Regard sur la RSSI. Entretien avec Xavier Blaugy (NRJ Group) : « pour beaucoup de médias, il y a un avant et un après 2015 »

Comment a évolué l’approche de NRJ Group en matière de sécurité des systèmes d’information ? Nous avons rencontré Xavier Blaugy, Responsable production et sécurité du groupe audiovisuel français. Il nous livre sa vision du métier, les projets menés et les enjeux qui l’attendent.

Vous êtes aujourd’hui Responsable de la production et de la sécurité des systèmes d’information de NRJ Group. Quel est votre parcours ?

Xavier Blaugy : Je n’ai pas suivi la voie traditionnelle des grandes écoles. J’ai fait comme beaucoup de jeunes qui voulaient entrer rapidement sur le marché du travail. Après un DUT Informatique de gestion, j’ai rejoint le groupe NRJ en 2001, un peu fortuitement je dois dire. Ma première mission était d’installer des antivirus. Rien de très impressionnant, mais voyez j’y suis resté ! Cela fait maintenant 22 ans que je travaille pour le groupe.

Au fil des ans, par le jeu de l’évolution interne, je suis passé par différents postes, dans l’administration, dans l’ingénierie. Il y a 6 ans, j’ai été nommé RSSI, puis il y a 4 ans je suis devenu Responsable de la production et de la sécurité. Mon parcours n’est donc pas celui d’un expert en sécurité diplômé d’une grande école. Je suis passé par l’école du terrain, en quelque sorte. Je connais très bien les métiers et les enjeux du groupe. Cette connaissance approfondie de l’écosystème est un atout pour aborder les problématiques de sécurité des systèmes d’information de l’entreprise

Quel est votre périmètre d’action sur le volet RSSI ?

Sur le volet RSSI, les besoins en sécurité étant croissants et les risques latents de plus en plus présents, le périmètre couvert est celui du groupe dans son ensemble. Cela couvre différents domaines : la partie bureautique, qui concerne les services numériques fournis aux collaborateurs (internet, mail, outils métiers, etc.) ; la partie audio, liée aux métiers de la radio ; la partie TV ; la partie diffusion ; et enfin la partie Web Agency, l’entité qui gère les différents sites web du groupe.

Vous avez dit que cela faisait 22 ans que vous étiez chez NRJ Group, quel regard portez-vous sur l’évolution des problématiques de sécurité informatique en interne ?

Pour beaucoup de médias, en matière de sécurité des systèmes d’information, il y a eu un avant et un après 2015.

Pour mémoire, les 8 et 9 avril 2015, l’infrastructure de diffusion de TV5 Monde subit une cyberattaque qui oblige la chaîne à couper l’ensemble de son système d’information. Côté NRJ Group, cet évènement a marqué les esprits, avec une prise de conscience de l’importance de moderniser son approche de la sécurité informatique. Pour grossir le trait, avant 2015, les mesures de protection se limitaient à l’installation d’antivirus et de firewalls. L’épisode TV5 Monde a entraîné chez nous la création d’un poste RSSI et nous avons vu une plus forte intégration de la composante sécurité dans les stratégies émanant de la Direction.

Par ailleurs, l’arrivée il y a 3 ans d’un Directeur général avec un bagage technique et une sensibilité accrue à la cybersécurité a aussi bien accéléré les choses. Les discussions avec la Direction sont simplifiées et les choix stratégiques qui s’imposaient ont presque tous été validés. Dans la limite des moyens et des équipes disponibles bien entendu. Désormais, tous les projets internes, même les plus simples, intègrent une dimension sécurité dès les étapes de conception.

Sur quels grands chantiers de sécurisation des systèmes d’information travaillez-vous en ce moment ?

Nous avons fait avancer beaucoup de projets ces derniers mois. Nous avons notamment souscrit à un SOC Managé, déployé un EDR (Endpoint detection and response) et finalisé l’intégration d’un PAM (Privileged Access Management). Nous prévoyons de l’étendre désormais sur l’ensemble de nos périmètres. Après, nous continuons d’intégrer des pare-feux par-ci par-là, mais cela fait partie de la sécurité un peu plus traditionnelle, telle que nous pouvions la faire historiquement. Sinon, au-delà des projets techniques, nous travaillons sur des projets de gouvernance, tels que la PSSI, des pentests (tests d’intrusion) et divers audits.

Je vais vous poser une question faussement naïve. Selon vous, qu’est-ce qui fait un « bon » RSSI ?

