Les articles du dossier

Portrait sécurité : Jean-Michel Bernad, entre statistiques et IA chez OpinionWay

Originaire du monde de la statistique, Jean-Michel Bernad a rejoint OpinionWay a sa création en l’an 2000. Aujourd’hui, en tant que directeur informatique et délégué à la protection des données, la sécurité est dans sa vision un sujet transverse d’entreprise, sur laquelle l’intelligence artificielle et la culture d’entreprise font bouger fortement les lignes.

| Cet article fait partie du dossier « Sécurité : ceux qui font bouger les lignes »

Jean-Michel Bernad, directeur informatique et délégué à la protection des données.

Jean-Michel Bernad, directeur informatique et délégué à la protection des données.

C’est une marque connue de tous les français et pourtant Opinion Way est une PME de 90 collaborateurs. Ses nombreuses enquêtes, dont seulement 10% sont rendues publiques, font de la jeune structure créée en 2000, une entreprise française extrêmement exposée. « Nous avons un énorme enjeu de réputation et vu les données que nous manipulons, nous ne pouvons pas nous permettre de souffrir d’une databreach » résume Jean-Michel Bernad, directeur informatique de l’entreprise. Ce statisticien, qui dirige également les opérations au sein de l’entreprise (14 millions d’euros de CA), a rejoint l’institut d’études en ligne dès sa création en 2000, en tant que responsable des méthodes.

Le sujet de la sécurité devient rapidement une préoccupation, au vu des l’activité de la jeune pousse qui gère de très nombreuses bases de données de clients, eux-mêmes très vigilants sur la protection qui en est faite. « En termes de culture d’entreprise, nous avons sans doute aussi bénéficié de notre dimension « start-up » très dynamique à l’origine. Nous étions en quelque sorte un peu plus « jeunes et geeks » sur le secteur » témoigne celui qui est également aujourd’hui délégué à la protection des données.

Malgré une attention précoce portée à la sécurité des données – la PME se dote d’un correspondant informatique et liberté en 2014 et de toute une batterie d’outils antimalware et de chiffrement data et mobile – Jean-Michel Bernad note que l’effort est devenu plus intense, ces derniers mois. « Nous ne sommes que deux sur la partie informatique en interne, et ce n’est pas mon métier d’origine, mais cela ne nous a pas empêcher de continuer les remises en question : en 2017, nous avons mis en place un système de data loss prevention, puis en 2018, nous avons décidé de profiter du RGPD pour augmenter encore la prise de conscience des collaborateurs ». Une préoccupation qui trouve écho auprès du Comex, avec à la clé une augmentation du budget sécurité d’un tiers sur la seule année 2017-2018.

Si Jean-Michel Bernad juge important d’avoir été moteur sur le sujet, il souligne également que le CIL/DPO et la direction qualité ont pris leur part du sujet pour activer cette montée en puissance. Un engagement qui permet en rebond de toucher les collaborateurs. « La crainte principale, c’est que le sujet soit seulement technologique et peu transparent, que cela les empêche de travailler. Mais les changements de comportement sont également là, alors que nous sommes de plus en plus exposés à des actions de social engineering, vu notre activité » explique le directeur informatique.

Le fait que de plus en plus d’enquêtes soient réalisées à la demande des entreprises sur le sujet de la cybersécurité est également une piqure de rappel permanente. « Cela favorise mécaniquement la compréhension du sujet par nos équipes, qui font le parallèle avec leur quotidien » indique Jean-Michel Bernad. Parmi ces enquêtes, le baromètre réalisé chaque année par le CESIN et dévoilé à l’occasion du Forum International de la Cybersécurité, est ainsi un rendez-vous emblématique.

Un projet pour faire bouger les lignes : l’IA avec Darktrace

« Nous sommes assez naturellement allé chercher une solution basée sur l’intelligence artificielle pour améliorer notre approche de la sécurité, car dans notre secteur, nous utilisons déjà beaucoup pour nos clients des systèmes de marketing prédictif, de machine learning et des réseaux bayésiens » évoque Jean-Michel Bernad. En matière de sécurité, l’objectif est de faciliter le quotidien de la petite équipe en permettant le repérage de signaux faibles de menaces et compromissions, qui seraient passés autrement inaperçus.

Déjà bien équipés en logiciels de sécurité de toutes sortes pour une PME, l’institut d’études jette alors son dévolu en 2018 sur Darktrace. Un proof of concept (POC) de 30 jours permet non seulement de confirmer l’intérêt de l’approche pour OpinionWay, mais aussi de bien prendre la mesure des remontées à catégoriser, pour que l’outil n’alerte pas en vain l’entreprise. « Il faut être vigilant sur la façon dont on place le curseur, pour savoir ce que l’on veut voir apparaître réellement grâce à l’intelligence artificielle…. Cela demande aussi une certaine réorganisation : nous avons ainsi procédé à la mise en place d’un suivi quotidien des alertes, mais aussi d’une analyse hebdomadaire qui permet d’affiner toujours plus le fonctionnement du logiciel ».

Le temps du POC, ni trop court, ni trop long, permet non seulement de convaincre la direction de l’entreprise de l’intérêt de l’approche, mais aussi d’évaluer l’impact qu’allait avoir la mise en place de l’outil sur le quotidien. « L’analyse d’impact PIA*, est absolument clé pour que nous puissions faire confiance, et en rebond que cette confiance puisse se traduire auprès du reste de l’entreprise. Cela a été d’autant plus intéressant que nous avons mené le POC durant la coupe du monde de football, période de forte exposition et de menaces s’il en est, ce qui a permis de constater les impacts en temps réel ». Jean-Michel Bernad se juge aujourd’hui beaucoup plus serein avec cette nouvelle corde à son arc, mais il ne se repose pas sur ses lauriers. Sa conviction est bien que sa vigilance va devoir s’accroître, car les attaquants eux-mêmes ne manquent pas de monter en compétences avec l’IA pour être plus efficaces. Et pour faire face un outil seul ne remplacera jamais une véritable culture sécurité à l’échelle de toute l’entreprise.

*Privacy Impact Assessment est une démarche d’analyse de risques sécurité qui a vu son importance rappelée par l’entrée en vigueur du RGPD en 2018 notamment.