Actualités

Interview de Jean-Marc Grémy « Apportons davantage de synergie à l’écosystème cyber ! »


Vous avez été administrateur, vice-président puis président du Clusif de 2016 à 2022, quel a été votre parcours professionnel et qu’est ce qui a guidé votre engagement associatif ?

J’ai adhéré au Clusif en 1997, dans le cadre d’une entreprise pour laquelle j’étais ingénieur cybersécurité, car il nous avait paru évident de participer à une association professionnelle qui permettait d’échanger avec tout type d’acteur. Et en cela, le Clusif était la seule association existante et reconnue.

C’était une activité relativement récente, qui émergeait du monde essentiellement gouvernemental, moi je venais des télécoms et des réseaux et la philosophie de la sécurité informatique m’était un peu étrangère. C’est ainsi que je me suis investi au Clusif au début.

Le Clusif était une émanation du monde de l’assurance, donc ses membres venaient plutôt répondre aux questions que posait le monde de l’assurance plus que de se poser leurs propres questions, et celles au-delà de leur horizon. Puis le Clusif a commencé à traiter les questions qui venaient de la malveillance, de la malveillance téléphonique par exemple et j’y ai participé. Puis je me suis progressivement impliqué dans la vie du Clusif. J’ai été élu en 2009 au sein du conseil d’administration pour être déontologue et trésorier adjoint.

Quand notre président Pascal Lointier est mort de façon brutale, l’impact a été très violent pour nous, pour le Clusif. Il a fallu s’investir très vite et très fort. On m’a proposé de prendre la présidence en 2012, mais je ne me sentais pas en capacité à ce moment de relever ce défi. On m’a alors proposé la vice-présidence et on dit que les crises nous révèlent, c’est sans doute ce qui m’a révélé. Lazaro Pejsachowicz a assumé la présidence et cela a presque été une co-présidence, car Lazaro était dans cet état d’esprit. Nous avons fait naître un bureau pour gérer à la fois la dimension administrative et avoir une équipe resserrée de bénévoles impliqués dans la vie du Clusif pour certains depuis sa création.

L’histoire de notre association a connu plusieurs épisodes. En ce début 2010, certains critiquaient le modèle du Clusif, je pense pour de mauvaises raisons. Notre raison d’être, notre historique ont imposé dès le début, en 1985 en tant qu’association de fait puis en 1992 en tant qu’association loi 1901, cette mixité, cette pluralité, comment évoquer ces préoccupations, ces questions de fond qu’avec une partie de l’écosystème ? Cela aurait été de passer à côté de l’histoire de l’évolution de l’informatique et maintenant du numérique. Pas d’entre-soi, les utilisateurs comme les fournisseurs posent les problèmes, trouvent des solutions autour de la même table.

Nous revendiquons ce choix fermement, c’est cette pluralité qui nourrit notre esprit d’échange.

Quand vous avez pris la présidence du Clusif, quelles étaient vos priorités ?

Quand j’ai pris la présidence, je n’ai pas voulu changer le cap que nous avions choisi avec Lazaro, et avec lequel j’étais pleinement en accord. J’avais la volonté de faire évoluer l’association, qu’elle s’inscrive dans la modernité, dans l’écosystème d’aujourd’hui. Le Clusif c’est quoi ? Quels sont les fondamentaux, sur quoi pouvons-nous nous appuyer pour développer l’esprit du Clusif ?

  • Les adhérents et leur participation aux GT,
  • Notre patrimoine, toutes nos publications, nos méthodes (i.e. Mehari),
  • Nos cycles de conférences thématiques et emblématiques (i.e. MIPS et Panocrim),
  • Les régions, le réseau régional du Clusif, notamment les régions ultramarines,
  • Renforcer l’équipe du Clusif en ayant une base financière saine.

Donc j’ai assez rapidement envisagé d’élargir l’équipe permanente. Deux sujets sur lesquels j’ai voulu mettre le Clusif en retrait, c’était la communication, je n’étais pas intéressé à savoir notre nombre d’abonnés, etc. On avait une agence de relations presse, on y passait beaucoup de temps et cela n’apportait rien, ce n’était pas mon sujet. Moi je voulais qu’on développe les contenus. L’autre point c’était les Clusi à l’étranger. C’était une priorité du président Lointier, pour moi il fallait déjà qu’on développe le réseau national avant de savoir si on pouvait apporter quelque chose à l’étranger. Il fallait qu’on se concentre sur les sujets qui étaient les nôtres avant de se disperser.

