Alain Bouillé, Cesin « Le RSSI vit avec une épée de Damoclès au-dessus de la tête »

Pour Alain Bouillé, le président du Cesin, un club de RSSI, les hackers ont clairement l’avantage aujourd’hui. Mais ce RSSI enregistre un certain nombre de signaux positifs lui permettant d’envisager des jours meilleurs.

Créé en juillet 2012, le Cesin regroupe uniquement des RSSI, contrairement au Clusif (Club de la sécurité de l’information français), ouvert aux acteurs de l’offre. L’association est financée à la fois par les cotisations de ses membres (quelque 200 responsables de la sécurité des systèmes d’information) et par les contributions de sponsors assistant à ses événements. Silicon.fr a croisé Alain Bouillé, le président du Cesin, lors du Forum International de la Cybersécurité (FIC), qui se tenait les 20 et 21 janvier 2015 à Lille. Celui-ci, par ailleurs directeur de la sécurité des SI à la Caisse des dépôts, revient sur les défis qui attendent la profession en ce début d’année 2015.

Silicon.fr : Quel est l’état d’esprit des RSSI aujourd’hui ?

Alain Bouillé : Depuis deux ou trois ans, nous vivons avec une épée de Damoclès suspendue au-dessus de nos têtes. Nous savons que nous serons attaqués et que nous subirons un jour une attaque réussie. Nous avons passé des années à empiler des solutions de protection, mais il est aujourd’hui évident qu’un attaquant motivé parvient à ses fins. Ce n’est qu’une question de moyens et de temps. S’il faut continuer à renforcer nos défenses, il faut aussi se préparer au pire, en particulier en s’entraînant à gérer une crise. Ce facteur doit figurer aujourd’hui à l’agenda des RSSI.

Est-ce que la réalité de cette menace est perçue par les autres acteurs de l’entreprise ?

Oui, mais avec quelques bémols. Une difficulté demeure dans la prise de conscience des managers. En effet, quand une attaque est réussie, l’entreprise continue souvent à fonctionner. Malgré les conséquences parfois graves de l’attaque, comme une perte de patrimoine informatique. Contrairement à ce qui a été dit lors de ce FIC (une référence à une petite phrase de Guillaume Poupard, le directeur général de l’Anssi, NDLR), même un défacement de sites peut avoir des conséquences graves pour l’entreprise. On ne peut l’assimiler à un tag sur un mur.

La deuxième difficulté réside dans le fait que nous ne sommes jamais certains de repérer les attaques. Il n’y a en réalité que deux catégories d’entreprise : celles qui ont été attaquées et celles qui l’ont été mais ne le savent pas encore.

Face à la montée des menaces, assiste-t-on à un accroissement des budgets ?

D’abord, il faut souligner que l’absence de budget n’est pas une excuse pour ne rien faire. Les actions de sensibilisation par exemple ne coûtent rien ou quasiment rien. Elles sont pourtant essentielles. Mais c’est vrai que l’infrastructure et les systèmes de protection coûtent, eux, de plus en plus chers, une hausse qui suit celle de la valeur du patrimoine informationnel des entreprises. Globalement, le renforcement des menaces se traduit par une hausse des budgets sécurité dans les grandes entreprises. La tendance est moins perceptible dans les sociétés de taille intermédiaire, même si je remarque que, de plus en plus, ces organisations recrutent des RSSI. C’est un signe très positif.

Lors de ce FIC 2015, de nombreux débats ont porté sur l’échange d’informations – sur les menaces en particulier – au sein de la communauté cyber. N’est-ce pas un domaine où tout, ou presque, reste à faire ?

Cela fait partie des idées qui circulent chez nos membres. Nous nous rendons compte que nous effectuons souvent les mêmes choses au même moment. Par exemple des prototypes sur de nouvelles technologies. En cas d’attaque, nous partageons bien sûr de l’information mais ces échanges restent désorganisés.

Que retenez-vous de cette édition 2015 du Forum International de la Cybersécurité ?

Avant tout l’implication des politiques. Et c’est un facteur très positif. Nous pouvons espérer sortir de ce rapport de force asymétrique avec des hackers capables de déployer des artilleries très lourde contre leur cible. Nous pouvons dorénavant avoir l’espoir de gagner quelques futures batailles.

A lire aussi :

FIC 2015 : les hackers ont gagné une bataille, pas la guerre