Alice Sivagnanam est arrivée chez Domitys il y a 7 ans et y occupe le poste de RSSI depuis 2020. À son arrivée, elle avait directement intégré la direction digitale et IT, d'abord en tant que chef de projet, puis à la tête de de l'organisation et des process IT en charge de la sécurité. « Je m'occupe aujourd'hui de toute la sécurisation des SI du siège et des résidences, sur les plans national et international », précise-t-elle.
Domitys gère près de 180 résidences de service non médicalisées pour personnes âgées, qu'il vend à des investisseurs et loue aux résidents. En amont, il pilote également tout le programme immobilier depuis le choix du terrain jusqu'à la construction, puis l'exploitation. La RSSI ne dispose pas encore d'équipe en propre, mais espère recruter entre deux et trois personnes dans les mois à venir. Des profils polyvalents, de l'alternant jusqu'au très expérimenté. Aujourd'hui, elle est accompagnée au quotidien par la filière cybersécurité d'AG2R la Mondiale, maison mère de Domitys. « Nous avons mis en place un système de gouvernance pour nous coordonner et disposer d'une synergie entre eux et nous, précise Alice Sivagnanam. J'ai des interlocuteurs privilégiés sur des thématiques comme la gouvernance, la gestion des incidents, l'assistance sur certains cas au quotidien, etc. »
Une approche par le risque et la cybersécurité by design
« Dans le cadre de ma mission, j'interviens sur tous les projets demandés par les métiers, notamment ceux que nous proposons à nos résidents. » Tous les sujets sont abordés, même si celui des données de santé n'en est pas un puisque l'entreprise n'a pas vocation à traiter des données médicalisées, comme le rappelle la RSSI. En ce qui concerne la cybersécurité proprement dite, elle insiste : « les piliers de notre politique en la matière sont une approche par le risque, d'une part, et la cybersécurité by design, d'autre part. Tout projet IT doit passer par l'analyse de risque, de l'expression de besoin jusqu'au déploiement, la mise en production, la maintenance ».
Parmi les solutions déployées, Alice Sivagnanam a, par exemple, fait de l'authentification multifacteurs une exigence fondamentale lorsqu'une identité se connecte au SI de Domitys. Elle a aussi conçu une politique de mots de passe robustes, conforme aux recommandations de la Cnil. Mais au-delà des outils, sa philosophie repose principalement sur la sensibilisation. La RSSI a un rôle majoritairement tourné vers la sensibilisation, l'acculturation, la formation des équipes de Domitys. Et cela passe par la formation des équipes, à la fois en e-learning et en présentiel. Les modules d'e-learning de Domitys ont été conçus pour rendre les enjeux cyber accessibles à tous les collaborateurs.
Dans la peau de cyber héros
« Nous avons été attentifs à ce que ce soit ludique et que cela ne dure pas plus de 30 minutes, insiste-t-elle. Nous invitons nos employés à se mettre dans la peau de cyber héros. » Quant aux formations en présentiel, c'est pour Alice Sivagnanam l'occasion d'échanges plus enrichissants avec les utilisateurs, mais aussi d'une prise de conscience des menaces cyber au travers d'enjeux personnels, comme le phishing par email. Cette forme de sensibilisation s'adresse aux employés, mais aussi aux résidents qui sont tous des seniors. « Nous organisons, par exemple, prochainement une présentation en présentiel à Paris pour nos résidents de toute la région Île-de-France, avec la Gendarmerie nationale », raconte la RSSI.
Alice Sivagnanam est ingénieure généraliste de formation, mais comme elle en plaisante : « la cybersécurité aujourd'hui, pour moi, c'est un peu un retour à mes premiers amours ». La RSSI de Domitys a, en effet, suivi des études à l'ESME (École spéciale de mécanique et d'électricité), avec un focus sur les systèmes et les réseaux. Et c'est dans le cadre de ce cursus de 5 ans qu'elle a été sensibilisée au sujet de la cybersécurité. « J'aime comprendre comment sont construits les logiciels, comment ils ont été conçus, soulever le capot pour comprendre comment la voiture marche. Et j'ai eu très tôt une attirance pour ces sujets, et la cyber, se souvient -elle. J'ai étudié les sciences dès le collège et le lycée, avec une spécialisation en mathématiques. J'ai très tôt eu une appétence pour l'IT, d'autant que cela devenait le coeur du réacteur dans toutes les entreprises, dans tous les secteurs. Et je ne voulais justement pas rester dans une case. L'IT et la cybersécurité sont des domaines dans lesquels il y a de l'emploi et permettent de toucher à tout. »
Cybersécurité, une opportunité pour les femmes
Reste que la cybersécurité, encore davantage que l'IT, est un monde d'hommes. Selon les derniers chiffres de l'Insee pour les années 2021 et 2022, les femmes ne comptent que pour 24% dans les professions du numérique. En ce qui concerne spécifiquement la cybersécurité, l'Anssi (Agence nationale de la sécurité des systèmes d'information) a publié en 2023 une enquête sur la représentation des métiers du domaine, menée auprès de 2252 professionnels. Et seuls 14% des répondants étaient des femmes !
« Déjà, à l'ESME, nous étions très peu nombreuses, se souvient la RSSI de Domitys, diplômée en 2002. Mais il me semble qu'au contraire, c'est une opportunité d'être intégrée, d'avancer dans ce secteur. » Pourtant, à sa sortie de l'école, la jeune femme ne trouve aucun poste chez les fournisseurs de solutions cyber chez qui elle a postulé. « C'était peut-être le fait d'être une femme ou le manque d'expérience, confie Alice Sivagnanam. Difficile de savoir. Même si les postes étaient effectivement plutôt confiés à des hommes... » L'actuelle RSSI de Domitys s'est donc tournée vers des cabinets de consultants, Accenture, puis Bearing Point, où elle a principalement travaillé sur des projets IT. Une parenthèse de plus de 12 ans, avant de retrouver l'opportunité de travailler enfin dans la cybersécurité avec Domitys.
Le RSSI est davantage un chef d'orchestre qui s'appuie sur différents experts, selon Alice Sivagnanam. Il doit savoir s'entourer, rejoindre des réseaux d'experts comme le Club Cesin ou le Clusif, assister à des événements comme le FIC ou les Assises de la cybersécurité, etc. « Ma perception, c'est qu'à ce poste, il est important de comprendre l'IT, mais pour autant, il n'est pas utile d'être un expert de tous les sujets technologiques. Il faut des connaissances en matière de cybersécurité bien sûr, mais aussi sur la gouvernance, les différents rôles, les compétences, etc. » Sans oublier que, pour la responsable de la cybersécurité de Domitys, un RSSI doit être un bon communicant. Une qualité essentielle. « C'est un métier transverse dans lequel on est amené à échanger au quotidien avec les équipes. Il faut aller vers les gens, être à l'écoute de leurs difficultés, leur expliquer les bonnes pratiques. Si on n'est pas ouvert, on s'expose à du shadow IT. »
Entretien Alice Sivagnanam, RSSI de Domitys : « Tout projet IT doit passer par l'analyse de risque »
0
Réaction
Depuis 4 ans, Alice Sivagnanam occupe le poste de RSSI chez le gestionnaire de résidences seniors Domitys. Rare femme dans un métier cyber, elle décrit un métier de sensibilisation, plus que de technologie.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Commentaire