Vincent Strubel (OSIIC) : « nous avons appris le distanciel malgré notre culture de haute sécurité »

Quelles sont les missions de l’OSIIC (Opérateur des Systèmes d’Information Interministériels Classifiés) ?

Nous avons trois missions principales. La toute première est d’assurer les communications sécurisées du Président de la République et de la Première Ministre « en tous temps et en tous lieux ». Cela signifie qu’ils doivent être joignables à tout moment pour parler en toute sécurité avec d’autres chefs d’État, le chef d’État-Major… qu’il soit en voyage à l’étranger, en avion, n’importe où en Province ou dans un territoire d’Outre-Mer, etc.

En deuxième lieu, nous sommes les concepteurs, opérateurs et exploitants du système d’information interministériel classifié, notamment des solutions de messagerie et de partage de documents (système Isis) ainsi que de visioconférence (sur téléphones, Osiris, ou sur grands écrans, Horus).

Enfin, nous sommes la DSI, au sens traditionnel du terme, du SGDSN (Secrétariat général de la Défense et de la Sécurité nationale). Celui-ci dispose de 1200 collaborateurs avec des grandes exigences très spécifiques, notamment en matière d’échanges classifiés.

Du coup, quelles sont vos relations avec les autres acteurs IT de l’État, l’ANSSI, la DINUM, les DSI ministérielles… ?

L’ANSSI et nous formons deux structures jumelles, deux services à compétence nationale (SCN) du SGDSN. Lors de notre création, nous avions d’ailleurs récupéré un service qui était auparavant à l’ANSSI. Aujourd’hui, l’ANSSI est notre principal prescripteur. Elle émet la réglementation que nous devons respecter. Et elle est aussi la première utilisatrice de nos solutions.

La DINUM, la « DSI groupe de l’Etat », porte une stratégie dans laquelle nous nous inscrivons totalement. Seuls les systèmes d’armes et ce qui relève du renseignement est exclu du champ de compétence de la DINUM. De plus, celle-ci opère la RIE (réseau interministériel de l’État) sur les infrastructures duquel nous posons nos solutions. Le réseau classifié est souvent un VPN sur le RIE. Quand il y a un problème (un réseau interrompu…), il est donc heureux que nos équipes se connaissent bien et travaillent de concert.

Quant aux directions du numérique ministérielles, nos champs de compétences sont complémentaires sans réels recoupements : les systèmes non-classifiés relèvent des DNum ministérielles, les classifiés de l’OSIIC, avec une petite subtilité au Ministère des Armées qui opère le classifié militaire. Cependant, le « dernier kilomètre » se fait souvent en partenariat étroit. Par exemple, nous n’allons pas envoyer d’équipe dans une préfecture pour y déployer nos solutions : c’est la DSI du Ministère de l’Intérieur qui réalisera l’installation car elle est organisée pour cela. Nous avons des conventions pour fixer qui fait quoi avec les DSI/DNum ministérielles et les Hauts-Fonctionnaires de Défense et de Sécurité.

Globalement, quelle est l’architecture générale du SI classifié que vous opérez ?

Je ne vais évidemment pas rentrer dans les détails. Nos posons nos solutions sur le RIE et d’autres réseaux (le réseau du Ministère des Affaires Etrangères pour les ambassades par exemple), avec des boîtiers de chiffrement sur chaque site qui, lui-même, doit être physiquement sécurisé. Tous les flux classifiés passent donc sur un VPN protégé par des chiffreurs gouvernementaux qui doivent résister aux meilleurs attaquants. Ces outils sont créés par des industriels français de confiance.

Bien évidemment, aucune machine connecté au réseau classifié n’est aussi connecté à un autre réseau, a fortiori à Internet. Les PC que nous utilisons n’ont pas de connexion sans fil et peu de rayonnements (les signaux parasites peuvent être écoutés). Pour le SI classifié, nous fournissons l’ensemble du matériel : les terminaux, les routeurs, les chiffreurs, les câbles, etc.

Dans tous les locaux où l’on déploie nos solutions, nous avons des exigences de sécurité physique élevées car les pirates informatiques sont très loin d’être les seules menaces, bien entendu.

