Sébastien Valsemey, RSSI, Médiamétrie

Sample

Interview de Sébastien Valsemey, RSSI, Médiamétrie

 

Qu’est-ce qui vous a attiré dans la cybersécurité ? Qu’est-ce qui vous passionne dans votre métier ?

Je suis né au début des années 80, et j’ai eu la chance de côtoyer très tôt l’outil informatique. Je l’ai vu s’imposer peu à peu comme une composante indispensable de notre société. Avec sa démocratisation, les possibilités offertes se sont révélées aussi puissantes que dangereuses. Je suis, encore plus aujourd’hui alors que nous renforçons chaque jour notre dépendance au numérique, fasciné et préoccupé par les possibilités d’impact d’une malveillance de type cyber, sur les organisations et les individus.

Mon métier me passionne car, en tant que « gardiens du temple », nous, acteurs de la cybersécurité, sommes obligés de nous réinventer constamment, d’évoluer, et d’anticiper les problématiques en sortant du cadre. Pour cela, nous devons à la fois être ouverts d’esprit, à l’écoute des individus et de leurs besoins, accompagner le changement sans le freiner, et faire preuve d’une expertise polyvalente tout en gardant une indispensable humilité car les cyber-attaquants seront toujours plus pointus, plus inventifs et avec, par définition, un train d’avance.

 

Quel est le plus gros challenge que vous rencontrez en tant que RSSI ?

Faire prendre conscience à chacun de ces enjeux de cybersécurité, à leur juste mesure, mais sans pour autant adopter une démarche anxiogène. Et la conjoncture ne nous aide pas ! En d’autres termes, comment réussir à ce que toutes les parties prenantes réussissent à placer elles-mêmes le curseur entre une banalisation excessive des impacts que l’on voit trop souvent dans les actualités, et une approche paranoïaque qui s’avère contre-productive.

 

Quelle est la place de la cybersécurité au sein de votre entreprise aujourd’hui ? Comment la sécurité informatique est-elle considérée au niveau de votre direction ?

La fonction RSSI fait partie du Département Qualité et Sécurité, une entité transverse à l’ensemble de l’organisation, et rattachée à la Direction Générale Adjointe de Médiamétrie. Je dépends notamment du Délégué à la Protection des Données, et je reporte directement au Comité Exécutif par rapport aux objectifs de gouvernance de la sécurité.

Cette organisation témoigne du fait que la sécurité fait partie des préoccupations de l’entreprise jusque dans son top management. Chez Médiamétrie, nous ne parlons d’ailleurs pas simplement de sécurité informatique, mais de sécurité de l’information et de protection de notre patrimoine informationnel.
Enfin, ce positionnement, en totale indépendance de la Direction des Systèmes d’Information, permet de créer le pivot nécessaire entre la technique et les métiers et de mener, via une approche basée sur les risques (approche partagée et enrichie avec la Responsable Qualité), une évaluation objective de ceux-ci. C’est notamment ce mode de fonctionnement qui permet d’adopter une démarche mesurée de construction et d’amélioration continue de notre Système de Management de la Sécurité de l’Information, à l’image de notre Système de Management de la Qualité.


Et au niveau des collaborateurs ?

La fonction RSSI est bien identifiée par l’ensemble de nos collaborateurs, et je travaille pour cela de manière différente avec chaque équipe par rapport à nos enjeux de cybersécurité. Je collabore notamment avec la Direction de la Communication pour choisir les vecteurs les plus adaptés afin de porter ces enjeux auprès de chaque type de population : par exemple, des interventions plénières qui s’adressent à l’ensemble de nos effectifs, ou bien des campagnes périodiques et limitées dans le temps comme à l’occasion du mois de la cybersécurité – qui vient de s’achever – ou encore des communications plus ciblées par rapport aux managers.

Ma dimension transverse me permet également d’intervenir périodiquement en réunion d’équipe si nécessaire, ou sur les aspects liés à la formation et à l’accueil de nos nouveaux collaborateurs avec les Ressources Humaines, sur les aspects réglementaires avec le Département Juridique, ou de travailler avec le Département des Achats qui me consultent dès qu’ils identifient un tiers potentiel qui pourrait avoir des implications en matière de cybersécurité.

