Prix coup de cœur du jury : Gérard Leymarie, CISO d’Elior
Gérard Leymarie est un passionné avec une farouche envie de transmettre son enthousiasme. Pour lui, « le RSSI doit être en communication permanente et changer sa façon de travailler pour comprendre les évolutions des métiers et adapter la sécurité en conséquence ». Cette vision s’est construite au fil de son parcours qui a débuté au sein du groupe Accor où il est resté pendant 11 ans, « au début nous étions deux à nous occuper de cybersécurité pour arriver à 40 avec une orientation très opérationnelle de la sécurité ». Puis, il décide de rejoindre l’ANSSI où il occupe pendant 8 ans le poste de RSSI et d'OSSI auprès du SGDSN (secrétariat général de la Défense et de la sécurité nationale). Avec cette expérience, il acquiert la vision du service public et interministérielle de la sécurité.
En février 2018, il accepte le poste de RSSI chez Elior où il se charge de refondre l’ensemble de la sécurité du groupe sur le plan international. « Il y avait un besoin de faire évoluer la sécurité vers quelque chose de simple et de regarder les évolutions technologiques », constate Gérard Leymarie. Mais par-dessus tout, « le RSSI doit communiquer de manière permanente » et de donner l’exemple « de l’évangélisation des commerciaux d’Elior pour expliquer que la sécurité peut être un atout business ». Dans sa démarche, le RSSI n’est pas seul et s’appuie sur la direction de la communication. Et les efforts payent, outre les récompenses, Gérard Leymarie voit le PDG d’Elior considérer la cybersécurité comme une priorité. La plus belle des reconnaissances !
Mot de Mylène Jossay, présidente du CESIN et membre du jury du Grand Prix des Assises : le projet de sensibilisation développé par Gerard Leymarie est très innovant puisqu’il s’adresse non seulement à ses salariés mais aussi à ses clients, pour un coût extrêmement modeste, une démarche exemplaire en quelque sorte.
Le prix de la culture de la sécurité : Pascal Ferard, RSSI de l’Etablissement Français du Sang (EFS)
Le prix de la culture sécurité a été attribué à Pascal Ferard, RSSI de l’Etablissement Français du Sang (EFS) pour avoir été à l’initiative d’un projet d’exercice de crise dans le domaine de la santé. Le lauréat précise que loin d’être individuelle, cette récompense couronne « un effort collectif ». Il y a quelques mois au sein d’un groupe de travail sur la sécurité, piloté par la direction générale de la santé (DGS) comprenant entre autres des agences comme celle de la sécurité du médicament, de la biomédecine, et des établissements de santé, le RSSI de l’EFS propose de réaliser un exercice de crise dont l’objectif serait d’évaluer la résilience des infrastructures IT dans le domaine de la santé. « Au départ, seules la DGS, l’ANSM et nous étions partant, puis d’autres acteurs nous ont rejoint comme l’ASIP Santé, l’ARS d’Ile de France, l’hôpital Henri Mondor, le centre hospitalier de Versailles, la DGOS (direction générale des offres de soins) et le HFDS (haut fonctionnaire de défense et de sécurité du Ministère chargé des Affaires Sociales et de la Santé) ». Ces neuf acteurs ont été aidés par une promotion de 20 étudiants en Master 2 au GGRC (gestion globale des risques et de crises). Ces derniers ont constitué une équipe projet et les neuf acteurs en ont créé une seconde, comprenant entre autre, une trentaine de scénaristes (médecins, urgentistes, administratifs). Au total, 100 joueurs étaient mobilisés pour l’exercice.
« Le travail a duré 9 mois avec un effort particulier sur le chronogramme afin de rendre l’exercice plausible et consistant. Ce dernier s’est déroulé le 15 mai 2019 entre 9h et 16h avec pas moins de 250 évènements de jeux en montant en intensité. Le point de départ était la diffusion d’un malware de type Wannacry après l’ouverture d’une pièce jointe », explique le RSSI. L’exercice a été baptisé ECRAN (exercice de cyber-résilience attaque nationale) Santé 2019. A l’occasion de cette simulation, deux points ont été soulevés, constate Pascal Ferard : « les structures de santé sont généralement assez matures dans la gestion de crise car elles y sont régulièrement confrontées sur le champ sanitaire. Par contre, l’exercice a mis en évidence un besoin de renforcement de la coordination entre l’IT et les métiers. Des efforts doivent également être menés dans la coordination interne, mais aussi entre les structures qui doivent mieux communiquer entre-elles ». Fort de ces enseignements, le groupe a émis plusieurs actions autour de trois axes à savoir, « les ressources humaines, l’organisationnel et la gouvernance ». Des réflexions sont maintenant en cours pour rééditer l’exercice avec une orientation plus opérationnelle. A suivre…
Mot d’Alain Bouillé, membre du jury du Grand prix des Assises: Pascal Ferard (RSSI EFS Santé) a été choisi pour le prix « sensibilisation » en nous proposant un retour d’expérience d’un ambitieux exercice de gestion de crise impliquant de multiples entités du domaine de la santé
Prix de l’innovation : Cyrille Tesser, directeur adjoint de la cybersécurité au groupe La Poste
Un Sherlock Holmes chez les postiers. C’est ainsi que Cyrille Tesser est surnommé dans le groupe. Il a rejoint le Groupe la Poste il y a deux ans, après avoir fait ses classes au ministère des Armées puis à l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). En parallèle et depuis plus de 15 ans, il est expert judiciaire près la cour d’appel de Paris, dans le domaine de l’investigation numérique. Un métier méconnu, aussi appelé « forensic » dans les pays anglo-saxons. Ce travail consiste à analyser, rechercher, décortiquer et restaurer les données effacées d’un ordinateur, d’un smartphone, d’un disque dur, d’une clé USB. Ceci afin de mettre en évidence des preuves de façon factuelle dans le cadre d’une enquête. Vu la masse d’informations contenue dans nos équipements, il s’agit bien souvent de « retrouver une aiguille dans une meule de foin ».
