Partenaire de l'édition 2017 de l'IT Tour, le tour de France de la rédaction du Monde Informatique, le club des experts de la sécurité de l'information et du numérique opère une ouverture en direction des régions. L'occasion pour la rédaction de faire un point avec son président Alain Bouillé sur l'actualité du club qui resserre notamment ses liens avec l'ANSSI, le Befti ou encore la Cnil.

Pour Alain Bouillé, président du Cesin et RSSI du Groupe Caisse des Dépôts, le RSSI doit être au même niveau que le DSI dans l'entreprise. (crédit : D.R.)

LMI : Quelle est la raison d'être du Cesin ? 

Alain Bouillé : Le Cesin va fêter ses 5 ans, c'est une toute jeune association. Le constat que l'on a fait à notre création c'est que les DSI étaient déjà organisés autour du Cigref et de l'Agora, les CIL l'étaient d'ores et déjà avec l'AFCDP, les responsables infra avec le CRIP, mais qu'il n'y avait pas vraiment de club équivalent pour RSSI non ouvert aux offreurs comme les Clusir par exemple. C'est ce qui a motivé la création de ce club, la profession de RSSI ne pouvant que grandir.

La place du RSSI a-t-elle changée avec les années ? 

A l'époque on ne parlait pas autant de réglementation comme le GDPR et de digital que maintenant. Les RSSI sont désormais sollicités de toutes parts et on se rend compte qu'avec l'informatisation généralisée de l'entreprise ils vont s'occuper aussi de la sécurité des immeubles et appareils connectés. Tout ce qui est finalement IT avec le système d'exploitation se retrouve dans la boucle des RSSI ce qui nécessite davantage de professionnalisation et de faire évoluer la gouvernance dans les entreprise. Le propos n'est pas de mettre un RSSI au Comex, mais de le remonter dans la hiérarchie. Je n'ai pas la prétention d'avoir le bon modèle [Alain Bouillé est RSSI du groupe Caisse des Dépôts, NDLR] en étant rattaché à la direction des risques, elle-même rattachée à la DG. Après, tout dépend de la place qu'occupe l'IT au sens large. Pour la transformation numérique, le CDO est rattaché au DG, il faut que la sécurité soit traitée de la même manière, idéalement au même niveau que le DSI.

Etes-vous parvenu à atteindre l'envergure que vous souhaitiez donner au Cesin ? 

Au départ nous étions 60 membres, nous sommes aujourd'hui plus de 300. Cela montre qu'il y avait un manque que l'on a comblé. Pour répondre à l'objectif de professionnalisation, nous avons créé un mentorat dans notre club qui met en relation un mentor et un mentoré pour lui donner quelques clés de manière totalement informelle Cela remporte un franc succès. Ce que l'on veut ce n'est pas simplement un lieu de partage d'expériences mais de compter dans le paysage quand les politiques réfléchissent à de nouvelles lois sur le numérique, que tel ou tel parlementaire fait un rapport sur la cybersécurité, afin de contribuer aux nouvelles évolutions de la législation prenant en compte la sécurité. On souhaiterait pouvoir influer dans le paysage pour être plus présents, exposer les problèmes.

Comment le Cesin fonctionne-t-il ? 

On a modèle qui fait que l'on se réunit 1 fois par mois sur une demi-journée, en mode secret, cela permet de libérer la parole. On établit un programme en début de saison où on prépare l'équivalent de 9 rencontres, la 10e étant le congrès qui se tient sur 2 jours et est payant et pas non plus ouvert à la presse et aux fournisseurs non membres. Ca c'est l'ADN du club que l'on conserve. Et puis il y a ce que l'on fait comme avec l'IT Tour en s'associant à des organismes qui comptent à nos yeux dans le paysage, des organismes de presse comme vous, les Assises ou le FIC. On s'associe aussi à des cabinets comme IDC, PwC, le CyberCerle, organisme très lié avec les parlementaires.

Pourquoi vous investir dans les régions ? 

Il y a un phénomène que l'on observe, c'est que les rencontres, à part les grands événements, comme les Assisses ou le FIC, se déroulent sur Paris. Tout est relativement concentré sur la capitale, on l'a tout de suite noté. Ce qu'il y avait d'intéressant c'est que l'on a environ 10% de nos membres qui sont en région mais que jusqu'à présent on n'avait pas déployé de moyens particuliers et plus misé sur le bouche à oreille. L'IT Tour cela nous intéresse pour voir comment se faire davantage connaitre en région.

Sur quels projets travaillez vous ?

Nous allons lancer les inscriptions au congrès, axé sur un savant mélange de prospectif et de choses concrètes comme le machine learning, le big data au service de la sécurité, la blockchain et le GDPR. On travaille aussi beaucoup avec l'ANSSI et les organismes comme la Befti et la Cnil, on essaie de répondre présent pour travailler sur des sujets communs. Ce que l'on fait également c'est mettre en valeur les PME innovantes dans le monde de la sécurité. Dans les prix et récompenses on s'aperçoit généralement qu'une seule sur 15 est dans la lumière mais qu'on oublie les autres. Nous voulons les mettre en avant et organiser avec elles et les RSSI du Cesin des rencontres dans les mois et années à venir.

Alain Bouillé est président du Cesin et RSSI du Groupe Caisse des Dépôts.