D’autre part, je réalise un rôle d’accompagnement sur nos projets, qu’ils soient portés par des directions techniques comme la DSI ou la Direction du Développement de nos Systèmes de Mesure, ou bien qu’ils soient portés par le métier : il m’arrive régulièrement de participer à des appels d’offres que nous défendons auprès de nos clients, en apportant une valeur ajoutée qu’il n’est plus nécessaire de démontrer à nos Business Units, et qui n’hésitent plus à me solliciter en amont…
Enfin, nous avons identifié des Correspondants Sécurité de l’Information au sein de certaines équipes, qui sont entre autres les relais de sensibilisation aux enjeux de cybersécurité, et qui me consultent régulièrement sur des problématiques identifiées.

En résumé, il s’agit d’une véritable culture cybersécurité qu’il convient d’entretenir partout, à tous les niveaux et au quotidien parmi nos collaborateurs !


A Cloud & Cyber Security Expo Paris, vous prendrez part à la table ronde suivante Comment créer une culture de la sécurité au sein de votre entreprise ? Quels conseils donneriez-vous à vos pairs qui souhaiteraient insuffler une véritable culture de la cybersécurité au sein de leur organisation ?


Il ne faut pas chercher à s’inscrire dans un rapport de force avec les collaborateurs. Le RSSI est d’abord un facilitateur, voire même un pédagogue. Il doit en toute circonstance d’abord essayer de convaincre avant d’imposer si cela s’avère nécessaire. C’est sur cette base qu’il construira la crédibilité nécessaire pour se faire entendre lorsqu’il pointera du doigt certains risques par exemple.
L’idée n’est pas non plus de chercher à tout révolutionner : la meilleure manière de créer cette culture est de s’insérer au maximum dans les habitudes et les processus en place, et de réutiliser les moyens du bord (je pense notamment aux vecteurs de communication déjà utilisés par l’organisation) avant de chercher à aller plus loin.

Enfin, il est indispensable de donner de la visibilité à chacun sur cette cybersécurité, aussi bien au niveau exécutif grâce à des indicateurs pertinents, qu’au niveau opérationnel avec un éclairage vertical sur votre stratégie : il ne sert à rien de pousser un outil ou une solution de sécurité si vous ne travaillez pas en amont, et de concert avec ses utilisateurs, sur le partage de l’objectif recherché !
Et lorsque vous avez créé ces ramifications à tous les niveaux de l’organisation, vous pouvez ensuite aller plus loin en renforçant l’implication de chacun : j’entends souvent que l’utilisateur est le maillon faible de la sécurité. Je dirais à l’inverse qu’il s’agit du premier acteur de celle-ci. Le meilleur exemple dont je peux témoigner est lorsqu’un collaborateur sollicite mon avis sur une potentielle tentative de phishing qui aurait réussi à passer les filtres, et qu’aucun système de sécurité n’a pu détecter en amont, aussi perfectionné soit-il.


Quels sont les prochains challenges qui vous attendent en termes de sécurité ?


Aujourd’hui en entreprise, la cybersécurité est encore vue comme un coût supplémentaire, même si cette charge est maîtrisée lorsqu’elle est évaluée au bon moment sur un projet, ou que celle-ci s’inscrit de plus en plus comme un facteur différenciant. Une des prochaines étapes sera de réussir à mesurer objectivement le retour sur investissement d’un programme de cybersécurité, sur tous ses aspects : organisationnel à travers les équipes, les processus et les méthodes, technique à travers l’outillage et les solutions en place, et éducatif à travers la formation et la sensibilisation.

 

Découvrez sa conférence 

Sponsors

Matinée AWS

Sponsor VIP

Sponsor Platinium

Sponsor Platinium

Sponsor théâtre

Sponsor théâtre

Sponsor théâtre

Sponsor théâtre

Sponsor théâtre

Sponsors Gold

Sponsors Gold

Sponsors Gold

Sponsors Gold

Sponsors Gold

Sponsors Gold

Sponsors Gold

Sponsors Silver

Sponsors Silver

Sponsors Silver

Sponsors Silver

Sponsors Silver

Sponsors Silver

Sponsors Silver

Sponsors Silver

Sponsors Silver

Sponsors Silver

Sponsors Silver

Sponsors Silver

Sponsors Silver

Sponsors Silver

Sponsors Silver

Village Docker

Village Docker

Village Docker

Village Docker

Village Docker

Village Docker

Sponsor DevOps Live

Village Innovation

PARTENAIRES

Partenaire Média

Partenaire média

Partenaire Média

Partenaire Officiel

Partenaire Officiel

Partenaire Média

Partenaire Média

Partenaire média

Partenaire média

Partenaire Stratégies Transformation Digitale

Partenaire média

Partenaire Stratégies Ressources & Digital

Partenaire TV

Partenaire média

Partenaire média

Partenaire média

Partenaire média

Partenaire média

Partenaire média