J.M Dos Santos, RSSI de Leroy-Merlin: ‘Un RSSI est avant tout une personne de conviction’

Pouvez-vous nous présenter votre parcours? Je suis ingénieur Réseaux & Télécom (EPITA) de formation. Après avoir créé deux entreprises en 1996 (SSII Réseaux et télécoms) et 1999 (Start-up B-to-B), j’ai intégré en 2001 une entreprise du monde du ferroviaire (CSEE Transport , Groupe Ansaldo Signal) en tant que Responsable Informatique. C’est dans ce contexte industriel que j’ai adopté une démarche sécurité. J’ai alors souhaité évoluer dans ce domaine. C’est ainsi que j’ai intégré le Groupe Leroy Merlin en mai 2005, au poste de RSSI. Comment définissez-vous votre rôle dans l’entreprise ? Mon rôle est de définir les orientations et la politique de sécurité des systèmes d’information du Groupe LEROY MERLIN. L’essentiel de mon travail est de sensibiliser et d’accompagner l’ensemble des Business Units qui constituent le Groupe à la sécurité des systèmes d’information et de mettre en place une approche cohérente et adaptée de la sécurité dans l’ensemble du Groupe. Quelles sont les problématiques émergentes que vous voyez pour l’année 2006 ? Plus que jamais, la capacité à réagir rapidement face aux vulnérabilités sera au tableau pour 2006. Les attaques se « professionnalisent ». Et, malgré une politique de sécurité cohérente et des protections dans l’état de l’art, il est nécessaire d’être vigilant et réactif. Parallèlement, l’évolution des technologies mobiles apporte de plus en plus de fonctionnalités attrayantes mais augmente aussi les risques sur les systèmes d’information. Ces technologies doivent impérativement être intégrées dans la stratégie de sécurité. Enfin, la sensibilisation, même s’il ne s’agit pas là d’une nouveauté, reste une problématique majeure. Pour que la sécurité soit l’affaire de chacun, il faut que chacun ait conscience de son rôle dans la stratégie de sécurité. Quel est votre positionnement face aux solutions de sécurité open-source ? Une solution open-source peut représenter une bonne alternative si celle-ci est bien conçue et maintenue. L’open-source est déjà présent chez Leroy-Merlin. Le caractère open-source d’une solution de sécurité n’est pas rédhibitoire. Qu’est-ce qui fait, selon vous, un bon RSSI ? Un RSSI est avant tout une personne de conviction. Tenace, impliqué, il doit savoir convaincre les utilisateurs et clients de la nécessité de protéger les systèmes d’informations et ce qui est vital pour l’entreprise. Il doit améliorer le niveau de sécurité des systèmes d’information tout en oeuvrant pour la bonne marche de l’entreprise. Quels conseils pourriez-vous prodiguer à vos homologues ? Il faut soigner la communication. Les messages doivent être empreints de conviction et d’arguments démontrant la valeur qu’apporte la sécurité. Profiter de la mise en place de nouvelles fonctionnalités pour mettre en oeuvre les nouvelles stratégies de sécurité permet aussi d’accompagner le changement et de réduire ainsi les résistances à une démarche d’amélioration de la sécurité. Aurélien Cabezon pour Vulnerabilite.com