Alain Bouillé (Cesin) : « nous voulons de vrais témoignages de vrais gens »

Le Cesin (Club des experts en sécurité de l’information et du numérique) a récemment fêté son dixième anniversaire. Pouvez-vous nous expliquer ce qu’est cette association ?

Alain Bouillé : Il y a dix ans, il n’existait pas de lieu pour réunir les RSSI et seulement eux dans une parfaite indépendance des fournisseurs. Dix ans après, le Cesin réunit 900 membres, tous RSSI. Nous sommes donc une association de personnes, pas un club d’entreprises comme beaucoup d’autres associations professionnelles. Quand vous faites adhérer des entreprises, elles sont représentées un jour par Untel, un autre jour par quelqu’un d’autre. Nous voulions réunir les RSSI et seulement eux, avec une continuité. Bien sûr, je reste persuadé que les RSSI ont un rôle déterminant dans la cybersécurité. Et il est essentiel -malgré les différences- d’entendre les témoignages d’un RSSI du CAC 40 comme du RSSI d’une PME ou d’une collectivité locale. Ils n’ont pas forcément toujours les mêmes préoccupations ni les mêmes moyens mais nous avons adapté nos activités en conséquence.

Avant de devenir délégué général du Cesin, vous avez eu une longue expérience en tant que RSSI ou CISO. Comment en êtes-vous arrivé là ?

Je dois bien admettre que je suis devenu RSSI un peu par hasard. J’ai réalisé toute ma carrière dans l’informatique. Et la sécurité est arrivée dans mon agenda à l’occasion d’une migration informatique dans un établissement financier qui m’employait, avec transfert de données à notre maison mère aux Etats-Unis. Or les données bancaires des clients français sont bien sûr soumises à des obligations de confidentialité particulières. Du coup, j’ai eu à traiter la confidentialité et la sécurité de ces données. Et j’ai été repéré par le CISO groupe à l’époque. C’est ainsi que tout a commencé.Comme la sécurité est un sujet qui n’a jamais de fin, que le RSSI a de facto une vision globale de l’entreprise, le métier est passionnant. Comme les médecins, les RSSI ont un domaine qui est un puits sans fond de connaissance. On apprend tous les jours.

Quels sont les actuels grands défis des RSSI ?

Le premier, c’est sans doute la croissance permanente et exponentielle du périmètre d’exposition des organisations. Par exemple, quand vous adoptez le cloud en plus de datacenters ou de postes de travail, vous accroissez de facto la surface d’attaque. Toute nouveauté (métavers…) est une mauvaise nouvelle pour la cybersécurité. On a toujours plus de trous à boucher que de bouchons. Et je ne vois pas comment la situation pourrait s’arranger. L’inflation du numérique, c’est aussi une inflation des problèmes de cybersécurité.Mais cela fait aussi partie de l’intérêt du métier.Un point qui me préoccupe, c’est que la croissance des équipes dédiées à la cybersécurité amène désormais des entreprises à nommer des RSSI qui ne sont pas des experts de la cybersécurité mais des managers généralistes, phénomène que l’on a vu déjà chez les DSI. Je pense que ce n’est pas forcément une bonne chose pour la sécurité numérique. Et puis il y a en ce moment un débat (avec une note de Bercy) sur la cyber-assurance et le paiement des rançons lorsque l’on est attaqué par un ransomware. Le Cesin va prochainement publier une prise de position sur le sujet.

Vous êtes un participants réguliers aux clubs de Républik-IT. Que venez-vous y chercher ?

Ce qui m’y attire, c’est le format d’échanges verbaux. Le débat et les échanges d’idées permettent de rentrer chez soi avec des idées nouvelles. La spontanéité des échanges est essentielle et je salue l’animateur qui est capable de faire parler tout le monde, ce qui apporte une plus grande richesse dans les débats.

Nous ouvrons Républik-IT Le Média. Qu’en attendez-vous ?

C’est vrai qu’il existe déjà de nombreux médias professionnels dans notre secteur. Alors pourquoi un nouveau ? Le papier a disparu et les médias digitaux ont trop tendance à se répéter les uns les autres quand ils ne sont pas tout simplement sous l’influence subventionnée des fournisseurs. Pour ces derniers, c’est sans intérêt et je ne les lis pas. Ce que je recherche, c’est de l’information qui ne soit pas issue de traductions mal digérées de publications étrangères, non-publicitaires et adaptées à la France. Ce que j’attends de Républik-IT Le Média, avant tout, ce sont des articles qui ne sont pas des publicités déguisées, du contenu sans langue de bois, des vrais témoignages de vrais gens, pas des études sponsorisées et donc orientées. Avec votre confrère Challenge, nous avons déjà interrogé les dirigeants d’entreprises sur leur ressenti de la cybersécurité. Mais ce qui m’intéresserait de savoir, maintenant, c’est pourquoi un dirigeant prend la décision d’embaucher un non-expert en cybersécurité comme RSSI.