Le CISO de TX Group ne fait rien comme les autres… mais ça fonctionne
Lors de l’événement Insomni’hack, à Lausanne, le CISO de TX Group a défendu des choix qu’il qualifie lui-même de «weird». Une approche à contre-courant, illustrée par des décisions a priori étonnantes, qu'il associe à un nombre d’incidents très limité.
Et si les recettes classiques de cybersécurité n’étaient pas les plus efficaces? Le 19 mars dernier au SwissTech Convention Center, à l’occasion de l'événement Insomni’hack, le CISO de TX Group a défendu des choix à contre-courant des pratiques dominantes du secteur. Dans une présentation volontairement décalée, il a revendiqué une approche des plus atypiques.
Olivier Martinet a décrit un périmètre qui dépasse largement celui d’un éditeur de presse traditionnel. Avec plus de 3’200 collaborateurs, TX Group déploie ses activités de la presse aux plateformes de petites annonces, ainsi qu’à l’impression et à la publicité. Le groupe est par ailleurs considéré comme une infrastructure critique par les autorités fédérales, en raison de sa capacité à toucher une large part de la population suisse.
Un contexte qui n’implique pas pour autant le recours à des méthodes classiques de cybersécurité, a expliqué le CISO. Avec plus de 1’000 journalistes, la liberté d’action constitue selon lui un élément central. Une mesure trop visible ou trop contraignante risque d’être rejetée, contournée, voire dénoncée publiquement dans les propres médias du groupe, a ajouté Olivier Martinet, non sans une certaine ironie. Il privilégie dès lors une stratégie visant à rendre la sécurité aussi discrète que possible.
Pas de cyberassurance ni de campagnes de phishing internes
Devant un auditoire comble et de plus en plus intrigué, le responsable de la cybersécurité a ainsi assumé plusieurs renoncements. TX Group n’a pas souscrit de cyberassurance. Le CISO estime que les questionnaires des assureurs restent conçus pour des environnements traditionnels et peinent à intégrer les approches cloud, le single sign-on et l’absence de mot de passe. Il a ainsi préféré investir dans les capacités de défense. Même logique pour les campagnes de simulation de phishing, qu’il exclut, estimant qu’elles irritent inutilement les collaborateurs sans résoudre le problème de fond.
Le CISO a aussi indiqué que TX Group ne s’appuie pas sur un SOC externe. La surveillance est assurée en interne par une équipe sécurité réduite à deux personnes, épaulée ponctuellement par des profils IT. Selon lui, cette organisation reste tenable en raison d’un environnement technique complètement modernisé, automatisé et fortement orienté cloud. Il prend également ses distances avec les playbooks détaillés, les KPI de sécurité classiques et les certifications jugées peu pertinentes pour une entreprise non soumise à des obligations réglementaires de ce type.
BYOD et dark web: encadrer les usages plutôt que les restreindre
D’autres décisions pourraient surprendre tout autant, si ce n’est davantage, à commencer par l’acceptation du BYOD (bring your own device). Olivier Martinet explique que l’entreprise a choisi d’accompagner les usages réels plutôt que de les combattre, afin de réduire le shadow IT. Il a également évoqué la gestion de l'accès au dark web. En cas de fuite de données susceptible d’intéresser les rédactions, il en centralise la récupération et met les informations à disposition des journalistes dans un environnement contrôlé. Des sessions de formation sont par ailleurs organisées afin de démystifier ces pratiques et d’en limiter les risques.
Au terme de son intervention, Olivier Martinet a indiqué que ces choix qu’il qualifie lui-même de «weird», s’inscrivent dans une progression du niveau de maturité en cybersécurité au sein du groupe. Il a rappelé qu’il y a une dizaine d’années, les dispositifs étaient encore très limités, alors que la sécurité est aujourd’hui nettement plus structurée et outillée. Selon lui, cette évolution s’est traduite par une situation stable au sein de TX Group, avec un nombre d’incidents très limité, de l’ordre d’une vingtaine par an nécessitant analyse, et une activité qu’il décrit comme plutôt calme.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
