Alain Bouillé, CDC : un directeur sécurité solidaire avec ses pairs

Impossible de parler des Responsables de la sécurité des systèmes d’information (RSSI) en France sans évoquer Alain Bouillé. Depuis une quinzaine d’années, le directeur de la sécurité des systèmes d’information du groupe Caisse des Dépôts semble incontournable.  

Alain Bouillé, la cinquantaine alerte, affiche un éternel sourire au coin des lèvres et une apparente assurance sur tout ce qui touche à la cybersécurité. Dans son bureau de la rue de Lille à Paris, des posters sur des expositions de faïences anciennes, une autre passion. Cet ancien RSSI de JP Morgan et de La Poste a monté en 2012 le Cesin (Club des experts de la sécurité de l’information et du numérique), le club des RSSI français, avec quelques amis de la profession. Le Cesin, selon son fondateur, regroupe en 2015 au moins 60 % des RSSI français soit 220 membres des plus grandes organisations nationales. « Avec mes diverses responsabilités aux postes occupés, j’ai compris la solitude des RSSI, voire une certaine détresse les jours de crise. Enclencher une interactivité entre nous était plus que nécessaire. Cela dit, présider ce type d’association n’est pas de tout repos et demande beaucoup de sacrifi ces personnels », précise le manager du groupe Caisse des Dépôts (CDC).

Depuis les années 90, ou au cours de différentes missions chez JP Morgan à New York et à Londres, Alain Bouillé a traversé toutes les grandes étapes de la sécurité informatique que l’on nomme maintenant cybersécurité. « J’ai travaillé 11 ans chez JP Morgan, exerçant diff érentes responsabilités dans le domaine de l’IT. Je suis tombé dans la marmite sécurité au cours d’un projet de migration de l’informatique du bureau de Paris vers le datacenter de la maisonmère à New York. J’ai ensuite participé à la rédaction de la politique sécurité du groupe et ai été chargé de sa mise en place dans les implantations de la banque en Europe et en Afrique, tout en étant basé à Londres pendant 4 ans ».

En 2000, s’ouvre une nouvelle séquence avec son arrivée à La Poste où il crée le poste de RSSI groupe. Avec 150 000 postes informatiques et 370 000 salariés à l’époque, une belle aventure à n’en pas douter. Il entre à la CDC en 2002. Pour lui, l’avenir des RSSI est assuré : « Cette fonction est en place dans les sociétés les plus matures depuis plus de 20 ans. Force est de constater que, devant l’avancée de la cybercriminalité, beaucoup d’entreprises se décident seulement ces dernières années à créer ce poste ». Il demeure évident pour le Président du Cesin que l’on peut compliquer la tâche des cybercriminels en appliquant l’adage que l’« on est toujours plus fort à plusieurs que tout seul » en se regroupant au sein d’un club. Il faut aussi savoir se faire des alliés privilégiés au sein des entreprises en travaillant avec d’autres profils tels que les CDO (Chief Digital Officer). « La digitalisation des entreprises est en route et elle ne se fera pas sans sécurité ».

Pour lui, l’avenir des RSSI est d’être calé aux stratégies de l’entreprise en ayant bien sûr l’écoute de la DG. Favorable à un changement de nom de la fonction comme « manager de la sécurité des données numériques », il martèle que le duo DSI – RSSI doit continuer à fonctionner efficacement. « Le débat du positionnement du RSSI dans ou hors la DSI n’a pas beaucoup d’intérêt. Bien sûr qu’il vaut mieux que le RSSI soit indépendant du pilotage des SI, ce qui est mon cas, mais dans encore beaucoup d’entreprises, le RSSI à la DSI est un gage d’efficacité ». Reste l’évolution du métier. Au plan opérationnel, comment protéger le coeur du patrimoine immatériel de l’entreprise, à savoir les données ? « C’est vrai, et c’est un de nos principaux problèmes, que les données suivent l’évolution des SI qui sont littéralement éparpillés via les offres d’externalisation : Cloud, sous-traitances, etc. Il nous faut identifier les informations stratégiques afin de les protéger en priorité en revenant aux bons vieux principes de classification. » Une priorité d’autant plus ardue que les outils de classification efficaces manquent cruellement encore en 2015.

Face à la médiatisation des cyberattaques, « la sensibilisation des DG progresse en France, mais il reste encore beaucoup à faire en particulier du côté des PMEPMI. C’est d’ailleurs un sujet de réflexion au sein du Cesin.  

Jean-Philippe Bichard

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !