L’interview d’Alain Bouillé a été réalisée lors de l’événement Ready For IT qui s’est tenu à Monaco du 14 au 16 mai 2024. AE

SDBR News : Depuis quand existe le CESIN ?

Alain Bouillé : Le CESIN existe depuis 12 ans et compte aujourd’hui 1000 membres. Nous allons d’ailleurs célébrer prochainement l’entrée de notre millième membre. Nous avons bien sûr au CESIN tous les représentants des sociétés du CAC 40 et du SBF 120, ce qui ne fait que 120 membres. Au total, 800 entreprises sont représentées car dans certains groupes il existe plusieurs RSSI ; mais nous limitons aussi la surreprésentation d’une entreprise à l’intérieur du CESIN. Les 800 entreprises représentées se répartissent à peu près entre 50% de grandes entreprises et 50% d’ETI. Nous avons aussi quelques PME qui ont un enjeu digital tellement important qu’elles ont un collaborateur chargé de la sécurité, et que nous accueillons bien volontiers. Une précision tout de même : l’adhésion au CESIN est une adhésion « intuitu personae » du RSSI et non une adhésion d’entreprise.

SDBR News : Le CESIN est-il un club ou un groupe d’influence ?

Alain Bouillé : Au début c’était plutôt un club de partage, car il y a 12 ans le RSSI était un peu isolé dans l’entreprise, pas souvent écouté et travaillait dans son coin. Partant de l’idée que nous serions plus forts à plusieurs que seul, nous avons créé ce club tourné vers notre métier pour y partager nos expériences, les plus aguerris pouvant partager avec les moins chevronnés. C’est toujours vrai mais, en grandissant, le CESIN s’est tourné de plus en plus vers l’extérieur, en particulier vers les pouvoirs publics, pour porter le message des entreprises représentées. Par exemple, lorsqu’il faut décliner NIS2 en France, le CESIN donne son avis. De même nous avons travaillé sur le CRA (le Cyber Resilience Act**), parce que nous pensons que ce règlement est intéressant pour juguler la gestion des patchs et des vulnérabilités : si un règlement obligeait les éditeurs à être un peu moins inconscients sur la sécurité qu’ils embarquent dans leurs logiciels, nous aurions gagné une bataille… De même encore nous préparons une alerte aux autorités sur la démarche de Thoma Bravo qui a une démarche purement financière de rachat pour revente rapide avec plus-value d’entreprises… Donc, oui le CESIN est devenu une force de proposition.

SDBR News : C’est une évolution significative…

Alain Bouillé : Oui. A tel point que nous songeons à changer quelque peu les statuts de notre association pour pouvoir nous ouvrir davantage vers le monde extérieur, et vers les PME en particulier, au travers de notre communication et de nos publications. Nous faisons six plénières par an, un congrès et une université d’été : huit gros événements dans l’année qui devraient rester fermés aux non membres.

SDBR News : Pourquoi ?

Alain Bouillé : Parce que les participants à ces évènements savent qu’on ne leur racontera pas les mêmes histoires que celles qu’on leur raconte dans les autres événements bien connus. Ce qui va changer, c’est qu’à l’issue des travaux réalisés dans nos évènements nous ferons des comptes rendus, des livres blancs ou des écrits pour rapporter ce qui s’est dit lors de ces travaux, édulcorés de ce que nous ne voulons pas rendre public.

SDBR News : Les organismes de régulation, comme l’ANSSI, participent-ils à vos travaux?

Alain Bouillé : Oui ! Dès le début du CESIN nous avons ajouté, aux membres actifs et aux membres fondateurs, la notion de « membre associé » : l’ANSSI, la CNIL, le COMCYBER-MI, le COMCyberGEND, Cybermalveillance.gouv, etc. avec un ou deux représentants à nos réunions.

SDBR News : Pour vous l’intelligence artificielle (IA) est-elle une vraie innovation ou une belle opération de marketing ?