Le Clusif avait engagé la démarche de Reconnaissance d’Utilité Publique en 2006, celle-ci s’est brutalement arrêtée avec la disparition du Président Lointier. Alors, j’ai voulu reprendre ce projet, relancer la démarche. Il m’est apparu évident que le Clusif devait porter ce statut, pour passer une étape dans le développement global de la sécurité de l’information et de la cybersécurité qui sont devenues des causes nationales. Notre histoire, notre positionnement pluriel et sur l’ensemble du territoire national nous obligent. Bien sûr cela ne se décrète pas, mais nous avons eu le soutien de tous les acteurs, et d’abord celui de l’ANSSI.

En tant que président, ce que j’ai tenu à faire c’était de renforcer certains partenariats comme avec l’ANSSI et les autres autorités. Nous avons aussi soutenu dès le début cybermalvaillance.gouv.fr pour développer notre action auprès du grand public. Et j’ai voulu renforcer le bureau, qu’il ait une vraie légitimité dans la prise de décision.

Qu’est-ce qui a changé pour la cybersécurité entre votre entrée au Clusif et aujourd’hui ?

Le monde de la cybersécurité s’est structuré de manière assez rapide parce que ce sujet est devenu un véritable sujet de société et que tout le monde s’en est saisi. À la création du Clusif autour de 1985, nous étions naturellement l’association légitime et la seule à s’intéresser à la sécurité informatique. Bien sûr tout n’a pas été parfait, il y a eu des postures que nous n’aurions pas aujourd’hui, ne nions pas notre histoire. Je porte un regard lucide sur ce que nos détracteurs ont pu dire de nous.

Mais on voit à quel point le sujet devient un enjeu pour les entreprises, au-delà des états. On demande à nos entreprises de se défendre contre des agresseurs. Le Cigref avait interpellé l’État il y a quelques années sur la protection des entreprises. C’était vrai, car la sécurité relève du régalien. Mais à la fois, les organisations doivent elles-mêmes se défendre contre les agents malveillants qui cherchent à en tirer bénéfice. Les entreprises doivent passer un cran supérieur, ne plus être dans une posture d’anticipation de la menace, mais de réaction à l’attaque. C’est un enjeu majeur. C’est l’articulation entre cette posture et la sphère régalienne qui va être intéressante à observer. La fonction de RSSI va devenir réglementée demain, car il faudra rendre compte de l’inefficacité de la défense.

Il y a dix ans nous avions comme cheval de bataille, avec Lazaro, d’être plus tournés vers les PME. L’axe sur lequel nous avions l’ambition de travailler c’était que les grandes entreprises embarquent dans leur démarche les PME. Qu’elles fassent monter en gamme ces PME, leurs fournisseurs, sous-traitants, qui n’avaient pas toujours la maturité pour en comprendre les enjeux. Et en effet, la cybersécurité est devenue mainstream. En mai 2017, le journal de 13h de TF1 ne commence pas par l’élection présidentielle, mais par une cyberattaque mondiale, impact des entreprises françaises. On a basculé à ce moment dans un autre monde !

Quels sont nos nouveaux défis dans ce contexte ?

Le défi aujourd’hui pour le Clusif, c’est la multiplication des acteurs de la cybersécurité. On reste pertinent en étant un observateur intelligent, éclairant de l’actualité. En posant les bonnes questions, en faisant les justes appréciations des enjeux, en essayant de faire un peu de prospective de notre métier, de façon collaborative.

Ma conviction c’est qu’on ne peut pas faire autrement que d’être généraliste. Le monde de la cybersécurité fonctionne de plus en plus en silos, donc il faut qu’on soit le liant de l’écosystème. Il faut que chez nous un RSSI ou un consultant trouve comment faire face à de nouveaux enjeux, de nouveaux sujets. C’est le cœur de notre valeur pour nos adhérents et plus largement pour l’ensemble des professionnels mis en situation de protéger et défendre leurs systèmes d’information.

Nous avons encore de belles pages de l’histoire du Clusif à écrire tous ensemble !