Alain Bouillé (CESIN) : « il ne faut jamais confondre sécurité et conformité »

Le CESIN a organisé son Congrès à Reims les 3 et 4 décembre 2024. Quel bilan peut en être tiré ?

Nous avons rassemblé 180 de nos membres et n’avons eu qu’à déplorer qu’un seul désistement, ce qui démontre un vrai engagement des membres autour de cet événement. Notons qu’il s’agit d’un des rares événements payants pour les RSSI, ce qui accroît la motivation.

La présence assidue des RSSI est aussi la marque que la profession s’organise face aux incidents. Auparavant, au moindre incident, même mineur, le RSSI était mobilisé et donc, le cas échéant, obligé de renoncer au Congrès. Ce n’est plus le cas. C’est peut-être la preuve que la réponse aux incidents mineurs est bien organisée sans que le RSSI n’ait besoin d’être forcément aux manettes.

Le thème du Congrès était « Gouvernance Cyber et Conformité : unies pour le meilleur ». Que doit-on retenir, à ce sujet, de vos travaux ?

Je dois avouer que je craignais qu’un thème unique n’amène une certaine monotonie. D’habitude, nous avons un fil conducteur mais plusieurs thèmes. Finalement, cela s’est très bien passé.

Nous avons eu le plaisir d’accueillir le DG de l’ANSSI, Vincent Strubel. Franz Regul, ex-directeur cybersécurité du COJOP Paris 2024, est également intervenu pour nous expliquer le modèle de gouvernance mis en place à l’occasion des Jeux Olympiques. On dit parfois que le RSSI est un chef d’orchestre. Pour les JOP, c’était particulièrement le cas car il avait à coordonner des organisations sur lesquels il n’avait pas d’autorité particulière avec le succès que l’on sait.

Nous avons aussi pu assister au témoignage d’une multinationale qui doit mettre en œuvre plusieurs déclinaisons nationales de NIS2, ce qui implique une solide gouvernance. Cet exemple est un extrême mais cela démontre que la réglementation a forcément des répercutions sur la gouvernance.

Avec les évolutions réglementaires actuelles, il est indispensable de passer par une solide gestion des risques. Avec la règle essentielle à ne pas oublier : il ne faut jamais confondre sécurité et conformité. Vouloir à tout prix de mettre en conformité peut amener à laisser de côté des risques importants. Il faut donc une vraie gestion des risques pour savoir ce que l’on fait et pourquoi.

Parmi les sujets évoqués durant ce congrès, nous avons parlé du rapprochement OT/IT et de l’impact de la réglementation sur ce mariage déjà compliqué à la base. D’où l’importance d’une démarche basée sur les risques.

Quel a été le retour des travaux en ateliers ?

Nous avons organisé huit ateliers prolongeant la thématiques dans des situations précises. Après trois heures de travail, les participants se sont répartis pour effectuer une restitution de leur travaux à leurs pairs.

Pourquoi avez-vous invité un avocat pour conclure le Congrès ?

En effet, nous avons demandé à Eric Caprioli de conclure le Congrès avec un sujet rarement traité dans nos instances à savoir la responsabilité pénale du RSSI. Le « R » de RSSI est « Responsable » mais d’un point de vue légal, uniquement s’il reçoit une délégation effective de pouvoir, ce qui est encore relativement rare dans notre pays, au contraire des Etats-Unis, où il est très fréquent qu’un CISO soit sous les feux judiciaires. Là-bas, cela sous-tend une réelle compensation financière associée à une couverture assurantielle organisée et financée par le CISO lui-même. Cela explique que les salaires aux Etats-Unis n’ont aucune comparaison avec ceux pratiqués en France.

Aborder ce sujet constituait une bonne conclusion aux questions de gouvernance.

Pour terminer, quand et où sera votre prochain Congrès ?

Toujours à Reims, comme d’habitude, les 2 et 3 décembre 2025.