Entretien avec Alain Bouillé - RSSI à la Caisse des dépôts


La Caisse des dépôts et consignations et ses filiales constituent un groupe public au service de l’intérêt général et du développement économique du pays. Ce groupe remplit des missions d’intérêt général en appui des politiques publiques conduites par l’Etat et les collectivités locales et peut exercer des activités concurrentielles. » (Code monétaire et financier. Art. L 518-2)

Alain Bouillé est Responsable de la sécurité des systèmes d’information Groupe à la Direction des risques et du contrôle interne de la Caisse des Dépôts.
 


Quels sont les métiers et les spécificités de la Caisse des Dépôts ?
 

La Caisse des Dépôts a quatre grands métiers :

  • Les activités bancaires, dites « réglementées » consacrées à la gestion des fonds privés protégés par la loi : la CDC est notamment le banquier des professions juridiques, mais aussi de la Sécurité sociale et d’organismes d’intérêt général. http://www.caissedesdepots.fr/activite/banque-du-service-public-de-la-justice-et-de-la-securite-sociale.html
  • La gestion de régimes de retraite (48 régimes de retraites sont gérés par la CDC dont ceux de la fonction publique territoriale) http://www.caissedesdepots.fr/activites/gerer-les-regimes-de-retraite/plus-de-190-ans-dexpertise.html
  • La gestion des fonds d’épargne réglementée, notamment le livret A. Les fonds collectés et centralisés à la Caisse des dépôts sont utilisés en placements et en financement de secteurs prioritaires pour le pays, comme le logement social et le renouvellement urbain. http://www.caissedesdepots.fr/activites/proteger-lepargne-populaire/proteger-lepargne-populaire.html
  • Le développement du territoire. La Caisse des dépôts est le partenaire de long terme des collectivités territoriales, en tant qu’investisseur dans des projets locaux de développement.
    Le groupe CDC comprend également différentes filiales. (Organigramme fonctionnel de la CDC : http://www.caissedesdepots.fr/le-groupe/organisation.html). En 2008, le groupe représente environ 68 000 personnes, dont 5297 à la maison mère, 35000 collaborateurs travaillent à l’étranger.


    Le modèle économique original de la Caisse des dépôts fait coexister :
  • une activité d’investisseur de long terme, 
  • la gestion de missions d’intérêt général confiées par des mandats publics : financement du logement social, gestion de fonds en toute sécurité tels que l’épargne, les retraites, les fonds confiés aux professions juridiques…
  • des filiales opérationnelles.
     

Que représente la « confiance numérique » à la Caisse des dépôts ?


La Caisse des Dépôts a été créé en 1816, pour restaurer la confiance suite à la crise financière (faillites « napoléoniennes »). Sa mission première est de « recevoir, conserver, rendre les valeurs qui lui sont confiées ».

Le terme de « confiance » est très important pour la Caisse des dépôts.

De nombreux systèmes d’information de la Caisse des dépôts sont, à un moment ou à autre, des systèmes de dématérialisation avec un haut niveau d’exigence en termes de sécurisation des échanges. Pour la gestion des retraites par exemple, un accès sécurisé est nécessaire pour chaque profil (https://www.cdc.retraites.fr/portail/ ).Ou encore pour la banque en ligne, un système d’authentification renforcé a été mis en place ( https://www.cdc-net.com/portail/web/guest/home).
Les investissements en matière de sécurisation des échanges sont de plus en plus importants, et les besoins de plus en plus communs aux différents métiers de l’Etablissement public. L’idée de bâtir des infrastructures dites de confiance, mutualisables entre chacune des directions, est très vite apparue. La première d’entre elles étant celle chargée de la délivrance de certificats électroniques, véritables cartes d’identité dans le monde numérique. .

En plus des risques classiques, la politique sécurité des SI de la Caisse des dépôts doit aussi répondre au risque d’image associé à la confiance numérique.
 

Alain Bouillé a pris ses fonctions de RSSI à la Caisse des Dépôts en 2001. Comment était traitée la question de la sécurité et quelles ont été ses missions depuis son arrivée ?


La création de la fonction RSSI Groupe en 2001 correspond au début de la formalisation d’une véritable politique sécurité dans le groupe. Auparavant, la sécurité était prise en charge sous un angle essentiellement informatique, sans véritable gouvernance établie.

