- Place de l'IT - https://placedelit.com -

Mylène Jarossay, Cesin: «Les entreprises doivent adopter une défense opérationnelle»

Mylène Jarossay, l’unique RSSI au féminin d’un groupe figurant sur l’indice CAC 40, a été nommée présidente du Cesin (Club des Experts de la Sécurité de l’Information et du Numérique), intégrant 500 membres. Une nouvelle fonction prise en juin qu’elle cumule de manière assidue et passionnée. Tout en se consacrant à son poste de Chief Information Security Officer au sein du groupe de luxe LVMH avec un périmètre de supervision de portée mondiale.
A travers le Cesin, elle souhaite insuffler «une vision indépendante et un éclairage sur les enjeux en matière de cybersécurité, grâce au partage d’expériences entre ses membres, dans un esprit de coopération, de confiance et de convivialité». Nous avions déjà abordé ce thème de la transformation (organisation, fonctionnement et formats d’échanges) lors d’un entretien de rentrée avec Alain Bouillé, vice-président du Club cyber.
Dans le cadre des Assises de la sécurité à Monaco, Mylène Jarossay évoque des aspects connexes à prendre en considération: la féminisation des métiers liés à la cybersécurité, les changements de paradigme technologique (essor du cloud) et la dimension “Security by design”, censée se vulgariser sur tous les nouveaux projets web, y compris dans la chaîne DevOps.

Interview de Mylène Jarossay, présidente du Cesin
Mylène Jarossay, présidente du Cesin

Place de l’IT: Comment favoriser la féminisation des métiers liés à la cybersécurité?

Mylène Jarossay: La cybersécurité est un métier où la féminisation est très faible. Je pense que les choses sont en train de changer. Nous sommes en train d’amorcer un levier, car le métier de la cybersécurité explose. Nous lui conférons de l’ampleur sous différents angles.
Je suis convaincue qu’avec l’évolution du métier, cela intéressera à la fois les étudiants et les étudiantes. Et de manière totalement naturelle.
Concernant mon parcours professionnel, je reconnais que j’ai toujours évolué dans un milieu masculin. Je l’admets volontiers, mais cela ne m’a jamais posé de soucis particuliers. Je ne vois pas en quoi il y aurait une spécificité masculine du métier.

Le ré-équilibrage entre profils masculins et féminins ne paraît pas si naturel…

Faudra-t-il pousser les choses dans un sens? Je ne sais pas. De notre côté, le Cesin réfléchit à une manière de parler cybersécurité dans les collèges et les lycées de manière approfondie, en faisant des liens avec d’autres disciplines de l’Education nationale comme la philosophie ou des cours sur la citoyenneté. Les jeunes vivent davantage dans le monde numérique avec ses avantages et ses dangers que dans le monde physique. Pourquoi seraient-ils effrayés par le métier de la cybersécurité?

Dans quelle mesure le monde cyber change-t-il de paradigme?

L’environnement informatique qui tend vers le cloud change radicalement la manière d’aborder la cybersécurité. C’est le principal moteur de la transformation.
Cet essor du Cloud impacte fortement notre métier dans la relation avec les tiers, la “security by design”, le DevOps, dans la façon de développer des applications, d’évaluer la sécurité…
Quelque part, le réseau interne disparaît au profit du tout Internet. En parallèle , depuis un an et demi, nous observons un accroissement des incidents de sécurité. Difficile d’affirmer qu’une entreprise peut être épargnée. La part de la détection et des réponses à incidents augmente sensiblement. Les entreprises devront apprendre à réagir à ce qui leur arrive. Il faut dépasser le stade du “wait and see” et se mettre dans une posture de défense opérationnelle.

L’ensemble des collaborateurs d’une entreprise doivent-ils s’inscrire dans une dynamique cyber?

Tous les projets liés au système d’information d’une entreprise doivent d’emblée intégrer la “sécurité by design”. Le Règlement général sur la protection des données (RGPD) a conféré une amplitude à la cybersécurité dans ce sens. Cela devient très concret pour l’adoption des solutions et des risques associés à tout nouveau projet. Il ne s’agit pas d’un buzzword de plus: tout instigateur de projet doit intégrer la cyber-sécurité dès le démarrage.

Dans l’esprit DevOps, la démarche de cybersécurité associée (SecOps) est-elle automatique?

En matière de SecOps, nous manquons encore de maturité. Par exemple, jusqu’ici, nous avions tendance à attendre la fin du développement pour lancer des tests d’intrusion pour validation en vue d’une mise en production.
Avec le tempo DevOps, les évolutions du logiciel sont plus fréquentes et cela nécessite d’adapter la chaîne de développement et donc des outils. Toutefois, un temps de formation s’impose pour prendre en compte cette nouvelle donne.
Retenons que l’angle SecOps concerne uniquement le développement dans une démarche agile. Il ne faudrait pas oublier que l’adoption de solutions clés en main doit aussi intégrer la dimension “security by design”.

Le jury du Grand Prix des Assises de la sécurité, dont vous êtes membre, a remis le prix de la culture sécurité à Pascal Ferard, RSSI de l’Etablissement Français du Sang (EFS). La cybersécurité s’intègre-t-elle naturellement dans la culture d’entreprise?

Nous avons toujours dit qu’avec la cybersécurité, il fallait toucher l’humain. Il est primordial que tout chacun joue son rôle pour éviter la propagation de mauvaises pratiques et d’usages risqués dans le système d’information.
Le sujet de la cybersécurité est enfin relayé par les médias généralistes, ainsi que par la classe politique. Les gens tendent l’oreille sur le sujet et c’est peut-être le moment d’en parler davantage.
Ce Grand Prix des Assises de la sécurité remis à l’Etablissement Français du Sang (catégorie “Culture sécurité”) présente plusieurs intérêts. Sur la base d’un exercice de simulation de crise que tout RSSI a vocation à réaliser, un plan d’action peut être établi par la suite. Outre le progrès que la démarche représente, l’EFS est parvenu à faire de cet exercice un élément extrêmement fédérateur pour développer la culture cyber et augmenter l’appétence pour le sujet. En effet, beaucoup de personnes issues des métiers de l’organisation se sont réellement impliquées dans la préparation de cet exercice de simulation de crise.