Global Security Mag : Bonjour Benoît Fuzeau, Global Security Mag est ravi que vous nous accordiez de votre temps pour parler du CLUSIF et de la Cybersécurité dans le cadre de Ready for IT. Quel est le sens de la participation du CLUSIF (L’Association de référence en Cybersécurité) à cet événement ?

Benoît Fuzeau : Merci beaucoup pour cette interview, c’est important de saisir cette occasion pour nous exprimer.
Le CLUSIF est membre du comité éditorial de RFIT pour justement continuer de s’adapter à l’écosystème IT / Cybersécurité, et évoluer avec cet évènement dont le positionnement est aussi de se rapprocher des domaines qui sont en dehors de la Cybersécurité. Le CLUSIF, à l’issue des travaux par son Conseil d’Administration a adopté un plan stratégique qui s ’appelle IMPULSION 2025 avec trois axes (fédérer, développer ses contenus, et sensibiliser). Dans du développement de nouveaux contenus, il s’agit justement de s’adresser à des métiers qui sont en dehors de la Cybersécurité. C’est quelque chose qui me tient très à cœur. Le CLUSIF a la chance d’avoir un modèle économique qui lui donne cette possibilité. En effet, contrairement à beaucoup d’associations, en majorité, nous ne vivons que de nos cotisations. Environ 96 % de nos revenus proviennent de nos cotisations, donc nous avons une certaine liberté. Ce qui nous permet d’accepter deux collèges (Acteurs / Utilisateurs) de façon équitable. Tout le monde est traité comme un membre.
L’objectif est donc d’œuvrer au-delà de la Cybersécurité. Les menaces cyber sont constantes, et pour nous, il est clairement nécessaire et indispensable de vulgariser la Cybersécurité, et il y a encore beaucoup de travail à faire dans ce sens. Si par exemple, vous posiez la question à votre entourage, de citer des métiers de la Cybersécurité, les réponses pourraient être, RSSI, Hacker, Pentester, sans forcément comprendre la signification des mots. Et si vous parlez du métier de Manager SOC, il n’y aura pas beaucoup de monde pour comprendre. Tout cela prouve que le domaine de la Cybersécurité reste trop compliqué. Et donc, je vois difficilement comment on peut attirer des talents quand il est difficile de comprendre les différents métiers et à quoi ça sert. Je m’en suis aperçu quand je suis allé aux journées du patrimoine, après la visite de Matignon dans le jardin, il y avait une présentation des différents métiers tels que Couvreur, Tailleur de pierre, Ébéniste, etc., et tout le monde les connaissait.
Faire connaître les métiers de la Cybersécurité permettrait par exemple de recruter plus de femmes et de jeunes, ce qui aiderait à gérer la pénurie de talents dans notre écosystème. J’en profite pour dire que certaines études montrent que les équipes mixtes composées d’hommes et de femmes seraient plus efficaces par exemple pour l’analyse des chemins d’attaques lors d’une cyberattaque, car les façons de percevoir et de ressentir les choses sont complémentaires.
Participer à RFIT permet d’œuvrer au-delà de la Cybersécurité.

Global Security Mag : Pouvez-vous nous donner quelques raisons de devenir membre du CLUSIF ?

Benoît Fuzeau : La première raison, c’est la solidarité incroyable que vous allez trouver dans notre communauté.
Personnellement, j ’ai eu en tant que RSSI mon premier incident assez majeur en 2018 et mon premier réflexe n’a pas été d’appeler quelqu’un interne à mon entreprise, mais d’appeler un membre du CLUSIF avec qui j’avais entamé de bonnes relations au sein de l’espace RSSI. Et pourquoi ça ? Parce que la peur du jugement, la peur des conséquences qu’il pourrait y avoir en interne. Et cette personne membre du CLUSIF avait pris de mes nouvelles pendant toute la journée, ce qui m’avait rassuré et donné de la force pour mieux gérer la situation.
Depuis 2018 les choses ont évolué, maintenant l’organisation s’est équipée d ’un CERT, et d’un SOC.
Notre mode financement à environ 96% de nos cotisations, nous donne une liberté de parole et permet des échanges en limitant d’éventuelles influences.
Être membre du CLUSIF, c’est aussi la possibilité de pouvoir profiter et bénéficier d’un réseau, avec des retours d’expérience, notamment via l’Espace RSSI où on a aussi la chance de pouvoir s’exprimer et échanger en toute confiance sur les difficultés rencontrées, les solutions mises en place et les moyens de sensibilisation.
Ces retours d’expériences sont d’une richesse incroyable, qu’ils proviennent de petites ou de grandes organisations, on s’aperçoit que des similitudes existent dans les problématiques et les solutions, même si l’échelle peut être différente.

