LMi-MAG28 Dec - Flipbook - Page 15
© DR
PROFIL LINKEDIN
tinyurl.com/linkedin-bru
Fabrice Bru, président du Cesin et directeur cybersécurité
et architecture de la Stime, la DSI du groupement des Mousquetaires.
traçabilité, de l’intégrité, des prompts et des injections
de prompts. Depuis un an et demi, le Cesin a créé un
groupe de travail sur le sujet. Celui-ci a mené un travail
de cartographie de l’ensemble des risques sur un système d’intelligence arti昀椀cielle et des processus et outils
pour les encadrer. Par ailleurs, l’IA Act, qui impose un
certain nombre de contraintes, peut nous aider, car, avec
ce texte, vous êtes sûr que toute solution sera passée
au crible par la direction juridique. Et cette dernière va
s’appuyer sur le RSSI pour le volet cyber.
Est-ce que les RSSI ont déjà toutes
les réponses pratiques sur cette sécurisation
des applications embarquant de l’IA ?
F. B. : Non, car c’est une technologie jeune. Nous n’avons
pas encore beaucoup de recul. En revanche, on sent bien
que c’est une superbe opportunité pour toute l’entreprise,
cyber y compris. Par exemple, pour le service desk, a昀椀n
d’apporter des réponses plus rapides aux utilisateurs. Ou
pour faciliter la compréhension des politiques de cybersécurité dans les entreprises étendues, par exemple au
béné昀椀ce de security champions placés dans les métiers.
Ou encore, pour fournir une première version d’une
analyse de risque. Peut-être cette technologie permettra-t-elle de faire monter plus facilement en compétence
des gens qui auront une fonction dans la cybersécurité
sans que cela soit leur mission principale. Pour un RSSI,
c’est e昀昀ectivement une superbe opportunité.
Une autre évolution sensible du domaine réside
dans la multiplication des textes réglementaires
portant directement sur la cybersécurité ou
ayant une implication pour celle-ci. Est-ce que
cela transforme le métier du RSSI vers un poste
moins technique et de plus en plus à la frontière
du juridique ?
F. B. : Cela fait en réalité bien longtemps que les RSSI ne
sont plus uniquement des techniciens. Même si la profession a longtemps été marquée par les compétences
techniques, aujourd’hui, le RSSI n’a plus nécessairement
un pro昀椀l d’ingénieur. Car vous ne pouvez pas être à la
fois expert en analyse de risques, spécialiste de plan de
continuité d’activités et pentester ! Le poste nécessite
d’assembler des expertises diverses. Par ailleurs, à mes
yeux, les juristes sont les meilleurs alliés du RSSI dans
les organisations. Ils constituent un appui précieux. Par
exemple, pour s’assurer que pas un seul contrat ne sorte
sans une relecture par la cyber, ce qui permet de mettre
au jour du Shadow IT.
Concernant l’arrivée des paquets réglementaires, il
faut distinguer les entreprises déjà régulées des autres.
Pour les premières, la majeure partie des processus, des
mesures de cybersécurité ou des points de contrôle exigés
par ces textes sont en général plus ou moins déjà en place.
Pour les secondes, le changement est par contre bien réel.
Car une mise en conformité avec un texte comme NIS 2
est contraignante, dans la déclaration des incidents cyber
ou dans le contrôle de la supply chain numérique notamment. Mais on a déjà vécu quelque chose de même nature
lors de la mise en place du RGPD.
C’est aussi là que vous retrouvez une réelle dichotomie
entre grandes entreprises et plus petites structures. [Lire
l’intégralité de l’entretien sur lemondeinformatique.fr]
APPROFONDIR
ÉCOUTER EN LIGNE
Podcast
tinyurl.com/podcast-cesin
LIRE EN LIGNE
Article
tinyurl.com/article-cesin
15