A son arrivée, Alain Bouillé s’est consacré à la rédaction d’une politique de sécurité qui a pris la forme d’un document en deux volets :

  • Le premier est consacré à la description des grands principes de sécurité, des rôles et des responsabilités des différents acteurs, des éléments de classification (par exemple : informations publiques/sensibles…)
  • Le deuxième volet correspond à la déclinaison de ces grands principes en domaines informatiques (sécurité du poste de travail, sécurité de la messagerie, sécurité de la téléphonie…) et opérationnels (continuité, sécurité physique, …). Il comporte 16 annexes, édictant environ 650 règles (80% de ces règles sont des règles techniques c’est-à-dire programmées dans les systèmes une fois pour toutes – ex : « Un mot de passe doit avoir 8 caractères […] doit être renouvelé tous les 90 jours[…] »).

Cette phase de définition de la politique, couplée à une démarche d’accompagnement auprès des utilisateurs, a duré environ 2 ans. Cette politique de sécurité a par ailleurs été complétée par une charte (annexée au règlement intérieur, ce qui en fait une règle de fait).
Par la suite, le RSSI a un rôle d’animation, de formation et de sensibilisation des utilisateurs.  Parmi les dispositifs mis en place à la Caisse des dépôts : un recueil de bonnes pratiques sécurité, un guide « sécurité de l’information, une vigilance au quotidien », ou encore un avatar sur l’intranet, qui explique certains éléments relatifs à la sécurité (ex : utilisation des clés USB).
Le rôle du RSSI est donc, au départ, de construire un « référentiel sécurité », concrétisé par la politique qui définit une doctrine. Les exigences sont ensuite précisées via des directives et les engagements attendus de la part des utilisateurs, via une charte. Des guides utilisateurs permettent de rappeler le code de bonne conduite.
 

Le vocabulaire utilisé est à forte connotation juridique. En quoi les contraintes juridiques impactent-elles la SSI/le métier de RSSI ?


Le RSSI est aussi le garant du respect de la législation en vigueur pour la partie SI. La réglementation en termes de sécurité est de 3 ordres :

  • Celle que la Caisse des dépôts s’impose,
  • Celle imposée par la loi :

- Internet ; accès aux sites prohibés => activation de filtres,

- Protection des logiciels : règles d’administration de poste de travail,

- CNIL : protection des données personnelles (problématique très présente notamment sur le métier retraites).

  • Réglementation sectorielle : Rôle accru de la Commission bancaire.


Il existe par ailleurs un service juridique, régulièrement consulté.
 

Quelles sont les autres champs d’activité du RSSI ?


Alain Bouillé a une deuxième activité majeure : l’analyse de risques et l’accompagnement des métiers de la Caisse des Dépôts dans l’évaluation des besoins sécurité de leurs projets.
Il s’agit d’appréhender les risques liés aux projets métiers (« assistance à maitrise d’ouvrage ») et de définir un niveau de sécurisation à mettre en place.

Par ailleurs, le RSSI est aussi fournisseur de solutions. Le RSSI n’est pas uniquement un « censeur ». Il doit pouvoir collaborer et aider les métiers en apportant des solutions techniques en réponse aux problèmes repérés. Il travaille en particulier sur des « projets sécurité ». C’est par exemple le cas des solutions liées à la confiance numérique (PKI – Public Key Infrastructure, outillage pour la signature électronique, …)

Le RSSI suit également les projets à forte « connotation sécurité ». Par exemple :
-    Projet de passage à la téléphonie sur IP : cette solution a une criticité élevée en cas de panne électrique (ce qui n’est pas le cas d’un réseau téléphonique classique), à laquelle s’ajoutent des risques d’écoutes plus élevés. Il faut mettre en place des solutions de chiffrement de conversation, définir un plan de continuité. Ce projet est confié à un prestataire, mais le RSSI reste très présent sur le projet.
-    Projet « Poste de travail en 2011 » : aux autres aspects de ce projet, est associé un objectif de rationalisation de la sécurité du poste de travail (plus de couverture fonctionnelle pour un coût moins élevé).

Le RSSI a également des activités régulières de veille, que ce soit sous l’angle technique, juridique voire intelligence économique liée au SI.
 

Existe-t-il une convergence des domaines de la sécurité et de la qualité ?


Il existe une évolution forte de la normalisation s’appliquant à la profession. Cette évolution est nécessaire pour assurer une cohérence quant aux objectifs de sécurité.
Mais, si la politique sécurité de la Caisse des dépôts est « iso2700x-compatible », la certification n’est cependant pas visée pour le moment.
L’ « iso-compatibilité » SSI, même si elle ne s’inscrit pas dans une démarche de certification de la sécurité, est importante pour le groupe parce qu’elle est utile dans une démarche de cohérence entre les filiales. Son intérêt est de parler le même langage en matière de sécurité des SI au sein d’un groupe dont les activités et les enjeux sont très diversifiés.
Actuellement, une démarche d’analyse du niveau de maturité de la sécurité des SI des filiales a été entreprise avec l’aide d’un questionnaire ISO 27001/27002.
 

Merci.