Les chemins de la fraude passent aujourd’hui très souvent par l’intrusion dans les systèmes informatiques. Les malfaiteurs y trouvent des éléments qui faciliteront leurs usurpations d’identité, ou y installeront des cryptologiciels qui mettront en péril les données. RSSI du CNRS, Michel Chabanne travaille à faire progresser la connaissance des risques informatiques. En amont, auprès des métiers et du service achats, et en aval, au plus près des chercheurs, grâce à des relais choisis pour leurs qualités individuelles. Une interview exclusive.

« L’organisation de la sécurité doit prendre en compte les contraintes de l’entreprise. Et ce sont rarement des éléments facilitateurs ». Michel Chabanne, RSSI du CNRS, ne prétend pas que le prestigieux établissement public ait en la matière un fardeau plus lourd à porter que la moyenne. Mais il a son lot, et il est conséquent : « Le CNRS emploie 14000 agents au total, et fonctionne de manière très décentralisée, avec 18 délégations régionales plutôt autonomes, sans compter les bureaux à l’international ».

Des services centraux répliqués dans les entités régionales

« Même si le délégué régional représente le président et même si les services – RH, immobiliers, achats, informatiques – sont des réplicats de la structure centrale, cette organisation se caractérise par des liens hiérarchiques moins forts que dans le privé, par exemple ». Un mode relationnel qui constitue un avantage dans la lutte contre le phénomène de fraude au président, reconnait le RSSI, mais plutôt un handicap en bien d’autres circonstances. Comment imposer une politique de sécurité ?

Penser sécurité informatique dès les achats

« Je considère qu’il y a un fort tropisme de la sécurité informatique au niveau des achats, et c’est pourquoi cet échelon s’avère primordial dans le cadre de notre politique. C’est là que passent à la fois les acquisitions informatiques, mais aussi que se dessinent les projets d’évolution des processus, et des briques du système d’information ». Michel Chabanne a donc organisé une prise en compte des contraintes de sécurité dès l’analyse des offres, des rédactions de RAO. Et son intervention se poursuit par la surveillance de la qualité de la mise en œuvre.

« Je sais que bon nombre d’acteurs et même de RSSI, cantonnent notre rôle à celui de pompiers, ou d’extincteurs. Il est beaucoup plus intéressant de se positionner en amont, pour apporter valeur ajoutée et appui constructif aux métiers. Cela permet aussi de ne pas être perçus uniquement comme des garants voire des gardiens de la réglementation ».

Des préconisations plutôt que des contraintes

La prolifération des nouveaux risques – fraudes, vol, rançonnage…, ne permet pas de tenir un discours péremptoire et définitif : rien n’est jamais acquis. « Les métiers comprennent très bien cela. Paradoxalement, le danger viendrait plutôt de l’émergence de risques anciens, là où on ne les attend plus ».

Faire prendre conscience aux chercheurs, par exemple, qui ont intégré le numérique dans leurs pratiques, dans leurs échanges avec des partenaires extérieurs, avec les risques afférents d’intrusion dans le réseau, n’est ainsi pas chose facile. « Le chercheur du CNRS a toutes les armes intellectuelles pour comprendre les menaces mais reste, avant tout, quelqu’un de libre. Il vit toute contrainte comme une atteinte à sa liberté. Cela nous oblige à communiquer par préconisations, par conseils, plutôt que par ordres et par contraintes ».

La sécurité affaire de tous : bien sûr… mais pas si simple

La communication, justement. Comment porter un message dans une structure aussi décentralisée ? Et surtout, comment faire prendre conscience que la sécurité informatique est l’affaire de tous ? D’abord en s’appuyant sur un réseau de relais régionaux, les ASR (pour Assistants Systèmes et Réseaux), équivalents de correspondants informatiques explique Michel Chabanne. Ensuite en détectant, dans les équipes, des personnes susceptibles de faire passer le message. « La difficulté, dans une structure comme le CNRS, vient de ce que le choix d’un référent pour la sécurité informatique ne pourra jamais être automatique. La question du comportement de la personne, celle de son autorité qui ne saurait être exclusivement hiérarchique même si le statut peut-être facilitateur, ou encore de ses compétences sur le sujet, doivent être évaluées au cas par cas ».

Une sous-évaluation chronique du risque

Difficile de comparer cette organisation avec celle de la sécurité incendie dans les entreprises, portée par des pompiers volontaires et à laquelle tout le monde adhère, en se sentant concerné. « Un mégot jeté allumé dans une corbeille à papier, fait courir un risque létal à toutes les personnes alentours, ce qui porte leur réaction. Mais en matière de sécurité informatique, et malgré toutes les campagnes de formation ou de sensibilisation, il y a encore et toujours une sous-évaluation chronique du risque et des conséquences ».

La médiatisation des affaires renforce progressivement les prises de conscience

Michel Chabanne estime toutefois que la médiatisation des différentes affaires renforce, progressivement, les prises de conscience. Il compte aussi beaucoup sur l’effet d’exemplarité, ou plutôt de contre exemplarité, lorsqu’un collègue vient expliquer à d’autres collaborateurs de l’entreprise les conséquences d’une négligence concrète. Enfin, il s’attache à chiffrer, pour son conseil d’administration, les coûts de résolutions des incidents constatés, afin de nourrir ses décisions. En matière de sécurité informatique de l’entreprise aussi, la sérénité et sa quête ont besoin de chercheurs opiniâtres !