Voilà maintenant 2 ans que Médiane Système fait partie du CLUSIF. Mais qu’est-ce que c’est ? Qu’est-ce que cela implique ? Et surtout, qu’est-ce que cela apporte ?

Cette interview de Marie-Pierre FALLY et Sandrine BENARD, toutes deux collaboratrices au sein de Médiane Système et membres du CLUSIF, va permettre de mieux connaitre cette entité.

Quel est votre poste actuel ainsi que votre rôle au sein de Médiane Système ?

Marie-Pierre FALLY: « Je suis responsable du service Qualité, Cybersécurité et Environnement et de la gestion réglementaire associée. Ma fonction consiste à manager le service qualité composé de plusieurs RAQP (Responsables Assurance Qualité Projets), d’un RSSI (Responsable de la Sécurité des Systèmes d'Information), d’auditeurs et d’évaluateurs ainsi que des pilotes de processus.

Mon rôle est aussi de gérer les certifications et le déploiement de normes métiers puis de mettre en œuvre les axes stratégiques autour de la qualité et de la cybersécurité à des fins multiples :

Je permets ainsi à Médiane Système de se positionner légitimement sur divers secteurs et sur des projets contraints. »

Sandrine BENARD: « Je détiens la double casquette de RSSI et de RAQP. Issue de l’Ecole Centrale et forte d’une expérience de 5 ans dans le développement logiciel, j’ai par la suite choisi de m’investir dans le domaine de la qualité. Actuellement rattachée à ce service, j’exerce cette fonction à temps partiel en parallèle de ma fonction de RSSI qui couvre les missions suivantes :

clusif2Pouvez-vous nous expliquer ce qu’est le CLUSIF ? Quel est son but et son mode de fonctionnement ?

Pour commencer, CLUSIF signifie Le Club de la Sécurité de l’Information Français. Autrement dit, c’est une association loi 1901 de professionnels de la sécurité de l’information issus de tous les secteurs d’activité de l’économie.

→ Sa finalité est d’agir pour la sécurité de l’information (facteur de pérennité des entreprises) en contrôlant l’exposition au risque général, et au risque lié plus spécifiquement aux systèmes d’information.

→ Son objectif est de favoriser les échanges de bonnes pratiques et des retours d’expériences en s’appuyant sur des groupes et espaces de travail, la publication de documents et l’organisation de conférences.

L’administration du CLUSIF est composée de deux collèges, eux-mêmes composés de sept membres :

A préciser que le CLUSIF reste en accord avec les directives de l’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information), mais se situe souvent en avance de phase par rapport aux directives sur les nouveaux sujets.

clusif1Pourquoi avez-vous souhaité être membre du CLUSIF ?

« Dans le cadre de la mise en place de la cybersécurité et pour répondre aux exigences de l’ISO 27001, nous avions besoin d’échanger avec des homologues autour de bonnes pratiques et d’avoir des retours d’expérience cybersécurité. Ce domaine était nouveau pour nous. Les conférences du CLUSIF, et plus particulièrement les échanges de l’espace RSSI, ont constitué pour nous une source de veille indispensable. »

Quel est votre rôle au sein du CLUSIF ?

Marie-Pierre FALLY : « Sandrine et moi-même avons participé à des groupes de travail ainsi qu’à des conférences. En tant que RSSI, Sandrine a eu la possibilité d’intégrer le très fermé « espace RSSI ». C’est un espace qui compte actuellement 164 membres qui se réunissent une fois par mois et communiquent via la mailing-liste interne à l’espace RSSI. »

Sandrine BENARD : « Aujourd’hui, notre rôle au sein du CLUSIF est participatif. En 2018, nous avons pu organiser une rencontre entre le SYNTEC (groupe RSE/qualité) et le CLUSIF autour du RGPD. Cette rencontre a été co-animée par un administrateur du CLUSIF et Marie-Pierre. »

Que vous apporte votre participation au CLUSIF dans l’exercice de vos fonctions ?

« Les participations aux différents groupes de travail et conférences nous permettent de continuer à nous former en tirant des leçons des retours d’expérience exposés. Cela nous permet également d’être rapidement informées des nouveaux outils, nouvelles méthodes et nouvelles techniques utilisées par nos homologues, que ce soit dans des grands groupes ou dans de plus petites entreprises. »

Quels sont les impacts directs et/ou indirects pour Médiane Système ? Avez-vous des exemples concrets ?

« L’espace RSSI est un espace privilégié où l’entre-aide est le maître mot. A ce titre, un RSSI au courant d’une attaque d’envergure en préparation ou ayant essuyé les premières retombées, en avertit généralement rapidement les autres membres afin qu’ils puissent s’y préparer.

Pour exemple, Médiane Système a été informée dans les toutes premières heures de la menace « Wannacry » via cette liste de diffusion. Cette information a permis à notre RSI, ainsi qu’à nos équipes techniques de façon plus générale, de réagir au plus vite pour sécuriser le système d’information et ainsi, se prémunir de cette attaque en impactant le moins possible les utilisateurs.

Nous remontons également toutes ces informations à l’ensemble des sociétés du groupe ICE. »

Enfin, quelles sont les suites envisagées avec le CLUSIF ? Autrement dit, quel avenir souhaitez-vous donner à votre participation au sein du CLUSIF ?

« Le fonctionnement du CLUSIF étant basé sur le partage, il est juste pour nous d’apporter notre contribution en retour de ce que nous avons reçu. À ce titre nous allons présenter notre démarche ISO 27001 à l’espace RSSI en septembre. Par la suite, nous proposons de faire connaitre les métiers de la qualité au sein du CLUSIF et de faire profiter les membres de notre retour d’expérience. En effet, plusieurs similitudes existent entre les métiers de la cybersécurité et de la qualité notamment du point de vue de la gouvernance et de la méthodologie. La présentation de septembre sera assurément une première étape. Dans tous les cas, ce sera une très belle occasion de faire connaitre le savoir-faire de Médiane Système… »