Le groupe familial et indépendant Locarchives a vu son activité historique évoluer naturellement vers les usages numériques au XXIe siècle. La question de la sécurité a elle aussi été adaptée, avec à la clé une relation entre le Directeur des systèmes d’information (DSI) et le Responsable de la sécurité des systèmes d’information (RSSI) associant indépendance et collaboration. Les explications des deux principaux concernés : Marc Frossard, DSI, et Hervé Streiff, RSSI de Locarchives.

Alliancy, le mag. Quelle est la place que tient la cybersécurité chez Locarchives ?

Marc Frossard : Nous sommes un tiers-archiveur qui gère plus de 7 millions de conteneurs en entrepôts. Depuis une décennie, nous avons pris le virage du numérique avec des prestations d’archivage dématérialisé et de conseil associé. Par nature, cette activité nous oblige à être extrêmement exigeants sur tous les sujets de sécurité, car nos clients sont très vigilants sur ce genre d’externalisations. Cela implique la sécurité physique des entrepôts autant que la sécurité numérique. Deux sujets qui sont beaucoup moins éloignés que ce que l’on peut habituellement croire.

Est-ce que cela justifie une position particulière du RSSI dans votre organigramme ?

Hervé Streiff : Nous avons fait un choix clair. Je dispose d’un service propre, rattaché à la direction générale, car il s’agit pour nous de montrer que les missions ne recouvrent pas seulement la sécurité du système d’information, mais doivent prendre en compte des enjeux d’accès physiques, de réglementations, de labellisation. Pourquoi ne pas porter ce message en étant rattaché à la DSI ? En fait, nous sommes dans la même logique que les acteurs du monde bancaire : il s’agit de permettre l’existence d’un interlocuteur indépendant, alors qu’il existe une pression « commerciale » sur les métiers, qui trouve un écho naturel à la DSI, au niveau des enjeux de livraison des projets, d’agilité, de réactivité…

Marc Frossard : En tant que DSI, on me demande de raccourcir le cycle de développement, d’accélérer le time-to-market, d’avancer plus fortement sur nos enjeux d’innovation… Des questions légitimes mais qui ne sont pas toujours compatibles avec la préoccupation de la sécurité. Or, les deux sont nécessaires, donc il ne faut pas que l’une soit subordonnée à l’autre. De plus, notre RSSI dispose d’une casquette que je n’imagine pas du tout à la DSI : l’expertise sur la réglementation. En étant plus détaché de la pression de la production, il peut avoir un coup d’avance sur les normes, très présentes dans notre univers, qui changent régulièrement notre métier et nos préoccupations.  Il a un rôle de prescripteur pour préparer l’avenir.

Dans cette vision, le RSSI n’est pas un pur interlocuteur technique – alors qu’il est souvent perçu comme cela dans les entreprises…

Marc Frossard : On ne le perçoit pas du tout comme un expert technique. Il a plutôt l’image très positive d’un lanceur d’alerte, doté d’une vision plus globale, qui a un œil en permanence sur notre environnement.

Hervé Streiff : En fait, deux autres personnes permettent de préciser la dimension « technique » de la sécurité : un expert en développement et un expert réseau, tous deux dans la DSI. Le DSI et le RSSI doivent pouvoir s’appuyer sur cette expertise technique, mais pour qu’une approche saine de la sécurité soit consolidée dans l’entreprise, le RSSI doit également avoir les relais pour irriguer les métiers dans leurs projets. Et cela dépasse la vision technique.

En étant mieux associé à la réflexion amont des projets métiers ?

Marc Frossard : Le RSSI ne peut pas espérer être dans une démarche de contrôle permanent et il n’est pas souhaitable qu’il vienne seulement donner son avis en fin de projet, comme on le voit encore souvent. Il faut qu’il baigne dans les appels d’offres, qu’il participe à la naissance des projets afin que la dimension sécurité soit prise en compte dès le départ. C’est pour cela qu’il doit avoir une véritable capacité à montrer sa « vision métier ». Anticipation et prévention permettent d’être beaucoup plus pertinent dans le rapport aux décideurs.

