer un « encouragement régulier pour que la sécurité soit perçue pour ses aspects positifs et non pas anxiogènes ».

Rapporter de manière synthétique

Les indicateurs doivent être automatisés et intégrés aux rapports du centre opérationnel de sécurité (SOC). Marc Leymonerie relève que le standard ISI 001 de l’ETSI en compte une trentaine liée aux utilisateurs. Une douzaine d’entre eux a été retenue chez Air France-KLM, pour mesurer les progrès de manière quantitative.

Mais pas question de noyer le Comex dans tous les indicateurs suivis. Au contraire, le but est de présenter une vision synthétique et accessible. Marc Leymonerie recommande de « se limiter à 6/7 indicateurs que l’on peut résumer sur un indicateur composite, sorte de baromètre, pour se comparer aux autres entreprises du même secteur sur ce sujet ».

Il répartit les indicateurs en deux groupes : ceux qui portent sur les risques métiers et ceux qui permettent de suivre l’effort fourni pour réduire l’exposition.

« Le choix des indicateurs dépend fortement du contexte de l’entreprise », relève Marc Leymonerie. Ces indicateurs peuvent aller de la disponibilité des applications critiques, aux brèches (« tout ce qui a un impact sur l’image de l’entreprise ou l’expose à des défauts de conformité réglementaire ») en passant par le le taux de réussite des plans de secours. Ils peuvent aussi concerner le taux d’application des correctifs selon leur criticité, le suivi du plan de protection de l’information, les taux de clics lors de campagnes de test au phishing ou encore les commandes de solutions de sécurité. « Avec ces indicateurs, on est capable de faire un rapport au Comex », conclut Marc Leymonerie.