“Il faut toujours se mettre à la place de l’utilisateur.” Yohann Guiot, RSSI depuis 7 ans, contribue à sensibiliser et à sécuriser le SI chez Open (ESN).

Comment le poste de RSSI s'est créé au sein de votre entreprise ?

Yohann : Historiquement le poste de RSSI a été créé en 2012 lorsque l'entreprise s'est lancée dans la certification ISO 27001.

Comment gérez-vous les compromis entre sécurité et utilisabilité ?

Yohann : Il faut être pragmatique et expliquer l'origine des actions sécurité souvent vécues comme des contraintes. Par exemple, la mise en place d'un NAC (Network Access Control) et donc l'impossibilité d'utiliser des devices perso sur le réseau Wi-Fi, a été accompagnée de démonstration de compromissions du réseau. Il y a également l'actualité en cybersécurité qui aide souvent à faire comprendre les mesures mises en place.

Comment conduisez-vous la constante évolution des menaces ?

Yohann : L'adaptation et la remise en cause des solutions/organisations qui sont en place. Les nouvelles menaces imposent d'avoir une attention constante sur l'adéquation entre solutions de sécurité, usages et menaces.

Comment sont gérés les situations de crise ?

Yohann : Il est difficile de faire comprendre l'importance des entraînements. C’est pour cela que la plupart des exercices de crises sont sur papier.

Comment assurez-vous que les bonnes pratique soient respectées par les collaborateurs ?

Yohann : La certification ISO 27001 aide beaucoup dans ce domaine car le planning d'audit est dense. L'ensemble des activités et sites certifiés doivent être audités sur 3 ans. Nous préparons cela par une campagne d'audit interne identique.

Toutes les activités et tous les sites certifiés sont donc audités a minima 2 fois tous les 3 ans et cela uniquement pour la sécurité du SI. Nous renforçons cela avec une présence locale au plus près des équipes avec des référents sécurité projet.

Avez-vous apporté des outils pour rendre la politique de sécurité interne compréhensible ?

Yohann : Oui, nous utilisons une plate-forme de sensibilisation (TERRANOVA security).

Avez-vous un contrôle des données ? Une traçabilité ?

Yohann : Oui, nous avons accès à la base des collaborateurs, leur date de suivi des sensibilisations et leur note obtenue aux quizz d'évaluation. Pour les personnes qui n'ont pas terminé ou échoué aux sensibilisations, des mails automatiques sont générés chaque semaine.

Quels sont vos projets sécurité pour les années avenirs ?

Yohann: La mise en place d'un SOC (Security Operations Center) ainsi qu’une solution d'IAM (identity and Access Management).

Pour finir, avez-vous un conseil à donner que vous appliquez au quotidien dans votre métier ?

Yohann : Il faut toujours se mettre à la place de l'utilisateur. Si nous devons dire non, il faut l'expliquer et si possible, donner une solution à la problématique rencontrée.

Fin-article_Plan-de-travail-1-2