Hervé Streiff : Le but est de pouvoir passer des messages dans tous les comités de l’entreprise auxquels je participe, y compris de direction. Pour avoir l’oreille de ces interlocuteurs, non seulement il faut pouvoir tenir un discours articulé autour de la notion de risque et de gestion de ce risque – et non pas de cybersécurité – mais il est également important de se positionner comme un acteur qui permet d’identifier des opportunités pour le business.

Un exemple ?

Hervé Streiff : Il y a de nombreux exemples d’actualités, mais prenons en un qui a fait date : après le 11 septembre 2001, nous avons assisté à un durcissement majeur de la réglementation PCA dans le secteur bancaire. Nous avons été évidemment sensibilisés à ces enjeux au titre de notre activité, mais cette montée en puissance du sujet, poussé par de nouvelles normes, a révélé également un fort intérêt pour nos clients. Notre enjeu a alors été de valoriser intelligemment dans la foulée une vision de la sécurité, un argumentaire et une proposition de valeur qui soient compatibles avec ces préoccupations. Sans pourtant autant aller « trop loin ».

Face à la médiatisation de nombreuses cyberattaques ces derniers mois, peut-on justement « aller trop loin » en matière de sécurité numérique ?

Marc Frossard : Comme toujours, le curseur est à déplacer finement afin d’avoir une bonne gestion du risque, sans être un frein à des usages qui sont bénéfiques pour l’entreprise, sa compétitivité, ses collaborateurs…

Hervé Streiff : Un exemple parlant : le chiffrement. C’est un sujet clé de la sécurité qui est de plus en plus mis en avant auprès des entreprises. Mais il existe des réalités extrêmement différentes entre le chiffrement de messages entre deux interlocuteurs, de transactions… et celui de 50 années de documents d’archives. Tout simplement parce que bien chiffrer à un coût et des implications. Il ne faut donc pas tomber dans le discours du tout ou rien.

Est-ce que cette réalité est facilement perçue par les individus ? Comment formez-vous vos collaborateurs en matière de sécurité ?

Marc Frossard : La culture du secret a toujours été très forte dans notre entreprise, ce qui est un terreau fertile pour les autres considérations de sécurité. Ainsi, nos clients ne sont jamais évoqués nommément, à l’écrit comme à l’oral, ils sont représentés par des numéros de code. Pour sensibiliser à de meilleurs usages de sécurité, la règle générale est d’avoir de la proximité avec les préoccupations du quotidien – pas seulement faire descendre des instructions. Deux cas particuliers. Chez nos collaborateurs qui ont un profil « mission de sécurité », nous insistons pour que les formations soient de très haut niveau. Par ailleurs, nous formons nos développeurs à la DSI de façon à ce qu’ils puissent intégrer très en amont les questions de sécurité : ce n’est pas une perte de temps car au final cela génère d’importantes économies sur l’ensemble d’un projet et aide fortement le rôle du RSSI. Nous cherchons également à former certains de nos prestataires : le but est d’éviter qu’un seul maillon affaiblisse tout notre écosystème.

Hervé Streiff : Dans les semaines à venir, nous allons insister auprès des collaborateurs sur les risques liés au phishing. Je pense que l’une des bonnes manières pour aider à la diffusion de meilleurs comportements dans une entreprise est de se concentrer et de marteler un nombre restreint de sujet, avant de passer à d’autres. Nous comptons également nous appuyer au maximum sur des contenus créés pour l’occasion par d’autres structures, comme la Hack Academy lancé par le CIGREF. Pour faire bien comprendre la place de la sécurité numérique dans l’entreprise, nous la rapprochons presque systématiquement des enjeux de sécurité physique, qui sont beaucoup plus intuitifs. Ainsi, en termes de contrôle des accès aux différentes fonctionnalités du système d’information par exemple, il n’est pas difficile de faire comprendre que cela relève du bon sens, au même titre que ce que nous faisons déjà depuis longtemps en matière de contrôle des accès de nos bâtiments.

Locarchives Prestataire français de gestion documentaire et de gestion d’archives de sociétés Création : 1977 Chiffre d’affaires 2015 : 45 millions d’euros Effectif : 450 personnes