Yves Verhoeven (OSIIC) : « sur toutes nos missions, nous sommes face à des menaces stratégiques »

Pouvez-vous nous rappeler ce qu’est l’OSIIC ?

Rattaché au SGDSN (Secrétariat Général de la Défense et de la Sécurité nationale) comme l’ANSSI, l’Opérateur des systèmes d’information interministériels classifiés (OSIIC) est un opérateur placé au sein des services de la Première Ministre, ni rattaché au Ministère des Armées, ni au Ministère de l’Intérieur, ni à aucun autre ministère. Nous avons trois missions.

La première est d’assurer les communications sécurisées nationales et internationales des plus hautes autorités de l’État en tous lieux et en tout temps. Deuxièmement, nous concevons, opérons et déployons les SI interministériels classifiés, notamment la messagerie, la téléphonie et la visioconférence. Enfin, nous sommes la direction du numérique (DNum) du SGDSN. Cette administration intègre des populations aux besoins très variés. Bien entendu, il y a les collaborateurs de l’ANSSI, avec des besoins très techniques, mais aussi les responsables des politiques publiques sur la défense des intérêts fondamentaux de la Nation. L’ensemble de ces missions fait de nous une DNum très particulière mais le regroupement des services à ces différentes populations se justifie par le continuum technique au niveau des infrastructures techniques soutenant nos trois missions.

L’OSIIC, par ses missions, est le principal fournisseur civil de moyens de communication classifiés. Mais nous n’opérons pas que des systèmes classifiés, toutes les populations du SGDSN n’ayant pas de tels besoins pour toutes leurs missions. Par contre, sur l’ensemble de nos missions, nous sommes confrontés à des menaces stratégiques.

Nous avons deux indicateurs clés de performance : la satisfaction des utilisateurs mais aussi la bonne prise en compte de la menace stratégique, bien entendu.

Pouvez-vous nous expliquer les grandes lignes de l’architecture générale de vos systèmes ?

Face aux menaces stratégiques, nous devons mettre en œuvre des moyens hautement sécurisés sur chaque couche de nos systèmes, de l’infrastructure physique à l’applicatif. Pour l’essentiel, nous concevons nous-mêmes nos systèmes en restant conscients des risques que l’on prend en utilisant tel ou tel produit industriel ou open-source, le tout en veillant aussi au bon usage des deniers publics. En particulier, nous sommes très vigilants sur la dépendance aux fournisseurs et sur la sécurité de la supply-chain.

Nous sommes évidemment très proches et partenaires de l’ANSSI pour rester à la pointe des questions de souveraineté et de sécurité informatiques. Avec tous nos enjeux et contraintes, nous avons besoin de conserver en interne des expertises qui sont de plus en plus rares dans les DSI.

Nos systèmes très sécurisés doivent être déployés dans des environnements physiques eux-mêmes très sécurisés. Nous veillons notamment aux risques de captation des rayonnements électro-magnétiques.

Mais « en tous lieux et en tout temps », cela implique pourtant des solutions de communications mobiles classifiées ?

Nos systèmes fixes sont largement déployés sur tout le territoire. La « mobilité » que nous offrons dans le champ classifié est limitée mais, localement, nous pouvons donner accès via des « hubs interministériels ». S’agissant d’informations classifiées en mobilité, nous parlons d’usages de niche, même pour les hautes autorités.

Quelles leçons avez-vous tiré de la crise sanitaire Covid-19 en matière, justement, de travail ubiquitaire ?

Avant cette crise, le télétravail était inexistant au SGDSN. Nous avons été contraints de nous adapter en distinguant ce qui peut être fait dans et hors de nos murs. S’agissant des sujets classifiés, ces gains d’agilité ont été conservés. Il se trouve que la réglementation nous impose largement nos pratiques selon le niveau de classification.

Très souvent, le face-à-face physique était privilégié. Le Covid a imposé de changer nos pratiques. Un millier de postes Osiris a été déployé pour poursuivre les échanges malgré le COVID et reste aujourd’hui en fonction.

