Vous êtes diplômé de l’EPITA (promotion 1999). Pourquoi à l’époque avoir choisi cette école d’ingénieur ?
Je cherchais une formation très opérationnelle et très pragmatique qui soit aussi bien orientée sur la technique que sur la partie magistrale. L’EPITA répondait à ses attentes avec ses méthodes (avec la fameuse piscine reprise depuis par d’autres écoles, ndlr), le fait de travailler en mode projet et en équipe. C’était peu courant dans les écoles d’ingénieur. L’EPITA était vraiment pionnière dans ce domaine.
Et comment êtes-vous arrivé dans le secteur de la SSI (Sécurité des Systèmes d'Information) ?
C’était un sujet qui m’intéressait déjà quand j’étais à l’EPITA. J’avais pris une spécialisation télécoms et réseaux dans laquelle il y avait de la sécurité. Et d’une façon générale, nous avions une bonne sensibilisation à cette problématique, à travers une approche originale, très pratique. Après un an dans une SSII, j’ai rejoint le groupe Accor comme Responsable sécurité infrastructure où j’ai eu l’occasion de travailler avec Serge Saghroune. À l’époque, nous n’étions que deux pour nous occuper de la sécurité informatique d’un groupe international (ils sont aujourd’hui une trentaine). Nous avons tout fait. Ce fut une excellente formation. J’ai appris à parler au Comex, aux utilisateurs, tout en restant en contact avec la partie technique. Pour moi, c’est essentiel. Durant toute ma carrière, je n’ai jamais voulu décrocher de la technique car je veux comprendre les problématiques technologiques.
Après l’entreprise privée, vous avez passé huit ans à l’ANSSI. Pourquoi ce passage dans le public ?
Par appétence et aussi pour la dimension patriotique du poste (Gérard Leymarie est Commandant de réserve d’active au sein de la Gendarmerie Nationale, ndlr). J’ai pensé que je verrais un aspect métier que je ne connaitrais pas ailleurs. Et ce fut le cas. Ces huit années m’ont permis de travailler avec tous les milieux (les entreprises, les politiques, les administrations) et cela m’a également apporté de nouvelles compétences notamment sur la réglementation et la conformité. Aujourd’hui, quand il faut monter un dossier d’homologation NIS par exemple, je sais faire. Grâce à cette expérience à l’ANSSI, j’ai vraiment pu acquérir un profil multicarte.
En 2018, vous rejoignez le groupe Elior en tant que CISO et DPO : des nouveaux challenges ?
Oui. Il y avait une énorme marge de progression mais j’ai l’opportunité de restructurer la sécurité au niveau international. Dans le futur, je voudrais m’inscrire dans les propos de Guillaume Poupard aux Assises, « back to basic » et « ne faites plus peur ». Ancrer les fondamentaux, faire respecter les règles d’hygiène informatique, faire que la sécurité soit dans l’ADN de tous les collaborateurs. Il est indispensable que les basiques (patch management, firewall, antivirus) soient intégrés dans tous les projets. Et cela aussi bien chez nos développeurs et architectes qui travaillent sur les applications On premise que pour les projets Cloud.
Que pensez-vous de la fonction de RSSI aujourd’hui ?
Le métier du RSSI reste lié au profil du RSSI. C’est vous qui façonnez votre poste. Et si vous en avez la volonté, vous pouvez lui donner une grande dimension. J’ai construit ma place et j’ai aussi beaucoup communiqué (c’est essentiel). Par exemple, pour la protection des données, le RSSI peut devenir le « key driver ». Aujourd’hui, chez Elior, nous faisons la différence lors des appels d’offre parce que nous avons été différenciants sur notre politique de traitement des données personnelles et nous l’affichons sur notre site. Pour n'importe quelle entreprise aujourd'hui, la sécurité informatique est primordiale et cela passe bien entendu par une bonne analyse des risques et la protection des données en interne.
Est-ce un métier d’avenir ?
Absolument. Les risques ne cessent de croître et les données sont de plus en plus précieuses. La sécurité de toute entreprise, quel que soit leur système informatique, en dépend et prend une place de plus en plus importante dans les projets informatiques et le RSSI a un rôle à jouer dans l’entreprise et dans la DSI. Pour ma part, j’ai une vision opérationnelle de la stratégie donnée par le DSI et de sa mise en œuvre sur le terrain. Mais pour réussir, le RSSI doit être dynamique, communicant et transversal.
