Fotolia

Le Clusif renouvelle sa direction

Le club de la sécurité de l’information français vient de nommer Jean-Marc Grémy, fondateur du cabinet Cabestan Consultants, à sa présidence. Il est épaulé par Henri Codron, RSSI Europe de Schindler.

LeMagIT : Comment appréhendez-vous vos nouvelles fonctions, et quelle orientation entendez-vous donner à votre mandat à la tête du Clusif ?

Jean-Marc Grémy : Il s’agit d’abord pour moi d’assurer la continuité des actions que nous avons entreprises depuis 4 ans avec Lazaro Pejsachowicz. Nous avons co-gouverné l’association dans un contexte difficile, celui de la disparition d’un président très présent, qui portait à lui seul les valeurs de l’association.

Nous avons relevé le défi, et je dois à ce titre remercier Lazaro pour son investissement dans cette tâche. Les différents membres du conseil d’administration depuis 2012 nous ont fait confiance. Je les remercie aussi. Le contexte est aujourd’hui aussi différent. Ce que nous appelions sécurité de l’information ou sécurité des systèmes d’information (SI) est devenu Cybersécurité. C’est sans doute plus vendeur que les termes précédents. Si cela reflète une réalité, comme dans le cas de TV5 Monde, nous ne devons pas nous laisser séduire par le miroir aux alouettes. Beaucoup d’entreprises ont encore et toujours comme problème la sécurité de SI au cœur de leurs métiers, la prise en compte d’une menace interne, la mise en conformité avec des lois et règlements de plus en plus nombreux et contraignants. Certes, cette cybersécurité existe, nous avons déjà évoqué ensemble les logiques LPM et ses décrets. [voir ici, ici, ici, et , NDLR]

Le mandat que je porte avec Henri Codron, mon vice-président, — et je remercie le conseil d’administration qui nous a élus à l’unanimité — est celui du changement dans la continuité. Je sais que la formule n’a pas toujours fait ses preuves…

Le changement, parce que l’environnement n’est plus celui de 1984, celui de la création du Clusif. Les acteurs actuels de la SI et de la SSI ont changé, les utilisateurs aussi. Il nous faut prendre en compte de nouvelles dimensions. Par exemple, nous avons établi un partenariat avec le Clusiq, association sœur du Clusif au Québec, où la méthode Méhari historique du Clusif est très utilisée. Le Clusiq s’investit dans la maintenance de Méhari, sous le contrôle du Clusif. Dans le même temps, nous avons des travaux communs avec le club EBIOS. Signe des temps qui changent. Notre collaboration avec l’ensemble de l’écosystème associatif, institutionnel et industriel doit être renforcée. Je crois beaucoup à la co-construction, à l’idée qu’ensemble nous sommes plus forts.

La continuité, car le rôle du Clusif est avant tout l’échange, le partage. C’est notre ADN. C’est pour cela que la mixité Utilisateurs-Offreurs est essentielle. Nous faisons dans le monde associatif ce qui se passe tous les jours en entreprise : des RSSI qui travaillent, qui partagent avec des consultants, des intégrateurs et des industriels. Nous sommes le reflet de la vie économique, rien de plus, rien de moins. Ce qui continue et se renforce, c’est l’Espace RSSI qui est un pilier de l’association. Un moment privilégié où seuls les RSSI et les FSSI peuvent se retrouver pour échanger et partager leurs expériences. C’est un sanctuaire inviolable, auquel je n’ai moi-même pas accès ! Et ils sont d’ailleurs régulièrement en surnombre dans notre salle de réunion.

Sur quels axes comptez-vous amener le Clusif à travailler en particulier ?

Deux axes sont importants pour le Clusif, à commencer par accentuer les efforts dans la création et l’animation de nos groupes de travail. Les groupes de travail sont le poumon de l’association, tout le monde s’y retrouve : RSSI, consultants… et toutes les compétences, de l’expert au débutant. C’est un formidable outil de formation pour les plus jeunes dans la profession. L’Espace RSSI accueille régulièrement des jeunes RSSI (dans le métier) en recherche d’expériences, voire de mentors. C’est aussi l’occasion de collaborer à la création de documents qui aujourd’hui — et ça dure depuis 20 ans — font référence dans le domaine de la sécurité de l’information dans le monde francophone.

D’ailleurs, dans ce contexte, nous allons mener une réflexion sur l’intégration plus forte des Clusir [régionaux, NDLR] dans les travaux du Clusif. Ce réseau que nous animons est demandeur d’une plus grande synergie, tout comme nos membres et les leurs. Les premières initiatives de travail collaboratif ont montré l’intérêt que les uns et les autres accordent à cette approche. La partie collaborative de notre nouveau site web a été conçue dans ce sens.

Le second axe sur lequel nous allons travailler est le développement de nouveaux évènements. Nous maintenons nos conférences, avec comme point d’orge le très attendu Panorama de la Cybercriminalité, chaque année, début Janvier. Mais nous voulons renforcer la collaboration entre les membres, augmenter les échanges entre les groupes de travail.

Aujourd’hui, ces groupes travaillent en silo ; demain nous les encouragerons à travailler de façon transversale, mais je ne peux pas en dire davantage pour le moment.

L’autre évènement nouveau sur lequel nous travaillons depuis un moment est la mise en place d’un exercice de Cyber-crise. Il se fera en partenariat — mais il est encore trop tôt pour dévoiler les partenaires. Si les institutions font des exercices, les entreprises ne sont pas significativement représentées dans la typologie des incidents traités. C’est dans une logique pédagogique avec un retour d’expérience en 2017, que nous allons organiser un tel exercice. Oui, nous savons que la tâche est ardue, mais nous avons des adhérents motivés et vous l’aurez compris, très impliqués. Ce qui est aussi le cas de nos partenaires.

Quels devront être les apports du Clusif à la communauté française de la cybersécurité, et notamment à sa filière, au travers du label France Cybersécurité ?

L’Espace RSSI continue de s'investir dans sa forme actuelle, le Clusif souhaite bien évidemment participer aux efforts de la France à la promotion de l'industrie sécurité au profit des industriels pour le bénéfice de nos membres, les entreprises et organismes essentiellement.

On mesure bien que la filière a besoin de soutiens. C’est clair. Mais soyons honnêtes, nous savons aussi tous que la forme actuelle de ce label doit évoluer. Tout comme les cadres règlementaires et législatifs qui suggèrent l’usage de produits ou de prestataires certifiés/qualifiés.

Il nous faut de la cohérence, et éviter à tout prix la dispersion des efforts. Nous apporterons donc tout notre concours à ces évolutions, au moment voulu.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close