La réaction à la crise sanitaire Covid a été l’un des premiers grands succès de l’OSIIC.

Comment procédez-vous pour permettre une collaboration souveraine et cybersécurisée ?

Nous cherchons à maîtriser nos systèmes donc nous hébergeons nos solutions. Nous ne recourons pas au cloud sauf pour ce qui est public comme notre site web institutionnel.

En matière d’outils numériques collaboratifs approchant l'état de l’art ergonomique, nous avons les mêmes préoccupations que la DINUM (Direction Interministérielle du Numérique). Nous nous inspirons donc des solutions portées par la DINUM et nous opérons nos systèmes on premise.

Comment arrivez-vous à proposer des solutions à la fois sécurisées et ergonomiques ?

Le contexte est porteur : l’ANSSI porte avec efficacité la sensibilisation à la cybersécurité. Mais si l’outil de travail numérique n’est pas fourni et utilisable, il ne sera pas utilisé. Nos solutions doivent donc être au plus proche de l’état de l’art. Nous devons fournir des moyens adaptés au respect de la réglementation tout en évitant la tentation du contournement.

S’il n’y a pas de réglementation applicable dans un cas d’usage donné, c’est la responsabilité de  l’utilisateur de choisir son moyen de communication adapté. Si l’on veut que les solutions que nous proposons soient choisies, il faut qu’elles soient efficaces.

L’OSIIC conçoit et déploie ses solutions en s’inspirant de travaux en milieu plus ouvert, par exemple ceux de la DINUM. 

Et pour les communications mobiles stricto sensu ?

Nous disposons, pour le niveau Très Secret, du téléphone TEOREM de Thalès. Le téléphone mobile classifié est un sujet qui génère beaucoup de fantasmes : les services offerts sont très limités parce que les usages sont eux aussi très limités. Par contre, les contraintes sont très fortes. Dans la pratique, les communications classifiées passent majoritairement par la téléphonie fixe Osiris.

Pour le niveau Diffusion Restreinte, nous avons un partenariat avec le Ministère de l’Intérieur pour développer les terminaux mobiles Neo et Neo 2 qui, eux, offrent plus de possibilités.

Comment gérez-vous la pénurie de compétences IT étant données vos contraintes propres ?

Nous avons des gens qui viennent frapper à notre porte parce que nous avons des missions passionnantes au service de métiers exceptionnels. Mais, malgré tout, comme tout le monde, nous sommes dans la guerre des talents.

Nous sommes une organisation civile, en croissance, mais avec des effectifs à peu près moitié/moitié de civils et de militaires. Les personnels militaires sont sujets à des mobilités régulières. Et, pour les civils, nous avons le même turn-over qu’ailleurs.

Nous avons donc des activités de recrutement selon trois canaux. D’abord, donc, les candidatures spontanées. Ensuite, nous comptons aussi sur la cooptation. Enfin, nous avons un cabinet de chasse internalisé à notre DRH qui traite de façon pro-active 28 % de nos recrutements. Hors militaires, nous avons trois recrutements par mois.

Même si la proportion reste trop faible, nous avons réussi à recruter un tiers de femmes ces dernières années. Nous cherchons à garantir un environnement de travail accueillant pour les femmes autant que pour les hommes. Dans les éléments d’attractivité, nous avons nos métiers très pointus et aussi notre politique de formation.

Pour nous rejoindre, il faut partager nos trois valeurs : le sens du service, l’esprit d’équipe et l’audace.

Quels sont vos défis du moment ?

Il y en a deux essentiels.

D’abord, être au rendez-vous des attentes. Nos utilisateurs captifs doivent obtenir ce qu’ils attendent.

Et puis, surtout, nous devons réussir à construire une offre de services au plus près de l’état de l’art pour faire en sorte que nos utilisateurs bénéficient, pour leurs missions, d’outils qui leur permettent une productivité comparable à ce qu’ils pourraient obtenir avec des outils largement disponibles. C’est un enjeu de compétitivité stratégique de la France.

Sur le même sujet

- 8 juin 2023 : Yves Verhoeven nommé directeur de l’OSIIC.