Assurer la sécurité informatique sans brider

Dans un contexte où la cybersécurité devient un élément très important dans le développement des organisations, le responsable de sécurité de systèmes d’information de l’établissement saignement supérieur HEC Paris mets en avant la nécessité de pouvoir assurer la sécurité informatique mais seulement des étudiants mais aussi du personnel enseignant et des employés des établissement éducatifs et académiques.

Cet article va aussi vous intéresser : Les menaces informatiques et le comportement des maisons d’assurance

Comme nous le savons, le secteur de l’éducation et aussi frappé de plein fouet par la multiplication des attaques informatiques. En effet les pirates informatiques n’hésitent pas à attaquer des universités ou des centres de formation. C’est d’ailleurs dans ce contexte, que les organisations se dotent de responsable de sécurité de système d’information pour faire face à la menace toujours grandissante. C’est d’ailleurs le cas de HEC Paris qui en 2019 instaure le poste de responsable de sécurité de système d’information, Olivier Nerrand, qui est le premier à occuper ce poste.

Les responsables de sécurité des systèmes d’information travaillent dans des univers assez différents les uns des autres. En effet, si certaines tâches se rapprochent, et je n’en demeure pas moins que chaque organisation à sa spécificité. Il collabore généralement avec l’équipe informatique la direction des systèmes informatiques qui a à HEC est composé de 27 personnes.

Quand au périmètre, il est très large dans ce contexte plus qu’ici le responsable de sécurité de système d’information devra assurer la protection de prêt de 1 000 ordinateurs utilisés par les salariés de l’établissement, sans oublier 5 000 ordinateurs qui sont utilisés par les étudiants de leur côté et qui sont connectés régulièrement au réseau, ainsi « qu’une centaine de serveurs répartis dans un datacenter sur site et dans le cloud, et deux campus (en France et au Qatar) ». Il faut aussi prendre en considération les 60 000 comptes d’utilisateurs qui appartiennent aux anciens diplômés. Dans cette situation, la tâche de responsable de sécurité des systèmes d’information s’observe sur plusieurs plans. Dans notre cas, Olivier Nerrand est chargé de définir une politique de sécurité informatique pour l’ensemble des systèmes informatiques.  Il veille aussi à la mise en application de cette politique mais aussi participe à la sensibilisation et à la formation du personnel et les étudiants sur les questions de cybersécurité. « Par rapport à une entreprise traditionnelle, la spécificité de la sécurité informatique à HEC Paris est celle de tous les établissements d’enseignement supérieur : protéger sans brider la créativité inhérente à l’excellence académique et à la recherche », souligne ce dernier.

Dans une approche objective, les établissements d’enseignement sont soumis à des dangers et on les spécificités propres. Et cela même si ce sont les mêmes attaques de type rançongiciel qui les affectent. « Je n’échappe pas à cette angoisse, et le risque est élevé avec l’accroissement du nombre et de la sophistication des attaques informatiques », note Olivier Nerrand.

Cependant ce n’est pas le seul problème qui doit inquiéter le responsable de sécurité système d’information. « La menace qui m’inquiète le plus est celle liée à l’espionnage. Faire partie des meilleures écoles au niveau mondial, avec des chercheurs de premier plan, entraîne des attaques utilisées pour l’espionnage à des fins économiques ou scientifiques. Ces attaques sont ciblées, avec des moyens humains dédiés et sont souvent à signaux faibles. Elles sont difficiles à détecter. ». Un risque qui vaut la peine d’attirer beaucoup plus l’attention.

Au quotidien il n’est pas rare que les établissements font face à des attaques de type le classique du genre. « Prise de contrôle d’un compte informatique, en général après un phishing réussi ».  À ce sujet, le responsable du système des formations a mis en évidence en exemple ou un employé se fait avoir par une en fraude informatique ce qui a entraîné une attaque de masse. « La meilleure leçon tirée de cet incident a été une bonne sensibilisation du personnel du service ciblé », raconte le RSSI de HEC. « Tout le monde peut faire une erreur et se retrouver dans ce genre de situation. Au lieu de stigmatiser celui qui commet une erreur, avoir montré qu’il est une victime a permis de faire baisser le niveau de stress du collectif et de le faire progresser », ajoute le spécialiste.

Pour lutter efficacement contre les menaces informatiques, les établissements d’enseignement supérieur de protection à travers la segmentation du réseau sont la définition d’une politique Zero Trust. « Les établissements d’enseignement supérieur ont mis en place depuis longtemps de manière pragmatique le principe de base du modèle de sécurité « Zero Trust », appelé parfois « sécurité sans périmètre » : les dispositifs ne doivent pas être considérés comme fiables par défaut, même s’ils sont connectés à un réseau sécurisé et même s’ils ont été vérifiés auparavant. » explique Olivier Nerrand.

De son côté, le responsable de sécurité de système d’information de HEC Paris affirme s’appuyer sur des modèles théoriques et sur des règles au niveau international pour mieux définir sa politique de cybersécurité. « J’ai suivi les différentes évolutions du domaine tout au long de ma carrière, et en 2019, j’ai été formé par Hervé Schauer au management du risque, sur le modèle ISO/CEI 27005:2018 qui est ma référence aujourd’hui. Cette norme a l’avantage de la souplesse et du pragmatisme, et elle peut être utilisée en particulier dans les entreprises soumises à de fréquents changements, ce qui est le cas à HEC Paris », précise Olivier Nerrand.

Accédez maintenant à un nombre illimité de mot de passe :