Réunir les forces vives de la cybersécurité lyonnais, tel a été le défi relevé par le Club 27001 de Lyon jeudi 13 juin 2019. Pour cette première édition du colloque cybersécurité inter-associations de Lyon (CCIAL) qui s'est tenue au sein des salons du prestigieux Hôtel de ville de la capitale des Gaules, les ambitions de ses organisateurs étaient fortes. « Le moteur de cet événement c'est l'ouverture aux autres clubs, faire des passerelles, échanger et participer de manière commune à des salons et ouvrir le club », nous a expliqué Didier Savalle, représentant du Club 27001 qui a ouvert la branche lyonnaise de cette association il y a 4 ans. « On voulait faire une couverture horizontale, réunir en un lieu tous ceux qui participent à la cybersécurité, à la protection des données persconnelles, etc. et un maillage vertical avec la CNIL, l'ANSSI et le Clusif qui viennent parler et amener des réflexions », poursuit dans la foulée William Bourgeois, membre du Club 27001 et animateur de la 1ère édition du CCIAL.

Un tour de table des principales organisations partenaires, locales ou nationales, a permis d'en savoir plus sur elles. Avec pour commencer, comptant plus de 520 adhérents, et qui fête cette année - le 2 décembre - ses 50 ans, l'ADIRA. Cette association a une mission de veille IT, échange et partage d'expérience en favorisant la rencontre des offreurs de services et des utilisateurs finaux (DSI et métiers). Du côté de l'AFCD (association française des correspondants aux données personnelles) née il y a 15 ans, l'association regroupe 1 400 adhérents (60 membres à Lyon) pour 3 800 personnes physiques partageant leur savoir-faire en matière de traitement, gestion des données personnelles de la conformité juridique et informatique au travers notamment d'une plateforme en ligne Agora.

CCIAL 2019 

La première édition du colloque cybersécurité inter-associations à Lyon a été organisée par le Club 27001, représenté par Didier Savalle (à droite) et animée par William Bourgeois (à gauche), membre. (crédit : D.F.)

Le Club 27001 présent à Lyon depuis 4 ans

Créée en 2016, le Cercle des femmes en cybersécurité, Cefcys, vise à promouvoir les métiers de la cyber auprès des femmes et les accompagner dans ces métiers. Ouvert également aux hommes, ce cercle est articulé autour de plusieurs actions dont une présence  dans des congrès, salons, bootcamps, colloques et lors des rencontres de la Cybersécurité (Auvergne Rhône-Alpes, Paris...). Avec environ 500 adhérents, le Cesin (club des experts de la sécurité de l'information), vise à permettre à ses membres RSSI - dont l'adhésion est possible par cooptation - d'échanger et de travailler chaque mois sur des thèmes particuliers avec des retours d'expériences et également des labs sectoriels produisant différents livrables (Office 365, sensibilisation, sécurité en monde industriel...). Un programme de mentorat est également proposé pour accompagner les jeunes RSSI dans leur métier.

Présent depuis 12 ans en France, Club 27001 réunit les personnes, des acteurs, trouvant un intérêt dans cette norme dont à Lyon depuis 4 ans avec 4 réunions annuelles orientées autours de retours d'expérience et des présentations dédiées (RGPD...). Les prestataires ont le droit de venir mais doivent bien se comporter sous peine de "cartons jaunes". Le Clusir Rhône-Alpes, relais local du Clusif, existe de son côté depuis 20 ans regroupe plusieurs catégories d'acteurs (prestataires, utilisateurs, services de l'Etat et des universités/chercheurs). 10 réunions mensuelles sont organisées autour du partage sur des solutions techniques mais aussi la confrontation entre anciens de la sécurité et les jeunes générations qui arrivent permettant d'enrichir les échanges.

CCIAL 2019

La première partie de la matinée du CCIAL 2019 a été consacrée à un tour de table des différentes associations cybersécurité à vocation locale et/ou nationale. Avec de gauche à droite Pierre Belin (membre du Cesin), Mary-José Sylvain (déléguée générale de l'Adira) et Philippe Duby (président de Rezopole). crédit : D.F.

Rezopole, association créée à Lyon depuis plus d'une quinzaine d'années, articule ses activités autour de mise à disposition de plateformes haut débit disponible sous la forme d'une place de marché, et apporter des services (réseaux BGP, redondance réseaux...). En phase de croissante importante, elle compte une centaine de membres. Concernant Taal project, créée à Lyon il y a un an et demi, elle est positionnée sur la sensibilisation autour de la blockchain avec la volonté de documenter et expliquer les enjeux autour de cette technologie et aider les femmes à s'intéresser au digital dans une logique d'inclusion numérique en particulier autour de la blockchain. L'association compte une centaine d'adhérents dans 4 pays (France, Mexique, Brésil et Nigeria).

« Face aux risques cyber, le RGPD, shadow IT je suis persuadé que l'union fait la force. J'ai vraiment trouvé dans ces organisations des gens qui avaient comme moi les mêmes problématiques et cherchaient des solutions pour déployer pour répondre à ces enjeux », a expliqué William Bourgeois. 

CCIAL 2019

Ont également été en plateau pour représenter les associations locales/nationales de la cybersécurité de droite à gauche : Bénédicte Piliet (membre d'honneur du Cefcys), Michael Moffett (président Taal Project), Raphaël Peuchot (membre AFCDP et Clusir Rhône-Alpes) et Didier Savalle (représentant Club 27001 Lyon). crédit : D.F.