Quels profils recrutez-vous et comment ?

Nous avons une structure très mixte : 60 % de militaires, 40 % de civils. Concernant ces derniers, Nous avons la même sociologie que l’ANSSI une majorité de contractuels et beaucoup de geeks. Mais ça marche très bien, même si les logiques de GRH sont évidemment un peu différentes selon les profils. Tous doivent être habilités au secret de la défense et de la sécurité nationale : de nationalité française, pas de casier judiciaire, pas de situation personnelle gênante…

Nous avons besoin de personnels très compétents car nous faisons des choses que nul autre ne fait. Et, quel que soit le métier, il faut que chacun soit apte à résister à la pression car on n’est jamais très loin de l’opérationnel et donc d’éventuelles crises. Il faut aussi une capacité à sortir des sentiers battus, à innover, car il n’y a généralement pas de solution sur étagère pour répondre à nos besoins. Et il faut aussi une certaine audace pour savoir déployer rapidement. Enfin, il est impératif d’être capable de s’insérer dans un collectif un peu particulier et savoir jouer collectif.

La crise sanitaire Covid-19 a entraîné un fort développement des communications à distance. Quelles ont été les conséquences pour vous ?

La crise sanitaire a été le défi fondateur de l’OSIIC, créé le 1^er juillet 2020 ! En fait, il s’agissait d’un double défi.

Tout d’abord, il fallait gérer un fonctionnement distanciel dans une maison où la culture est le travail local entre des murs en béton avec des barreaux aux fenêtres. En interministériel, le plus sécurisé se faisait auparavant le plus souvent en présentiel. Mais même le Conseil des Ministres comme le Conseil de Défense et de Sécurité Nationale ont été dématérialisés. Il a donc fallu déployer massivement des systèmes classifiés de téléphonie et de visioconférence. Par exemple, nous sommes passés de 700 systèmes Osiris à 2000 aujourd’hui. Nous avons réalisé des déploiements en préfectures, en groupements de gendarmerie… y compris en Outre-Mer.

Maintenant que c’est déployé, nous sommes très contents d’avoir réalisé un tel maillage à l’échelle départementale. Il est désormais possible d’utiliser les moyens sécurisés présents en préfecture en cas de mission locale tout en évitant de multiplier les déploiements.

Quels sont vos grands enjeux du moment ?

Il n’y a rien de véritablement spécifique à ce moment. Je vois trois grands challenges à relever en permanence.

Notre premier véritable défi est ainsi de garantir la simplicité d’usage de nos solutions. Il faut que ce soit aussi simple que les outils que chacun utilise par ailleurs. Bien sûr, nous ne pouvons pas utiliser les SaaS, il nous faut cloisonner (mais pas trop)… Pour accroître le collaboratif classifié, il faut une certaine convergence ergonomique. Le véritable enjeu est d’être efficace en cas de crise. Sinon, les agents auront tendance à utiliser des solutions plus simples mais moins sécurisées (ce n’est évidemment pas bien) ou bien se forceront à utiliser nos solutions mais ne seront pas autant efficaces (ce qui n’est pas mieux).

Notre deuxième défi est de maintenir les solutions à jour et d’éviter les dettes techniques, malgré un déploiement mondial et un très haut niveau d’exigence en matière de sécurité.

Enfin, notre dernier défi est le développement des communications mobiles. Créer un smartphone classifié, ce n’est pas simple. Tout le monde a vu le téléphone Teorem utilisé par le Président de la République. Mais c’est juste un téléphone, pas un smartphone, et ce n’est pas très léger. Pour l’instant, nous cherchons à compléter nos capacités par des moyens projetables du type d’une mallette contenant tout le matériel nécessaire en cas de déplacement. Cela répond aussi au besoin de déplacements temporaires, de manière plus efficace que de multiplier les déploiements sur des sites toujours plus nombreux, juste « au cas où ». A plus long terme, la conception de moyens modernes réellement mobiles reste une nécessité mais relève plus de la compétence de la DGA.