Partenaires IN.CRT: 

 

Lorem ipsum dolor sit amet, consectetur adipiscing elit.

Tous droits réservés - IN.CRT 2020

 

en association avec le 

AGORA CYBER: CYRIL BRAS

02/11/2020

AGORA CYBER: CYRIL BRAS

Interview de Monsieur Cyril Bras, RSSI de Grenoble-Alpes Métropole, coordinateur d’un réseau d’une centaine de RSSI d’EPCI sur l'ensemble du territoire national et membre du conseil scientifique de l'IN.CRT .

Novembre 2020 I Grenoble

Monsieur BRAS, vous êtes RSSI d’un EPCI (Métropole de Grenoble) Auditeur de la 2eme Session nationale "Souveraineté numérique et cybersécurité" de l’IHEDN, Intervenant au CNFPT et à la tête d’un réseau d’une centaine de RSSI d’EPCI, pouvez-vous nous décrire votre fonction au quotidien et ses particularités au sein d’un grand EPCI ? 


Cela fait deux ans et demi que j’occupe ce poste au sein de Grenoble-Alpes Métropole ainsi que la ville et le CCAS de Grenoble. J’assure au quotidien la mise en œuvre des mesures de protection de notre système d’information mais aussi la détection des actions potentiellement malveillantes et enfin la sensibilisation de nos utilisateurs à la Cybersécurité. Cette sensibilisation est indispensable pour transformer l’utilisateur en le faisant passer du statut de victime potentielle à acteur au quotidien de la Cybersécurité de la collectivité [1].
Avant d’intégrer le monde des collectivités territoriales, j’ai passé 10 ans en tant qu’ingénieur au CNRS. Cette partie de ma carrière professionnelle a fait que le partage de connaissances et de compétences est devenu pour moi indispensable. Je me suis alors rapproché du CNFPT pour proposer des conférences ou des ateliers en lien avec la Cybersécurité auprès des différents personnels de collectivités.


Cette volonté de partage m’a aussi conduit à constituer, il y a environ un an, un réseau de RSSI de collectivités afin que nous partagions nos expériences et difficultés. Ce réseau a pris naissance lors du FIC de 2020 grâce à l’aide logistique apportée par le Général Watin-Augouard mais aussi en s’appuyant sur une initiative du RSSI du département de l’Isère. Il avait, quelques mois auparavant, commencé à fédérer les RSSI de conseils départementaux au travers d’une liste de diffusion. Une autre de mes motivations à voir émerger ce réseau de RSSI était que pour moi il était insupportable de découvrir dans la presse qu’une collectivité voisine avait été piratée et que cette attaque aurait pu être évitée ne serait-ce qu’en partageant des informations. 

 

Qu’est qui pousse un homme de votre expérience à rejoindre un Institut tel que l’INCRT au sein de son conseil scientifique ? 

 

L’envie de faire bouger les lignes. La Cybersécurité dans les EPCI doit devenir une préoccupation majeure des élus et des équipes dirigeantes mais également l’écosystème de solutions logicielles à destination des collectivités. Il convient également d’améliorer les capacités de détection et de réaction sur incident. J’ai également à cœur de partager mon expérience sur ce sujet que j’ai pu conforter grâce d’une part grâce aux échanges avec mes homologues et d’autre part les actions que j’ai pu mener pour le CNFPT auprès d’autres collectivités à Grenoble, Lyon et Clermont Ferrand.
Je souhaite aussi améliorer la reconnaissance du métier de RSSI dans les EPCI qui a énormément évolué au cours des dernières années mais qui reste encore trop souvent perçu comme un poste purement technique.

 

Quelles sont les actions que vous souhaitez voir l’INCRT déployer et porter dans les 24 prochains mois ? Pour vous, RSSI, quelle doivent être les deux grandes priorités de cet Institut pour soutenir les territoires et pour soutenir leurs RSSI ?


L’institut pourrait nous aider à « officialiser » le réseau de RSSI à travers la France. Il est évident que nous avons besoin de partager de l’information mais cet échange doit pouvoir se faire dans un environnement de confiance en lien avec les instances officielles (ANSSI, CNIL, Gendarmerie Nationale…).


Nous avons également besoin d’une structure capable de gérer les incidents Cyber qui sont de plus en plus nombreux et surtout de pouvoir capitaliser sur l’expérience malheureuse des victimes. En effet, les collectivités utilisent bien souvent les mêmes outils qu’ils soient matériels ou logiciels. Il convient également d’apporter une aide à la détection des incidents surtout pour les plus petites collectivités. Dans l’idéal un CERT dédié aux collectivités et un SOC pourrait permettre ces améliorations.


Pour répondre à la seconde question, il est indispensable de faire ressortir la Cybersécurité comme étant stratégique et non plus simplement technique. Ce qui passe par une revalorisation de la fonction RSSI dans les organigrammes et globalement par la création d’une filière d’emploi cyber distincte de l’informatique. Actuellement le RSSI quand il existe, est souvent positionné dans la DSI ou à un niveau qui ne lui permet pas d’être audible des élus et dirigeants. Cette prise en considération passe nécessairement par une acculturation des élus et dirigeants de collectivités mais aussi par la promotion de l’existence des acteurs de la Cybersécurité. 


La Cybersécurité ne doit plus être perçue comme un centre coût et un frein au développement du numérique mais au contraire comme le gage de confiance dans l’usage des services numériques mis en place par les collectivités.

 

Selon vous, qu’est ce qui explique le retard pris par les territoires et leurs composantes dans la prise conscience de la cybercriminalité et la mise en place de mesure et d’outils de Cybersécurité ?

