Les systèmes d’information sont omniprésents et vitaux dans le fonctionnement des entreprises. Les activités périphériques des assureurs sont également concernées, comme les activités de gestion d’actifs. Entretien avec Arnaud Tanguy, Chief information security officer chez Axa IM.
News Assurances Pro : La cybercriminalité ne cesse de monter en puissance. On voit se développer fortement dans les entreprises la fonction de responsable de la sécurité des systèmes d’information. Quel regard y portez-vous ?
Arnaud Tanguy : On assiste à la banalisation des risques liés à la sécurité des systèmes d’information ; Désormais, les Responsables de sécurité des systèmes d’information (RSSI) deviennent des fonctions très importantes dans l’entreprise. Ils doivent faire face aux attaques qui évoluent sans cesse, tout comme les outils associés toujours plus sophistiqués. Dans un tel environnement, le RSSI doit aller plus loin dans ses missions et ne pas se limiter à la technologie.
Autrement dit, il s’agit d’un travail qui doit se renouveler sans cesse. Comment caractérisez-vous cette dynamique ?
Pendant longtemps, la fonction de Responsable de la sécurité des systèmes d’information était considérée comme réservée aux spécialistes technologiques. Cette période est révolue. Le RSSI doit sensibiliser les collaborateurs au management de la sécurité ; il doit être un homme de communication. En fait, dans ce métier, il y a une dimension managériale désormais incontournable.
Que revêt cette dimension ?
Le RSSI doit être rompus aux aspects organisationnels ; à la gestion budgétaire au lobbying, etc. De sa capacité à mobiliser l’ensemble de l’entreprise au sein d’une démarche de sécurité partagée par tous les collaborateurs dépendra le succès de sa politique de sécurité.
Vous intervenez comme RSSI au sein d’AXA Investment Managers, spécialiste de la gestion d’actifs. Quelle est la place de la sécurité dans votre système d’information ?
Chez nous, cette problématique est au cœur des préoccupations. Nous gérons plus de 600 Mds€ d’actifs pour le compte de nos clients. Face à de tels montants, notre outil doit être capable d’assurer la sécurité de bout en bout, de nos transactions. Pour atteindre cette mission dans un environnement hyper digitalisé, nous avons prévu, dans notre chantier de transformation du système d’information, un volet relatif à la refonte sécuritaire. Progressivement, l’une des solutions retenues, en l’occurrence celle de CyberArk, est déployée afin de nous garantir un meilleur contrôle d’accès à nos outils.
Grâce à cet investissement, nous bénéficions désormais d’une architecture de sécurité redondante et robuste. Les accès à nos applications sont contrôlés à la loupe. Notre console d’administration nous permet de tracer tous les accès et tentatives infructueuses orchestrés dans nos outils. Bref, nous sommes désormais bien équipés pour gérer les fameux comptes à privilèges qui constituent généralement des points fragiles dans les outils des entreprises.
Comment avez-vous conduit ce projet ?
Tout au long de cette opération, notre équipe de sécurité a été accompagnée par un intégrateur, en l’occurrence. Il nous a aidés à qualifier nos besoins et à intégrer la solution de gestion des comptes privilèges.
