Arnaud Philippe - Médiamétrie : « La mise en conformité aux exigences de NIS2 suppose des investissements »
Arnaud Philippe, Directeur qualité et sécurité et DPO de Médiamétrie, détaille son approche de la mise en conformité à NIS2. Il souligne l'importance des interactions avec les métiers et la nécessité de prendre en compte le suivi du cycle de vie des données ainsi que leur impact environnemental.
Pouvez-vous résumer votre parcours professionnel et vos responsabilités ?
Arnaud Philippe - Juriste diplômé en droit international public, je suis entré il y a 26 ans chez Médiamétrie). D'abord en tant que stagiaire, puis responsable qualité, directeur qualité audit interne, à présent directeur du département qualité et sécurité. J'assure également la fonction de délégué à la protection des données (DPO). Le RSSI ainsi qu'une « privacy business partner » sont rattachés à mon département.
La fonction de DPO inclut la conformité réglementaire ?
Oui, mais pas seulement. Dans le cadre de nos négociations contractuelles, il y a beaucoup de discussions avec les clients et les partenaires de Médiamétrie, pour définir qui a quel rôle dans les processus mis en oeuvre. Nous travaillons aussi avec les projets pour prendre en compte dès le départ les préoccupations de sécurité et de respect de la vie privée. On évite ainsi la ré-ingénierie de développements réalisés.
Voyez-vous des points communs entre gestion de la cybersécurité et gestion de la qualité ?
ll y a cette même dynamique d'améliorations continues que l'on a mises en place avec le premier système de management de la qualité chez Mediamétrie. On la retrouve aussi dans l'esprit du RGPD. Nos démarches en sécurité et privacy entrent dans un même cycle de fonctionnement pour anticiper puis gérer les risques inhérents à tel ou tel type de démarche.
Lire aussi : NIS 2 : les nouveaux défis de la conformité cyber
La conformité NIS 2 représente-t-elle un vaste chantier pour vous cette année ?
On est en train de travailler sur NIS2 avec l'aide du moteur de l'ANSSI qui nous permet de vérifier si l'on est bien concerné ou pas. Il faut commencer par se poser cette question.
L'idée de NIS 2 consiste à diffuser par capillarité de bonnes pratiques de sécurité sur l'ensemble de la chaîne de valeurs, au-delà des OIV.
Devez-vous renforcer la résilience des systèmes d'information en particulier ?
L'impact ne sera pas qu'informatique. Il existe une similitude avec la mise en conformité au RGPD. On a constaté, dès le départ, qu' il fallait embarquer les équipes opérationnelles. Le DPO ou le RSSI ne peuvent pas porter seuls toutes ces questions. On a besoin d'interactions avec chaque département afin de provoquer une prise de conscience des entités.
Chaque collaborateur doit être conscient des enjeux de cybersécurité. Chacun doit devenir un agent, une vigie, un partenaire de la sécurité, car le premier vecteur d'attaques reste l'humain. Donc, chacun dans son périmètre de sécurité doit avoir conscience des risques auxquels il est confronté pour adopter ensuite les bons réflexes.
Comment aider les métiers éloignés de la sécurité à s'en préoccuper aussi ?
Nous sommes prescripteurs de bonnes pratiques et de bons réflexes. Je le répète souvent : n'ayez pas le clic facile : maîtrisez votre mulot ! Avec l'équipe de communication, nous construisons des modules de sensibilisation interne.
Je pense qu'il ne faut pas oublier la formation dans cette démarche. Certains collaborateurs, à des postes clés, doivent avoir une formation presque au quotidien. Je pense aux développeurs, architectes, urbanistes qui ont un impact sérieux sur ce qui est en train d'être construit.
La mise en oeuvre de la directive NIS2 alimente les débats...
Il y a un vrai engouement sur le sujet. La mise en conformité d'une organisation aux exigences de NIS2 suppose des investissements. Il s'agit de faire gagner en maturité l'ensemble du système d'information.
Mais comment engager son management sur les améliorations nécessaires ? Par quoi faut-il commencer en priorité ? Comment prioriser les actions à mettre en place ? Les principes d'hygiène de base peuvent être rappelés, avant d'approfondir l'analyse de risques au sein de sa structure pour déployer l'ensemble des exigences de NIS2.
Au-delà de NIS2, voyez-vous d'autres sujets susceptibles de transformer les métiers de l'IT ?
Il y a un vrai sujet à prendre à bras le corps dorénavant. Il s'agit de l'implication de l'IT dans les dynamiques RSE d'entreprise. De jolies solutions apparaissent dans ce domaine qui devient un game changer pour toutes les entreprises impliquées dans le numérique. L'IT doit penser son impact environnemental et adopter une démarche pour le diminuer.
Cela fait-il partie des éléments à porter aux rapports non financiers de Médiamétrie ?
Nous produisons une communication non financière tous les ans. Dans notre engagement RSE, nous avons pour objectif de réduire notre impact carbone de 50% en 2030 par rapport à 2020 quelle que soit la croissance entre ces deux dates. Cela demande des investissements, de l'agilité, mais aussi l'implication des collaborateurs. Chacun doit faire le ménage dans ses fichiers. Il faut acquérir le réflexe de détruire ses informations obsolètes. Cela fait maintenant partie de l'hygiène informatique.
L'approche ILM* des années 2000 serait-elle enfin arrivée ?
On voit se concrétiser l'approche de gestion du cycle de vie de la donnée. La réglementation du RGPD nous impose de ne pas garder toutes les informations ad vitam aeternam ; elles doivent quitter le système d'information à un moment donné, ce qui va réduire leur impact environnemental. Et nettoyer ses données numériques contribuera à réduire sa dépense carbone.
Le métier de RSSI a-t-il évolué ?
Oui, le métier de RSSI a changé. Ce qu'on lui demande à présent, ce n'est pas simplement de protéger les serveurs, d'effectuer les vérifications du château fort. Il doit construire une stratégie, anticiper davantage, être pédagogue, communiquer et embarquer l'ensemble des collaborateurs dans la résolution des problématiques de sécurité. Donc, il faut créer des interactions pertinentes pour que chacun se sente impliqué au quotidien dans la prise en compte de la cybersécurité.
Chez Médiamétrie, notre organisation est un peu à part. Le RSSI ne dépend pas de la direction des systèmes d'information mais de la direction qualité sécurité ; il m'est rattaché. Il peut donc aborder les problématiques liées à son métier de façon indépendante. Cela change les paramètres et lui apporte une nouvelle visibilité ; il fait maintenant ses prescriptions à l'ensemble de l'entreprise.
Construire sa mise en conformité, cela ouvre-t-il de nouvelles perspectives ?
J'y vois une opportunité d'en faire un avantage concurrentiel. En se mettant en conformité, on peut gagner en légitimité, en crédibilité pour l'offre que l'on propose au marché. C'est l'occasion de gagner la confiance des clients et celle des partenaires.
La génération montante est très attachée aux solutions éco-responsables. Les démarches green IT sont davantage prises en compte. Reste à les inscrire dans une démarche plus globale. L'an prochain, je crois qu'on aura gagné en sérénité par rapport à ces questions de conformité et d'impact environnemental.
* Information Life Cycle Management
Sur le même thème
Voir tous les articles Cybersécurité