Bonjour Erwan. Merci d’avoir accepté de nous consacrer du temps pour cette interview. Vous êtes ingénieur réseau et sécurité de formation, vous avez une expérience assez vaste dans le domaine de la cybersécurité et vous vous êtes particulièrement intéressé au dialogue entre les directions métiers et les équipes informatiques, fondant ainsi votre propre cabinet d’audit, BSSI, il y a dix ans. Par le passé, les RSSI étaient des profils techniques situés dans les DSI. Ils en sont progressivement sortis, avec la montée en puissance de leur compétence organisationnelle. Qu’est-ce qui est à l’origine de ce changement de fonction entre le RSSI d’avant et le RSSI d’aujourd’hui ?
Erwan Brouder : La problématique qu’il y a dans les banques et les industries aujourd’hui, notamment avec la LPM et toutes ces réglementations, c’est qu’on a un besoin de contrôle. Quand vous contrôlez votre chef, s’il s’agit du DSI, vous avez une sorte de conflit d'intérêt. Ce changement a été porté par la réglementation, tous les contrôles dits “de niveau 2” devaient être faits par des personnes en dehors du périmètre contrôlé.
Dans le cadre de ma mission à la direction des risques d’un groupe bancaire, j’ai eu la chance d'être en dehors de la DSI et je voyais toute la difficulté qu’avaient ces deux mondes à communiquer. On avait d’un côté les gens qui étaient orientés métier et de l'autre ceux qui étaient orientés technologie. Je pense que le métier du DSI a aussi évolué depuis dix ans, mais ces notions d’accompagnement métier, de maîtrise d’ouvrage, étaient beaucoup moins présentes et moins structurées qu’aujourd’hui.
Dans le cadre de ma mission à la direction des risques d’un groupe bancaire, j’ai eu la chance d'être en dehors de la DSI et je voyais toute la difficulté qu’avaient ces deux mondes à communiquer. On avait d’un côté les gens qui étaient orientés métier et de l'autre ceux qui étaient orientés technologie. Je pense que le métier du DSI a aussi évolué depuis dix ans, mais ces notions d’accompagnement métier, de maîtrise d’ouvrage, étaient beaucoup moins présentes et moins structurées qu’aujourd’hui.
Entre la création de BSSI il y a dix ans et aujourd’hui, avez-vous vu un changement du côté des clients, au niveau des besoins exprimés par les DSI ?
Oui, on voit que sur le domaine du cyber, aujourd’hui, on a quasiment deux métiers :
- un métier qui est orienté conformité, à la limite de l’audit, qui est en dehors de la DSI et qui est plutôt un organe de contrôle ;
- et le métier de l’expert technique, au sein de la DSI, qui est finalement une évolution du métier de l’informaticien. De nos jours, l’informaticien sans l’aspect cyber n’existe plus. On le voit chez les développeurs, chez les administrateurs et les experts réseaux, il y a maintenant toujours une composante sécurité.
L’aspect technique a été saupoudré un petit peu sur tous les métiers de la DSI.
La crise sanitaire a changé notre quotidien et a entraîné un passage précipité au travail à distance. Cela a eu une conséquence importante sur l’équilibre entre cybersécurité et performance dans les entreprises. Avez-vous ressenti cette bascule et comment la vivez-vous chez BSSI ?
Je pense que la crise a accéléré le passage au travail à distance. Les risques sont les mêmes mais les moyens d’y faire face ont un peu évolué. Ça veut dire que les mesures de protection ont dû être adaptées, parfois dans l’urgence, parfois avec des personnes déjà habituées à faire un maximum de télétravail.
- On voit quand même que la protection du poste de travail devient quelque chose d’encore plus central parce que vous le connectez depuis des endroits non sécurisés.
Depuis que vous avez fondé BSSI il y a dix ans, qu’apportez-vous aux RSSI pour les aider dans leurs tâches quotidiennes ?
Je pense que nous avons a deux axes qui sont intéressants pour les RSSI :
- le premier, on réalise une veille générale. Nous avons de nombreux experts qui nous permettent de la consolider et de la partager. Cette communication est quelque chose d’important pour nous.
- L’autre point, c’est qu’on est en permanence en train de former et de mettre à niveau nos équipes sur les nouvelles normes, les nouvelles technologies, les nouveaux équipements, pour essayer de coller un maximum aux différents besoins. On sait que pour un risque donné, on est toujours sur un compromis. Mitiger un risque, quand il est à un niveau qui n’est pas acceptable pour l’entreprise, c’est quelque chose qui est important et, pour le faire, on met justement en place des mesures, des processus, de l’organisation et de la technologie.
- C’est l’une des forces de notre cabinet : on sait travailler sur ces éléments et on a des experts techniques qui sont à jour des nouvelles innovations.
Lire la suite dans le Livre Blanc de Cyberday
Une interview réalisée par Olivier Schoeffel, membre du Club Cyber de l’AEGE