Et c’est bien pour les enquêteurs du Groupe la Poste que Cyrille Tesser a consacré ses connaissances et son expérience de l’investigation numérique. « Il y aura toujours besoin de former ou de mettre à jour l’efficience des enquêteurs. Nous avons besoin de faire parler les ordinateurs, les smartphones … dans un cadre bien borné ». Directeur adjoint de la cybersécurité du Groupe La Poste, il a donc pris son bâton de pèlerin et a élaboré un référentiel de processus sur le « forensic » pour protéger plus de 250 000 postiers.
Cette mise en musique des processus apporte selon lui plusieurs avantages, comme éviter toutes mauvaises manipulations ou actions qui empêcheraient de judiciariser certaines affaires, gagner en rapidité dans le traitement des opérations, défendre le groupe et chaque postier avec des éléments factuels « ni à charge, ni à décharge », obliger la prise en compte les informations cachées dans les appareils numériques. Il faut garder à l’esprit qu’aujourd’hui, tous les objets connectés contiennent des données numériques (drone, voiture, réfrigérateur …) et peuvent être expertisés au même titre qu’un ordinateur. Sans cette investigation numérique, on peut manquer un élément décisif et passer à côté de la vérité ».
La première formation de ces enquêteurs « maison » a duré deux jours et a abordé notamment le cadre juridique de l’investigation numérique, la mise sous scellé d’un ordinateur… De prochaines formations, sur d’autres thématiques, sont d’ores et déjà prévues.
« Au final, les efforts ont payé, le référentiel d’une centaine de pages a été favorablement adopté au fil de sa rédaction. Il faut rappeler que ces processus permettent de défendre plus finement tous les postiers et les intérêts du Groupe », souligne Cyrille Tesser. Son souhait serait de voir ces bonnes pratiques se propager au-delà du Groupe La Poste. En général, les ETI n’ont pas de ressources internes pour ce genre de mission. Elles sollicitent des intervenants extérieurs pour ces rares occasions, alors qu’il suffirait d’utiliser et d’adapter cette base de connaissances.
L’idée de départ est simple, les fraudes liées au numérique sont en constante augmentation et les services de police et de gendarmerie sont submergés par ce type d’affaires et de plaintes en ce sens. Sans se substituer aux forces de l’ordre, il paraît donc judicieux d’aider nos institutions avec des dossiers élaborés dans les règles de l’art, tout en s’inspirant de leurs protocoles forensic.
Mot de Mylène Jossay, membre du jury du Grand Prix des Assises : Cyril Tesser a choisi d’aborder dans son dossier l’épineuse question des investigations numériques. Ce sujet jamais rencontré encore dans ce grand prix a été une évidence pour le prix Innovation.
Prix du jeune espoir : Sandrine Bénard, RSSI de Médiane Système
« En 2017, j’ai inscrit la cybersécurité comme axe d’innovation stratégique de Médiane Système. La certification ISO 27001 devait nous aider à structurer notre système de management de la sécurité de l’information et apporter la preuve de notre maîtrise », souligne Patrick Sommacal, directeur général de Médiane Système. « Cet objectif nécessitait le développement de compétences en cybersécurité. Suite au départ du RSSI en charge du projet, j’ai décidé de sécuriser nos compétences SSI en me formant ainsi que plusieurs collaborateurs, dont Sandrine. Nous avons modifié notre approche et décidé d’associer les compétences normatives et méthodologiques de notre service qualité à celles du service Système d'Informations. J’ai nommé Sandrine Bénard RSSI, sous la supervision de Marie-Pierre Fally, responsable du service qualité et cyber, à qui j’ai confié le pilotage du projet de certification, étant donné les autres certifications qu’elle a déjà menée à bien (9001, 14001, 13485…) ».
Issue de l’école Centrale (ingénieur en génie informatique et industriel) et après une expérience de 5 ans dans le développement logiciel, Sandrine a choisi de s’investir dans le domaine qualité. Rattachée au service qualité, elle occupe également un poste de Responsable Assurance Qualité Projets. « Après 9 ans d’expérience dans la qualité logicielle et système, je me suis tournée vers la cybersécurité pour enrichir mes compétences. Mes compétences techniques, méthodologiques et normatives ont permis d’optimiser le planning et le budget du projet ISO27001 et de garantir le respect des exigences normatives, de maîtriser nos risques, avec l’aide précieuse du service SI dirigé par David Leblanc. Notre approche est largement gagnante, car Médiane Système a obtenu la certification en janvier 2019 pour toutes ses activités et agences » explique Sandrine.
Aujourd’hui, Sandrine Bénard, en tant que RSSI, travaille à l’amélioration et la sécurisation du SI avec son équipe et en lien constant avec le service SI, à travers entre autre la maîtrise des risques, la réduction du nombre de vulnérabilités, en anticipant et gérant les crises de cybersécurité.
Mot d’Alain Bouillé, membre du jury du Grand Prix des Assises : Sandrine Bénard (RSSI Médiane Système) par la genèse de la démarche transverse d’entreprise mêlant qualité et sécurité, nous est apparue une excellente lauréate pour la catégorie jeune espoir.