Alain Bouillé, CESIN : La conformité n’étant pas toujours synonyme de Sécurité, l’analyse des risques et une bonne démarche de sécurité globale sont une nécessité constante

juillet 2024 par Valentin Jangwa, Global Security Mag

Global Security Mag : Bonjour Alain Bouillé, Global Security Mag est ravi que vous nous accordiez de votre temps pour parler du CESIN et de la Cybersécurité dans le cadre de Ready for IT. Quel est le sens de la participation du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) à cet événement ?

Alain Bouillé : Bonjour, si nous sommes présents à RFIT, et ce depuis sa création, c’est parce que nous pensons en effet que c’est un évènement qui est à la croisée des chemins, et qui s’est créé dans les années où la transformation digitale était sur toutes les lèvres et qu’on s’est rendu compte assez vite dans les entreprises qu’une transformation digitale sans Cybersécurité, non seulement ça n’avait pas de sens, mais pouvait avoir des conséquences dramatiques pour ceux qui avaient osé transformer l’entreprise numériquement parlant sans intégrer de la sécurité. Donc c’est au moment effectivement où les RSSI se sont retrouvés pour beaucoup rattachés à la DSI hiérarchiquement, et en ayant deux interlocuteurs, le DSI et puis le Chief Digital Officer, avec d’un côté toute la technologie régalienne, et de l’autre toute la nouvelle technologie, la numérisation ou digitalisation. Cela s’est un peu effacé dans le temps, beaucoup d’entreprises sont revenues à des organisations uniques, car on ne peut pas digitaliser l’entreprise éternellement, et il y a un moment donné où il faut qu’on entre dans la production. Finalement, la DSI, dans beaucoup d’endroits, a repris les rênes, et c’est tant mieux. Alors, le CESIN à RFIT, c’est la dose de sécurité qu’il fallait mettre dans le projet de transformation digitale, et notre place y est donc presque naturelle. Cependant, je ne dirais pas comme certaines personnes que, RFIT représente « des petites Assises de la Cybersécurité » car on s’adresse ici à des populations différentes. Les assises concernent essentiellement les RSSI et équivalents, alors qu’à RFIT, on va à la fois retrouver des DSI, des CTO, et des RSSI. Mais j’ai aussi croisé beaucoup de DSI qui n’ont pas de RSSI et qui font office de RSSI, et cela nous intéresse. Même si on est le club des RSSI, si une entreprise n’a pas de RSSI et que le DSI fait office de RSSI, il est évidemment bienvenu au club. Donc je crois que l’évènement a cette année trouvé son bon équilibre entre les sujets digitaux purs et les sujets cyber. Mais bon voilà, comme d’un côté tout est digital donc « hackable », il n’est pas étonnant que la sécurité revienne de manière un peu prégnante. Donc voilà pourquoi Le CESIN et Ready For IT sont partenaires.

Global Security Mag : Quels sont les points de vue du CESIN à l’égard de la transposition et de la mise en place des règlements et directives européens en France ? Et sur la charge que cela représente pour le ou la RSSI ?

Alain Bouillé : Sur ces sujets d’actualité, que sont NIS 2, EUCS, DORA, CRA, IA ACT, 2024 est une année charnière avec les enjeux de transposition et de mise en place de ces règlements et directives européennes. Et tout cela aura, au quotidien à des degrés différents, des impacts sur les RSSI. Fort heureusement, certains secteurs comme ceux de la Finance ou des Assurance ont déjà des dispositifs de sécurité aguerris, des budgets (même s’il en faudra plus), et des équipes appropriées depuis des années, et auront ainsi moins de répercussions, car avec DORA, on leur demande juste une couche de plus. Espérons qu’elle ne sera pas de trop, même si je pense que DORA, effectivement, était nécessaire.

Au sujet de NIS 2, contrairement à ce que j’ai entendu, ce n’est pas NIS 1 sur-déployée. NIS 2 étend les règles de Cybersécurité à de nouveaux secteurs et à de nouvelles entités. NIS 1 concernait dix secteurs d’activité et quelques centaines d’entreprises et d’organisations, alors que NIS 2 touchera plus de 18 secteurs d’activité et des milliers d’entités, permettant davantage de protection.

