Dans un monde où la cybersécurité devient une préoccupation majeure pour les entreprises, nous avons eu l’opportunité de nous entretenir avec Teddy Ramanakasina, un expert reconnu dans le domaine de la sécurité de l’information. Il partage avec nous son parcours professionnel et nous livre son analyse personnelle sur les nouvelles directives européennes NIS 2, DORA et les conséquences pour les actifs logiciels.
Vous êtes un expert Sécurité de l’information, pouvez-vous nous présenter votre parcours ?
Teddy Ramanakasina : « Mon immersion dans l’IT a commencé dans le secteur des assurances en 1994, avant de me diriger vers le commerce international où j’ai été amené à mettre en place un système d’information. Cela m’a ouvert les portes du monde des télécoms chez Nokia, Nortel et Alcatel entre 1998 et 2002, où j’ai exercé en tant que Business Analyst. Chez Orange à partir de 2002, j’ai été recruté en qualité de Chef de projet SI puis j’ai évolué vers l’audit de systèmes d’information en devenant Directeur de mission SI. J’ai ensuite réalisé des missions autour des services financiers comme Orange Bank en France et dans 17 pays en Afrique avec plusieurs réglementations. En parallèle, j’ai enrichi mon expertise en obtenant plusieurs certifications professionnelles – le Certificat d’Auditeur des Systèmes d’Information (CISA), le Certificat de Directeur de la Sécurité de l’Information (CISM) et le Certificat de Contrôleur de Risques et des Systèmes d’Information (CRISC). Depuis 2021, je suis Directeur Associé chez EY, en charge des questions de cybersécurité, particulièrement focalisé sur la GRC (Gouvernance Risque et Conformité) et je partage mes connaissances en tant qu’enseignant à Paris Dauphine et à l’ESCP. »
La directive européenne NIS 2 dont l’objectif est d’assurer un niveau élevé de sécurité des réseaux et des systèmes d’information entrera en vigueur en octobre 2024. Pouvez-vous nous expliquer ses objectifs ?
Teddy Ramanakasina : « La directive NIS 2 est une évolution significative par rapport à la première directive NIS. Elle vise à établir un niveau élevé de sécurité pour les réseaux et les systèmes d’information à travers l’UE. Avec l’augmentation des menaces cyber, NIS 2 élargit son champ d’action pour inclure de nouveaux secteurs économiques et renforce la coopération entre les États membres pour la gestion des crises cyber. Un point central est le renforcement du réseau CyCLONe (Cyber Crisis Liaison Organisation Network), qui connecte l’ANSSI (Agence Nationale Sécurité Systèmes Informatiques) avec ses homologues européens, afin de garantir une meilleure maîtrise de l’écosystème informatique européen. »
En janvier 2025, une autre directive DORA entrera également en application. Quelle est la différence avec NIS 2 ? Quelle préconisation pour la gestion des actifs logiciels ?
Teddy Ramanakasina : « La directive DORA, qui entrera en application en janvier 2025, peut être considérée comme l’équivalent de la directive NIS 2, mais spécifiquement dédiée au secteur des services financiers. En tant que réglementation européenne, elle s’impose directement et ne requiert pas de transposition en droit national. Les entreprises concernées devront se conformer à cinq exigences majeures :
- La Gouvernance : il sera impératif pour les entreprises de désigner un organe ou un comité responsable de la mise en œuvre de la directive et de son suivi.
- La Gestion du risque : les risques majeurs devront être identifiés de manière consensuelle et faire l’objet de notifications obligatoires.
- La Maîtrise des tiers : les entreprises devront préciser leurs attentes vis-à-vis des sous-traitants, y compris dans le domaine du Software Asset Management. Il ne s’agit pas seulement de signer un contrat, mais de contrôler toute la relation contractuelle, incluant l’inventaire des logiciels, leur publication pour un pilotage efficace, couvrant les aspects financiers et ceux liés à la cybersécurité.
- La Résilience digitale : des plans de résilience numérique détaillés devront être élaborés et prêts pour être auditer à la date butoir du 17 janvier 2025.
- Le Partage d’information : un partage des bonnes pratiques entre les sociétés du secteur financier sera rendu obligatoire.
L’exigence n°3, la maîtrise des tiers, concerne directement la gestion des actifs logiciels. Tout d’abord, la relation contractuelle avec les principaux fournisseurs de logiciels, tels que Microsoft ou Oracle, est primordiale. Il est impératif pour une entreprise de maintenir une visibilité claire sur l’utilisation et les coûts associés aux licences, pour éviter toute dépense excédant réellement ses besoins. L’utilisation d’une plateforme spécialisée, comme « Le bureau des Licences », peut s’avérer extrêmement bénéfique à cet égard.
Deuxièmement, le sujet de l’open source. Ce choix d’application pose un problème de propriété intellectuelle et pose également un problème de mise en conformité des contrats. Les entreprises doivent savoir s’il y a de l’open source dans les applications informatiques utilisées par leurs salariés.
Troisièmement, le choix des infrastructures : est-ce que je veux une souveraineté nationale ? est-ce que je veux garder une maîtrise sur mes données ? sur mes applications ? tout cela nécessite un inventaire des actifs. Il serait pertinent pour les entreprises de créer des comités de Software Asset Management. C’est un vrai sujet à faire avancer. »