Global Security Mag : Quels sont les points de vue du CLUSIF à l’égard de la transposition et de la mise en place des règlements et directives européens en France ? Et sur la charge que cela représente pour le ou la RSSI ?

Benoît Fuzeau : Dans le cadre des consultations de l’ANSSI sur NIS 2 le CLUSIF a contribué pour apporter un éclairage et continuera à le faire.
Je regarde souvent les choses du côté positif, et je vois ces législations comme une opportunité. Il est admis que les menaces sont prégnantes, que les entreprises et les organisations se font attaquer de plus en plus, que les fuites de données sont exponentielles, etc. Les cyberattaques sont constantes sur les administrations, les mairies, les hôpitaux, les collectivités locales, les entreprises. Il me semble que ces règlements et directives permettent de faire monter en maturité les exigences en cybersécurité pour les organisations, de façon globale. C’est aussi une opportunité pour les RSSI de monter en compétences. C’est un moyen de pouvoir mieux communiquer les exigences à nos dirigeants. Le RGPD a par exemple été un bon moyen pour les organisations de monter en compétence et en maturité. Les possibilités d’amendes ou d’une responsabilité pénale sur les dirigeants ont permis de les sensibiliser sur les risques. La profession de DPO (Data Protection Officer ou Délégué.e à la Protection des données) a été créée. L’espace des données personnelles avec les RSSI et les DPO au sein du CLUSIF est extrêmement important.
Ceci m’amène à dire qu’il m’aurait semblé judicieux de créer des professions ou rôles spécifiques pour NIS 2 ou DORA pour porter la responsabilité de ces législations au sein des organisations. J’ai entendu parler d’une fonction qui pourrait être le RSSI -Legal ou Règlementaire, et c’est intéressant car il ou elle pourrait par exemple s’occuper de toute cette veille et de toute cette évolution juridique concernant IA ACT, CRA, DMA,DORA, NIS 2, etc.
Donc tout cela peut représenter une opportunité pour les RSSI d’avoir d’autres fonctions ou compétences.
Le CLUSIF continuera à faire des suggestions et porter des messages, et j’ai un rêve « fou » que nous puissions avoir plus d’influence en passant de 540 membres à dix mille membres par exemple.
Sachant que NIS 2 va toucher des dizaines de milliers d’entreprises et d’organisations, le CLUSIF a une belle marge de progression pour faire adhérer de nouveaux membres.

Global Security Mag : Quels seraient vos messages clés pour nos lectrices et lecteurs ?

Benoît Fuzeau : NIS 2 est une opportunité pour les RSSI et un moyen de renforcer la Cybersécurité au sein de milliers d’entreprises et d’organisations.
Le CLUSIF organise annuellement un exercice de simulation de crise qui a pour nom ECRANS.
Cette simulation est organisée régulièrement, et vise à préparer des membres de l’Association, et des CLUSIR, aux crises avec des scénarios réelles.
En mars dernier, le sujet de l’exercice a été spécialement conçu autour des Jeux Olympiques et Paralympiques 2024 qui se dérouleront en France. Le scénario permettait de mettre en relation trois équipes en simulant deux épreuves olympiques à Lille et Bordeaux avec le Comité d’organisation des JOP à Paris. Il s’agissait d’être confronté à deux attaques, un rançongiciel et une attaque DDOS.
Le CLUSIR Nord de France, le CLUSIR Nouvelle Aquitaine, et le CLUSIF Campus Cyber (Puteaux La Défense) ont participé à cette édition menée par Jean-Marc Grémy et Lionel Mourer.
C’est un exemple de la mise en eouvre de l’axe « Fédérer ou regrouper » du plan IMPULSION 2025, pour diffuser l’information le plus largement possible.