Le CESIN, c’est 1000 membres avec plus de 800 entreprises et administrations représentées, car plusieurs RSSI ou équivalents peuvent adhérer pour une même entreprise ou administration. Un calcul rapide permet de constater que plusieurs milliers d’entités, en l’état actuel des choses, ne pourraient pas bénéficier directement des services du CESIN. Et cela interpelle quelque part, raison pour laquelle, le 16 avril, ayant fêté en 2024 notre 1000e membre, le CESIN a décidé de s’ouvrir un peu plus, à la fois sur le monde académique et politique, pour notamment essayer d’influer sur les règlementations. Par exemple sur le Cyber Resilience Act (CRA), car cela nous paraissait intéressant pour les RSSI d’avoir un début de règlementation sur la prise en compte de la sécurité dans les développements logiciels. Résultat, nous constatons des avalanches de vulnérabilités à patcher ou corriger, qui occupent maintenant presqu’un tiers du temps de pilotage des RSSI, et cela est préoccupant.

Le CRA, contrairement à ce qu’on avait pu croire au début, ne s’adressera pas seulement aux objets connectés, mais à tous les logiciels, et le CESIN a apporté sa pierre à l’édifice, à ce texte avec une dizaine de recommandations dont quatre retenues. C’est en cela que le CESIN veut davantage s’ouvrir et influer sur le monde externe, politique, et parlementaire, etc. Et le CESIN a évidemment participé aux travaux de NIS 2 et continue d’ouvrer dans les consultations de l’ANSSI. La question est de savoir comment globalement aider et accompagner les entités concernées, dans la mise en place de NIS 2 et comment le CESIN va pouvoir y contribuer . On y travaille déjà et je pense que ces entités ne doivent pas s’affoler car cela ne sera pas un saut quantique en termes d ’évolution.

Global Security Mag : Que pouvez-vous nous dire sur la féminisation dans le secteur de la Cybersécurité ?

Alain Bouillé : Sur la féminisation, je vais d’abord répondre par une pirouette. En effet, le CESIN a déjà une femme comme Présidente. C’est peut-être symbolique, mais ce n’est pas anodin.

En regardant simplement les statistiques, quand on était 100 membres, il y avait 10 femmes, quand on était 200, il y en avait 20, et à ce jour, sur 1000 membres, il y a un peu plus de 100 femmes et c’est trop peu.

Cependant, je pense qu’il ne faut pas non plus focaliser sur la Cybersécurité, voire sur le Numérique. C’est bien en amont de tout ça qu’il faut réfléchir. On peut toujours aller vanter les mérites de la Cybersécurité dans les maternelles, mais le problème est très en amont. Pourquoi les femmes vont moins dans des écoles d’ingénieurs que les hommes ? Pourquoi les femmes vont plus dans des métiers d’infirmière ? J’ai un ami dont le fils est infirmier et c’est le plus heureux des hommes, n’étant entouré que de femmes. Donc pourquoi il y a des métiers qui sont plus connotés féminins ? Je ne suis pas là pour en débattre. On peut évidemment arranger la situation. Mais je trouve que des progrès sur la parité ont été réalisés au niveau de la gouvernance des entreprises, et le sujet de la féminisation dans le monde de la Technologie doit être traité à la racine et nous allons continuer à œuvrer pour y augmenter le pourcentage de femmes.

Global Security Mag : Comment appréhendez-vous les défis de la Cybersécurité par rapport aux nombreuses Élections en 2024 dans le monde et aux Jeux Olympiques et Paralympiques en France ?

Alain Bouillé : Oui, la géopolitique et les élections dans le monde apportent une charge en plus pour le travail des RSSI, et les Jeux Olympiques et Paralympiques (JOP) contribuent à augmenter les menaces et attaques en Cybersécurité. C’est malheureusement ainsi que va le Monde…

Ce qu’on peut peut-être regretter concernant les JOP sous l’angle de la Cyber, c’est que tous les 4 ans, finalement, on a un peu l’impression que les pays réinventent la roue. Autant d’une année Olympique à une autre, on va profiter de l’expérience de tel ou tel pays pour construire des bâtiments écologiquement fiables et améliorer d’autres choses, etc. j’ai l’impression que concernant la Cybersécurité, à part le fait de constater que d’année en année, les JOP sont de plus en plus attaqués, c’est tout ce qu’on capitalise. Je me demande pourquoi il n’y aurait pas une équipe de spécialistes qui s’occuperait de la sécurité des jeux de pays en pays et qui apporterait son savoir. Là, il y a une très belle équipe qui a été mise en place en France pour s’occuper de ce sujet, qui a évidemment concerné beaucoup de nos membres. Il me semble que ce qui devait être fait a été fait, l’organisation a été parfaitement mise en place. Et à priori, on va décommissionner tout cela à la fin de l’année et disperser ou ventiler tous ces talents, ce qui pourrait signifier une perte d’énergies et d’argent. Si j’avais un message, mais ce n’est pas pour le CESIN, mais plutôt pour les autorités d’organisation des JOP, c’est de considérer que le sujet Cyber est devenu trop important pour continuer à fonctionner en mode projet tous les quatre ans. Je suggèrerais d’entretenir une équipe de cyber défenseurs, parce que de Paris à Los Angeles, les cyberattaquants seront toujours les mêmes malgré les motivations qui peuvent être différentes.