Alain Bouillé : L’IA n’est pas un sujet nouveau pour la Cyber. Y a-t-il vraiment autant d’IA dans tous les produits qu’on nous le dit ? Nous n’en savons rien. Mais l’IA est tout à fait prometteuse pour solutionner les problématiques de données massives, comme on en a dans tous les SOC ou dans l’IAM (Identity Access Management). Une remarque en matière d’IAM : aujourd’hui tout est concentré dans une solution d’IAM (applicatifs, services, etc.), sur une même base de données et on n’en fait quasiment rien. Or une bonne IA pourrait résoudre tous les problèmes de fraude, d’habilitation contraire, etc. Donc nous plaçons beaucoup d’espoir dans l’IA au service de la sécurité. Pour autant, il y a des détournements de la finalité de l’IA qui seront probablement possibles à l’avenir pour la rendre malsaine. C’est là un enjeu qui me semble aujourd’hui très largement sous-estimé par la communauté, par ignorance d’un risque qu’on ne connait pas. Et puis il y a l’IA qui va être utilisée par des attaquants : exemple, « l’arnaque au président », version deepfake, comme cela s’est passé début février 2024 à Hong-Kong pour détourner 25 millions de dollars via Teams.    

SDBR News : Et la règlementation NIS2, Dora, CRA, etc. ?

Alain Bouillé : NIS2 concerne 15.000 entreprises, or le CESIN ne couvre que 800 entreprises. Le sujet est important car, dans les 14.200 qui restent, il y a des entités qui doivent être aidées pour appréhender ces sujets de sécurité. Mais le déploiement de NIS2 dans les PME se fera avec un outil genre « plug and play », alors que dans les grandes entreprises il y en a pour des mois. Reste aux ETI et aux PME à trouver la bonne aide, mais c’est faisable : par exemple sur le salon Ready For IT où nous nous trouvons aujourd’hui. Par contre Dora, dans les banques et assurances, va augmenter le niveau d’exigence déjà très élevé.

SDBR News : Quel regard portez-vous sur l’écosystème français de la cybersécurité ?

Alain Bouillé : Regardons ce qui se passe aux Etats-Unis avec les opérations de croissance externe démesurées et rapides comme celles de Thoma Bravo*** déjà évoquées. Je considère que l’écosystème américain est sur une pente dangereuse avec les opérations des fonds de pension, car ces opérations brident l’innovation au bénéfice d’opérations purement financières. Bien sûr, il restera des opérations de levée de fonds pour trouver des remplaçants à McAfee, Proofpoint ou autres Sophos. Le tissu français a encore une chance unique d’avoir le choix pour trouver des solutions non américaines. Il y a environ 150 PME actives et, même si certaines vont disparaitre sensibles aux offres financières, il en restera. Le CESIN milite pour défendre l’écosystème français à chaque occasion.

SDBR News : Quel est le profil du RSSI de demain ?

Alain Bouillé : Nous allons justement publier prochainement une étude sur la rémunération du RSSI qui, au-delà de déterminer quelle est la fourchette de leurs salaires, dessinera les modes de gouvernance, les tailles de services, les fourchettes de budgets, les types de reporting à leur hiérarchie, etc. Ce sera une façon de profiler les RSSI pour demain.

Arrêtons les discussions à n’en plus finir sur le rattachement du RSSI : DSI ou pas ? Ce n’est pas important. Par contre, le RSSI doit répondre à deux critères :

• ne pas avoir plus de deux portes à ouvrir pour atteindre la direction générale ;

• être une obligation légale dans l’entreprise : les entreprises sont obligées d’avoir un DPO, pourquoi pas un RSSI ?

Le CESIN est prêt à travailler avec les autorités autour d’une règlementation à envisager.

*Club des Experts de la Sécurité de l’Information et du Numérique : https://cesin.fr

** Le Cyber Resilience Act (CRA) est un Règlement européen destiné à sécuriser l'écosystème numérique en imposant des normes de cybersécurité strictes pour les produits ayant des composants numériques (IoT).

*** https://www.thomabravo.com