 

Comme évoqué dans mes réponses précédentes, la gestion de la Cybersécurité s’est limitée (et se limite parfois encore) à la sécurité informatique donc perçu comme étant du ressort de la DSI (Direction des Systèmes d’Information). Jusqu’à présent, la priorité a été donnée au maintien en condition opérationnel (MCO) des applications mises en œuvre ; la sécurité étant perçue comme un frein à la mise en production. Là encore, le positionnement du RSSI (quand il n’est pas également DSI [Directeur des Systèmes d’Information]), le place dans une position de juge et partie qui est difficile à tenir. 


Autre élément à considérer, les fournisseurs de solutions logicielles spécifiques pour les collectivités. Beaucoup n’ont pas pris le virage de la Cybersécurité car n’étant pas challengés sur cette question. Ils se contentent de faire vivre leurs applications à minima ; toute évolution étant facturée (ex : passage en https d’applications…) quand elles ne sont pas refusées. 
Les collectivités ne se sont pas senties concernées par les cyberattaques ; étant persuadées de ne pas avoir de données intéressantes. L’année 2020 a été suffisamment riche en incidents frappant les collectivités pour aider à la prise en compte. Plus personne n’est épargné, les cibles étant à la fois des grandes métropoles (Aix-Marseille [2]), des régions (Grand-Est [3]) mais aussi de petites communes (Crêtes en Belledonne en Isère).


Enfin, si nous regardons l’étude sur la Cybersécurité des collectivités réalisées par le CLUSIF (MIPS 2020 [4]), nous pouvons constater que le budget alloué par les collectivités à la SSI n’est pas (lorsqu’il existe) pérenne d’une année sur l’autre et fait plutôt office de variable d’ajustement des budgets des DSI.

 

 Vous êtes à la tête d’un réseau d’une centaine de RSSI d’EPCI, vous enseignez au sein du CNFPT, selon vous quelles doivent-elles être le rôle du RSSI dans le futur (positionnement, compétences, responsabilités, formation ?) et comment un outil comme l’IN.CRT peut vous y accompagner ? 


Le RSSI ne doit plus être perçu comme « le gars qui configure le pare-feu et l’antivirus » ! Son positionnement doit être proche des décideurs afin qu’il apporte son expertise sur un sujet complexe mais aussi stratégique pour le développement numérique des collectivités et les projets d’envergure associés (Smartcity, IOT….). Suivant la taille des collectivités des postes de directeur de la Cybersécurité devraient être créés en y associant les niveaux de responsabilités adéquats. Les fiches de postes doivent évoluer en s’appuyant sur le travail réalisé par l’ANSSI [5]. Qu’il s’agisse d’un DSSI ou d’un RSSI, les compétences techniques sont indispensables pour comprendre les menaces et adapter les lignes de défense. Il est bien évident qu’il faut également disposer de capacités d’organisation mais aussi de vulgarisation du sujet. Il doit également disposer d’une certaine indépendance et dans l’idéal d’un réel statut un peu à l’image de celui de DPO. 


 Il est indispensable de faire progresser les RSSI en les accompagnants par des programmes de formations adaptés mais aussi favoriser la reconversion de certains profils vers cette fonction lorsqu’elle n’existe pas dans la collectivité. Il convient aussi  d’établir des liens avec le CNFPT mais aussi les universités afin que des programmes adaptés soient créés. La pénurie de main d’œuvre dans le domaine n’est pas à la faveur des administrations en général. Une piste pour y attirer des profils pourraient être le financement de la formation (des contrats d’apprentissage) avec en contrepartie un engagement contractuel dans la durée afin que la collectivité valorise son investissement.

 

Nous avions évoqué cette idée dans nos travaux à l’IHEDN [6].


L’IN.CRT pourrait permettre la mutualisation de moyens pour les collectivités n’ayant ni les moyens ni la taille critique pour se doter de personnels dédiés à la Cybersécurité. L’institut pourrait être le relais d’initiatives locales en les rendant visibles et applicables à l’ensemble du territoire. 


Travaux cités

 

[1]  C. Bras, Interviewee, Interview vidéo Cyril Bras, RSSI Grenoble-Alpes Métropole. [Interview]. 08 Juillet 2019.
[2]  J. Saint-Marc, «Marseille : « Les dégâts sont assez lourds » après une attaque informatique contre la mairie et la métropole,» 17 Mars 2020. [En ligne]. Available: https://www.20minutes.fr/societe/2741875-20200317-marseille-degats-assez-lourds-apres-attaque-informatique-contre-mairie-metropole. [Accès le 18 Mars 2020].
[3]  L'Est Républicain, «Le réseau informatique de la Région Grand Est hacké, l'administration paralysée,» 20 Février 2020. [En ligne]. Available: https://www.estrepublicain.fr/faits-divers-justice/2020/02/20/le-site-internet-de-la-region-grand-est-hacke-l-administration-paralysee.
[4]  CLUSIF, «Études Menaces informatiques et pratiques de sécurité - Collectivités territoriales - Édition 2020 (MIPS 2020),» 30 Juin 2020. [En ligne]. Available: https://clusif.fr/publications/etudes-menaces-informatiques-et-pratiques-de-securite-collectivites-territoriales-edition-2020-mips-2020/.
[5]  ANSSI, «Panorama des métiers de la cybersécurité,» 2020. [En ligne]. Available: https://www.ssi.gouv.fr/uploads/2015/07/anssi-panorama_metiers_cybersecurite-2020.pdf.
[6]  C. Bras, R. de Gouvion Saint-Cyr, L. Haye, B. Le Jossec et D. Lestrade, «Le partenariat public/privé : intérêts et limites,» Session nationale Souveraineté numérique & Cybersécurité, IHEDN/INHESJ, Paris, 2020.

AGORA CYBER: ALEXANDRE PAPAEMMANUEL AGORA CYBER: OLIVIER KEMPF