Concernant la géopolitique (en essayant de ne pas faire de la politique au CESIN), on peut considérer que cela fait partie du paysage et des risques de RSSI normalement constitué.e.s. Donc évidemment, si les entreprises sont particulièrement exposées parce qu’elles sont présentes en Israël, ou parce qu’elles sont impactées par ce qui va se passer aux Etats-Unis ou par d’autres élections, etc. Elles ont dans leur cartographie des risques, tous ces sujets et elles prennent les mesures qui vont bien. Et si on fait une extrapolation à outrance, on peut se dire que si on a Trump à la tête des États-Unis et que l ’Europe aujourd’hui est complètement inféodée aux États-Unis par rapport aux solutions numériques qu’elle utilise, on peut en effet se poser des questions. Mais je dirais que cela dépasse évidemment largement les considérations du ou de la RSSI.

Global Security Mag : Quels seraient vos messages clés pour nos lectrices et lecteurs ?

Alain Bouillé : Nous avons un phénomène qui est de plus en plus prégnant et qui a nécessité au CESIN la création d’une communauté dédiée, il s’agit de tout ce qui touche à l’Informatique industrielle. On a un peu tendance à croire que quand on n’est pas dans l’Industrie, on n’a pas d’Informatique industrielle, alors que ce n’est pas forcément le cas. L’entité dans le secteur du Retail, qui produit son beurre et son fromage, a de l’Informatique industrielle. L’entité qui est dans la Banque ou l’Assurance, a dans ses immeubles des détecteurs de température, des systèmes informatisés pour les ascenseurs, les caméras de surveillance, etc., et tous ces systèmes sont interconnectés à Internet. Donc ce sujet de connexion du monde OT, IT, pour nous, est un sujet important et on fait en sorte que nos membres soient bien conscients que cela peut les concerner. Le deuxième sujet est NIS 2, et je pense qu’il faut un peu rassurer les entités, comme je l’ai déjà évoqué. Le troisième message est que la règlementation ou la conformité, n’est pas toujours synonyme de sécurité. En effet, quand on met en place des solutions pour être conforme, on ne fait pas forcément de sécurité, mais on fait ce que j’appelle la sécurité « check the box » et on passe parfois à côté de sujets qui ne sont peut-être pas exigés par la règlementation mais dont il faut s’occuper malgré tout. Je pense donc que rien ne remplacera une bonne analyse des risques et une bonne démarche de sécurité globale dans laquelle s’inscrit une règlementation qui pourra aider ici ou là, à avoir du budget, à déployer des solutions nécessaires. Pour finir, il y a un message sur lequel le CESIN va se pencher bientôt, et vous en aurez la primeur à partir du début septembre. Il s’agit du lancement d’une étude sur les salaires des RSSI et surtout sur l’explication ou la justification de ce salaire. Nous poserons de nombreuses questions autour du secteur d’activité, de la taille de l’entité, des effectifs, des budgets, de la gouvernance, etc., et nous serons ainsi capables, je l’espère, de décortiquer pourquoi un ou une RSSI est payé.e 80 000 euros et pourquoi un.e autre est payé.e 150 000 euros. La fois précédente, le CESIN avait simplement donné des grilles de rémunération par secteur d’activité, par taille d’entreprise ou organisation, ce qui n’était déjà pas si mal, mais on n’avait pas donné toutes les clés pour expliquer par exemple que quand vous êtes responsable d’une équipe de 150 personnes, c’est un peu normal que vous ne soyez pas rétribué de la même manière que quand vous avez trois personnes dans votre équipe. C’est important de faire cette étude pour éclairer ce marché de l’emploi cyber où les talents sont rares, et où les budgets pour payer les gens, sont de plus en plus étriqués, afin de pouvoir par exemple mieux interpréter les chiffres des salaires. Cela pourrait aussi éviter de faire de mauvaises comparaisons, en se fondant par exemple sur des études américaines qui indiquent que des RSSI américains sont payé.e.s 500 000 $ par an, en ne mentionnant pas que ces RSSI doivent payer plusieurs centaines de milliers de dollars pour s’assurer, en matière de responsabilité juridique aux États-Unis, ce qui n ’est pas le cas en France. La protection sociale n’est pas la même, les cotisations non plus, etc.

Notre étude sera faite sur le marché français pour l’emploi français.