Jean-Sylvain Chavanne, l’urgence au cœur de la cyber

« Je voulais être médecin urgentiste » 

Cet environnement lié à l’urgence lui plaît. « Je voulais être médecin urgentiste », confie-t-il. « J’ai donc fait deux premières années de médecine ». Ce qui lui servira évidemment dans ses fonctions actuelles.

Mais les règles du numerus clausus ne lui permettent pas de suivre cette voie : exit la médecine, direction la fac de droit de Brest, avec une motivation forte « pour l’enquête, l’investigation », le fait de comprendre… et de réparer une situation. Dans ses études de droit, il s’intéresse à l’investigation criminelle, la recherche de la preuve. « J’aime tirer un fil, et voir où il va », explique-t-il.

Par goût et parce que c’est un domaine encore neuf, il s’intéresse à l’investigation numérique : il fait donc, après une licence en droit à l’Université de Bretagne Occidentale, un master de droit privé en sciences criminelles à l’Université de Toulouse Capitole.

Il enchaîne, parce que ça lui plaît, et que c’est un thème dont les enjeux sont de plus en plus importants, notamment en cyber, avec un troisième cycle spécialisé en stratégie et renseignement et guerre économique à l’École de guerre économique (EGE). Le voilà bien armé, avec un cursus déjà pointu qu’il complète en 2019 par un diplôme d’ingénieur en cybersécurité de l’ESIEE-IT.

Il garde d’ailleurs de cette période la volonté de transmettre, et devient chargé d’enseignement sur la cybersécurité à l’EGE, et à l’Université de Paris Dauphine dans le cursus DU (diplôme universitaire) sur le métier de DPO.  

Jean-Sylvain Chavanne arrive ainsi, parce que l’investigation numérique lui plaît, à Paris, sur les rives de Seine : l’Agence nationale de la sécurité des systèmes d’information (Anssi) l’embauche sur le site de Beaugrenelle comme chargé de mission. Il voit de près les laboratoires de recherche et d’enquête, où il côtoie des ingénieurs de haut niveau et se forme en cybersécurité, « notamment cinq semaines de cryptographie appliquée », se souvient-il en souriant. Ce qui le blinde forcément pour la suite dans un poste lié a la cybersécurité.

« C’était l’époque des révélations d’Edward Snowden, et la notion de la protection de l’information et de ses enjeux géopolitiques commençant à prendre forme », se souvient-il. Il devient ensuite adjoint au chef de la division territoriale de l’Agence, mais commence à réfléchir à revenir dans l’Ouest : la mer lui manque… « Je cherchais à revenir dans ma zone », dit-il en souriant.

Il en parle avec Guillaume Poupard, alors patron de l’Anssi. L’agence commence à structurer des postes de délégués régionaux, et Jean-Sylvain Chavanne rejoint alors les rivages du golfe de Gascogne à Nantes, où il devient délégué à la sécurité numérique dans la région des Pays de Loire : un poste idéal pour observer de près le tissu économique local et ses attentes en matière de cybersécurité.

Il rejoint enfin « ses » terres brestoises en 2019, comme directeur cybersécurité en charge du secteur public chez Forward Global (anciennement CEIS), mais les confinements successifs et la réorganisation du groupe d’intelligence économique le conduisent à choisir le poste de RSSI du CHU de Brest. Un poste à sa taille et à sa mesure, où il s’investit beaucoup, notamment, par conviction, dans le contact avec les équipes médicales. Son initiation à la médecine et ses origines brestoises sont des atouts importants pour un poste passionnant, mais exposé et difficile. 

« Je n’hésite pas à aller avec les équipes médicales dans les services dits “tendus” (bloc opératoire, urgences, imagerie, SAMU…), pour comprendre comment ça se passe et répondre à leurs attentes », explique Jean Sylvain Chavanne. « Même si je ne suis pas compétent pour réduire une fracture de mâchoire », dit-il en souriant, « je sais discuter avec un médecin et je sais surtout ce qu’il attend comme quantité et rapidité d’information. C’est donc beaucoup plus facile pour moi de discuter avec les services hospitaliers et de leur faire accepter les principes cyber de base, dont ils comprennent l’utilité et qu’ils auraient autrement ressentis comme d’insupportables contraintes dans leur métier, où l’on privilégie le soin et l’urgence, donc la rapidité de circulation de l’information, et la facilité à y accéder », souligne-t-il.

Une communication de crise transparente et bien gérée

Ce qui explique sans doute – car le cas du CHU de Brest est souvent cité en exemple de gestion et de communication de crise – comment lui et ses équipes ont pu gérer l’attaque informatique d’ampleur du CHU de Brest en mars 2023. La communication de crise, à la fois factuelle, sobre et humble, a été un modèle du genre. « Vu la recrudescence des attaques informatiques et leur ampleur sur les établissements de santé, je savais qu’on n’y couperait pas », explique Jean-Sylvain Chavanne.

« On s’était préparé, notamment en communication. Il fallait être transparent, et la direction de l’hôpital a tout de suite joué le jeu. Les équipes médicales, pourtant restreintes dans leur fonctionnement, ont compris et ont été extraordinaires de résilience et de réactivité », souligne-t-il. La confiance qu’il a su inspirer y est sans doute pour beaucoup. Son engagement aussi. 

Très investi dans son secteur et le tissu local, il n’est pas rare de le croiser a Brest, en « hoodie », jean et baskets, à une manifestions cyber avec les codes brestois : efficace, sympa, et sans fioritures, comme lorsqu’il avait contribué à l’organisation du challenge Capture-The-Flag (CTF) à la Marina du Château à l’automne 2024.

On discute cybersécurité à Brest plus facilement en veste polaire, jean, et mocassins de bateau que partout ailleurs… La mer n’est jamais loin. Et ce n’est pas cet originaire de l’Aber Wrac'h, où il a un bateau pour naviguer avec sa famille, qui dira le contraire : « j’ai besoin de savoir qu’elle n’est pas loin et que je peux aller la saluer souvent ! ».