Est-ce que je fais la blague du bon et du mauvais chasseur ? (rires)

Qu’est-ce qui fait un « bon » RSSI ? Pour être honnête, je n’ai pas d’avis catégorique sur le sujet. Lorsque j’ai pris le poste de RSSI au sein de NRJ Group, les différents prestataires qui connaissaient bien le métier, et ses risques éventuels, m’ont tous dit que c’était bien d’avoir une personne qui vienne du terrain, de l’opérationnel.

Maintenant est-ce que ce type de profil est vraiment le plus pertinent ? Je ne sais pas. Toujours est-il que pour être un bon RSSI, il faut avoir une bonne équipe, avec des gens compétents. Ensuite il faut savoir jongler entre le politique et le technique, en essayant de trouver le juste équilibre. Je pense qu’il faut aussi savoir écouter les autres, quel que soit leur métier, et ne pas hésiter à se remettre en cause. Les différentes visions, expériences ou sensibilités des uns et des autres permettent de challenger les idées, de capter des signaux faibles et de légitimer parfois des révisions de réflexion de stratégie.

J’entends que le RSSI doit être en osmose avec son écosystème, au sens large du terme.

C’est obligatoire.  Avoir des volontés, des stratégies, des process, de la gouvernance à mettre en place, c’est très bien, mais si rien ne suit derrière, si le RSSI n’a pas le soutien de la direction, s’il n’a pas l’appui des RH, s’il n’a pas les ressources humaines et matérielles pour déployer, cela ne sert strictement à rien. Mis à part faire de la prévention et de l’alerting quand il y a des questions de sécurité importantes à aborder, mais ce n’est pas avec des envois de mails que l’on sécurise une entreprise.

Concernant les ressources, travaillez-vous avec des prestataires externes ?

C’est indispensable. Au-delà des ressources, les prestataires ont des connaissances que nous n’avons pas forcément en interne. Surtout sur un domaine de la sécurité qui bouge énormément. Quand on voit tout ce qui nous est remonté, les pertes de données, les fuites de données, les vulnérabilités qui sortent en permanence, tout ce qui est CERT ou autres, être à jour est un défi au quotidien. Nous avons donc besoin de travailler de concert avec les prestataires, et d’en faire de véritables partenaires de la sécurité.

Dernière question. Quelle problématique de sécurité des systèmes d’information voyez-vous poindre dans un futur plus ou moins proche ?

La difficulté de recruter. Les coûts des candidats augmentent et le marché se tend. Il devient de plus en plus compliqué de trouver des personnes compétentes et expérimentées, même lorsque l’on est prêt à payer.

En parallèle, nous voyons de plus en plus de juniors, avec quelques années d’expérience, demander des salaires similaires à ceux des seniors. Cela me semble déraisonnable et incohérent, voire risqué pour les entreprises d’embaucher des juniors en lieu et place de seniors. Bien que cela puisse être bénéfique pour les jeunes talents, cela peut entraîner une perte d’expertise en interne.

En fin de compte, il s’agit de choix d’entreprise et de gestion des budgets. Si les directions générales ne sont pas prêtes à investir dans la sécurité des systèmes d’information, et si elles n’en font pas un sujet stratégique de haut niveau, elles devront faire face aux conséquences.

SysDream vous accompagne dans la gestion du risque cyber de votre système informatique. Nous mettons à votre disposition (que vous soyez client ou non) une équipe d’experts spécialisés dans la réponse aux incidents et l’investigation numérique pour contenir un incident de sécurité informatique, y remédier et enquêter sur les sources de l’attaque.

N’ATTENDEZ PAS D’ÊTRE ATTAQUÉS ! Contactez-nous

https://sysdream.com/audit-conseil/ris-reponse-incidents-securite/

Benoit Grangé

Directeur Technique et RSSI

Benoit Grangé est directeur technique et responsable de la sécurité des systèmes d’informations chez Hub One. Dans la vie, c’est un amateur de photographie en vacances ou en famille. Il est aussi passionné par la technique dans l’aviation, l’espace ou la performance des systèmes. Une passion qui lui permet également de s’enrichir sur le plan professionnel en restant à l’affut des évolutions et des dernières nouveautés technologiques. Son gadget préféré : Waze. Une application qui illustre, bien selon lui, les nouveaux usages pour améliorer et enrichir les services proposés aux utilisateurs, grâce aux utilisateurs eux même.