Au cours de la matinée, plusieurs clubs institutionnels sont intervenus, dont l'ANSSI qui a effectué un focus sur la directive NIS et ses implications. « On a la faiblesse de penser à l'ANSSI que les actions réglementaires que nous avons eu ces dernières années qui se sont appliquées principalement aux grandes administrations et aux opérateurs d'importance vitale commencent à porter leurs fruits [...] On peut penser que le durcissement des systèmes d'information des grandes entreprises françaises est vraiment en bonne voie et commence à porter ses fruits. »,  a fait savoir Patrice Bigeard, délégué à la sécurité numérique Ile de France de l'ANSSI.

Autre prise de parole appréciée lors du CCIAL 2019, celle de la CNIL par la voie de Matthieu Graal, chargé du service de l'expertise technologique de la commission, qui a démystifié certains aspects liés à la violation de données à caractère personnel qui peut aussi être un problème de disponibilité des données. « A partir du moment où il y a des conséquences sur les personnes, c'est une violation de données à caractère personnel. Si des données sont absentes, que la personne ne peut pas avoir un prêt ou ne peut pas être soignée, c'est une violation. Si les données sont modifiées, cela peut avoir des conséquences, c'est une violation de données ». Concernant l'évolution des contrôles, le volume n'a pas explosé même si les contrôles en ligne ont progressé : « On ne va pas forcer le passage, faire du hack de site pour vérifier les formulaires ».

CCIAL 2019

« Si des données sont absentes, que la personne ne peut pas avoir un prêt ou ne peut pas être soignée, c'est une violation de données », a rappelé Matthieu Graal, chargé du service de l'expertise technologique. crédit : D.F.

Le colloque s'est ensuite achevé sur une table ronde, animée par la rédaction du Monde Informatique, visant à faire le point sur les enjeux, contraintes et ententes naturelles ou forcées entre DSI, RSSI et DPO à propos du pilotage et des actions en cybersécurité dans l'organisation. Et ce, dans un contexte marqué par la montée en puissance des cybermenaces (ransomwares, cryptominage...) que de la nécessité de se mettre en conformité RGPD, avec le cas échéant de gros risques encourus. Ont participé à cette table : Pierre Belin (RSSI-DPO Apicil), Hélène Charlier (RSSI Dimo Software), Philippe Paturel (RSSI-DPO Capio Sud), Sylviane Ruiz (DPO groupe Engie) et Jean-Cyril Mourier (DSI Trellebord Industrie)

« J'ai un DSI hiérarchique avec beaucoup d'autonomie et un vice président sécurité qui s'assure que le travail est bien fait. Il y a aussi un patron mondial de la sécurité en Australie, mon vrai patron c'est le DSI », a expliqué Philippe Paturel. S'il n'est pas rare que la DSI soit personnellement impliquée dans la mise en place de la stratégie cyber des entreprises, c'est bien aussi le cas de la direction générale. « Je suis rattachée directement au directeur général membre du comex », annonce Hélène Charlier, qui précise par ailleurs avoir été épaulée il y a 6 ans par l'arrivée d'un RSSI technique. C'est d'ailleurs également le cas chez Apicil : « La fonction de RSSI opérationnel est récente chez nous, ce n'est pas moi qui l'ai recruté mais il est arrivé dans un contexte que l'on connait avec de plus en plus de cybermenaces », a indiqué Pierre Belin. 

La démarche sécurité de l'entreprise renforcée avec le RGPD

Si la question se pose - immanquablement - de savoir si on ne peut pas être à la fois juge et partie, c'est bien lorsque le RSSI cumule la fonction de DPO. « Bien au contraire », poursuit Pierre Belin. « C'est un levier d'efficacité. La partie RGPD donne du sens à la démarche sécurité de l'entreprise ». Alors RSSI et DPO même combat ? « Au départ on préférait que le RSSI soit aussi DPO mais cela ne s'est pas fait pour des raisons de disponibilité, alors on s'est fait accompagner par des consultants et des cabinets externes », a fait savoir Hélène Charlier. « Je travaille en totale collaboration avec le RSSI et rapporte au DSI qui a selon moi plus un rôle de sponsor dans le projet RGPD », a raconté Sylviane Ruiz DPO de la branche BtoB d'Engie. « Le RSSI est considéré davantage comme un partenaire qui reporte au quotidien de notre SSII interne et plus rarement au RSSI groupe », complète de son côté Jean-Cyril Mourier. « Le DPO groupe s'assure de la cohérence globale du projet RGPD mais au niveau local ce sont les RH qui s'en occupe ».

CCIAL 2019

Loïc Guezo, vice président du Clusif, a présenté une version condensée de la 19ème édition de son panorama cyber présentée début 2019. (crédit : D.F.)

Face au succès remporté par cette première édition du CCIAL, qui a réuni une centaine de personnes, une seconde est d'ores et déjà programmée avec quelques aménagements prévus. « Ce qu'il faudrait améliorer c'est la concentration, on avait fait une demi-journée, je pense qu'il faudra faire une journée complète à la prochaine édition, une communication plus en amont et réduire un peu le nombre de partenaires pour s'engager sur un montant [financier, NDLR] un peu plus important », conclut Didier Savalle.