Parle-moi de ton parcours : comment es-tu rentré dans le domaine de la Cyber ?
J’ai commencé ma carrière dans le domaine de la sécurité informatique dans les années 2000, au sein du Ministère des Armées. J’ai débuté en tant qu’administrateur systèmes et réseaux, puis j’ai rapidement basculé dans la SSI.
J’ai eu l’opportunité de travailler dans des environnements Cyber multinationaux pendant près de 8 ans ce qui m’a permis de consolider mes connaissances dans des domaines techniques et de gouvernance.
Quel poste occupes-tu aujourd’hui ?
J’ai pris mes fonctions de RSSI à l’été 2019. Je travaille dans un GIE (Groupement d’Intérêt Économique) informatique, et je suis rattaché au RSSI du groupement et au DSI. Je suis responsable de la partie opérationnelle, même si aujourd’hui mon entreprise tend à évoluer vers des RSSI d’entités, pour se rapprocher du métier.
En parallèle, je manage l’équipe cybersécurité, qui représente 12 collaborateurs.
Quels sont tes trois challenges du moment ?
Le premier challenge auquel je pense est assez conjoncturel : face aux nouvelles pratiques (la montée en puissance du DevOps, les méthodes agiles…), la Cyber doit s’adapter et assurer un accompagnement de manière encore plus efficace. Même si les principes fondamentaux restent les mêmes, on doit s’assurer de coller aux contraintes de ces nouvelles méthodes – ce qui nécessite de s’organiser et d’agir différemment au quotidien.
Un autre enjeu important est celui de la reconnaissance de l’apport business de la cybersécurité. La Cyber doit aujourd’hui être reconnue comme un véritable acteur du business, au même titre qu’un département Marketing. Il ne faut pas la relayer au second plan…
Enfin, le dernier challenge auquel je veux faire référence, c’est celui du recrutement et de la fidélisation des talents dans le monde de la Cyber. La difficulté à attirer et à accompagner les collaborateurs dans la durée est une problématique qui revient sans cesse. Il faut donc utiliser la mobilité interne comme axe de recrutement, avec un accompagnement dédié. La Cyber intéresse, mais les métiers sont parfois méconnus !
Qu’est-ce qui t’empêche de dormir ?
En tant que RSSI, on est toute la journée confronté à une montagne de données et d’alertes, certaines moins importantes que d’autres. On est alimenté en permanence par un flux continu d’informations, ce qui peut accroître notre « Cyber fatigue ».
Et surtout, on a toujours cette crainte d’être passé à côté de quelque chose de primordial qui pourrait avoir de grosses conséquences sur le business de l’entreprise. Mais il faut aussi savoir relativiser !
D’après toi, quel est le sujet phare qui peut changer la donne dans la Cyber dans les années à venir ?
La montée en puissance des IA génératives est à mes yeux LE changement majeur qui peut bouleverser le domaine de la Cyber (et pas seulement lui !). Elles sont très novatrices et ont un périmètre d’utilisation illimité : rédaction de chemins d’attaques, de politiques de firewalls, de codes Python pour les pentests… La cybersécurité va devoir se réinventer et ajuster à la fois sa posture et ses pratiques pour tirer profit de ces nouvelles techniques au lieu de les subir !
L’entraide entre RSSI sera d’autant plus capitale, car ces méthodes vont forcément générer de nouvelles menaces.
Quand as-tu rejoint le CESIN ? Qu’est-ce qui t’a motivé ?
J’ai découvert cette structure en participant à une édition du Forum International de la Cybersécurité il y a quelques années, avant même de prendre mes fonctions de RSSI.
Ce qui m’a motivé à rejoindre le CESIN en 2019, c’est cette notion de partage et d‘appartenance à un groupe : échanger avec ses pairs permet de ne pas avoir le sentiment de se retrouver seul à traiter des sujets complexes au quotidien.
Et c’est justement ce sentiment de bienveillance du Club, où la parole est souvent assez libre, qui a un côté rassurant. On peut assister à des retours d’expérience de qualité, avec des personnes qui partagent leur expérience en toute humilité. La Cyber n’est pas faite que de victoires !
C’est aussi une belle opportunité pour s’ouvrir vers de nouveaux cercles, acquérir de nouvelles connaissances et étendre son savoir-faire. J’ai d’ailleurs tellement été embarqué dans l’aventure que j’ai été élu au conseil d’administration en juin 2023.
Je pense que l’adage qui résume le mieux la mentalité du groupe est : « Seul on va plus vite, ensemble on va plus loin » !
Est-ce que tu fais partie d’une autre association ?
En parallèle, je fais aussi partie d’un groupe de RSSI nantais qui comporte à ce jour environ 45 membres. On se donne rendez-vous tous les trois ou quatre mois pour échanger sur des problématiques auxquelles on fait face, et pour partager nos retours d’expérience.
J’ai aussi intégré un groupe de RSSI qui traite des sujets autour du retail, et qui comporte d’ailleurs quelques membres du CESIN. Ce qui est intéressant, c’est de constater que même entre concurrents, il y a énormément de soutien dans la communauté Cyber !
Quels sont les enjeux de la sécurité Cloud dans le secteur du retail selon toi ? Comment les appréhendes-tu au quotidien ?
La mise en place d’un Cloud dans le retail demande une vraie capacité à s’adapter chez les RSSI : il faut former toute son équipe et l’initier aux nouvelles pratiques et aux nouveaux outils du fournisseur Cloud choisi. Google Cloud Platform, AWS, ou Microsoft Azure n’ont pas du tout les mêmes fonctionnalités – qui, soit dit en passant, évoluent sans cesse.
Avant d’intégrer un nouveau Cloud, l’une de nos premières responsabilités est de sécuriser la zone qui hébergera les applications. Vient ensuite l’enjeu de la détection… et le fait d’éclater son système d’information peut rapidement devenir un vrai casse-tête pour les RSSI : il y a de nouveaux risques, qu’il faut savoir bien identifier !
L’adoption d’un nouveau Cloud implique donc un vrai changement de paradigme. Les experts doivent aujourd’hui revenir aux fondamentaux. Dans un sens, le métier du RSSI n’a pas changé par rapport au Cloud.
Qu’est-ce que la Cyber t’apporte personnellement ?
Ce qui me plaît dans la cybersécurité, c’est le fait de devoir sans cesse faire face à de nouveaux challenges et me remettre en question : l’humilité est une notion essentielle pour moi.
Dans cet univers, on retrouve aussi énormément d’autodidactes passionnés par des sujets toujours plus complexes : c’est une discipline dont on ne se lasse jamais, et dans laquelle on s’investit à 100 % !
