Nous avons rencontré pour vous Sylvain Thiry, RSSI de la SNCF, récemment élu membre du comité de pilotage du Cercle Européen de la Sécurité et des Systèmes d’Information et dont l’avis commence à compter très sérieusement pour la stratégie de réflexion et de développement de notre culture sécurité.

Entré « naturellement » dans la sécurité, attiré par un mythe, séduit par la complexité et la richesse du domaine, Sylvain Thiry n’est pas un « RSSI technique ». Son approche du métier et de la mission est globale et s’inscrit dans les projets de maîtrises d’ouvrages. Sa philosophie professionnelle est issue d’une première grande expérience : un programme de sécurisation de cartes pour un réseau de santé sociale et pour la médecine. Il constate alors le manque de connaissances en sécurité, l’incompréhension des acteurs qui continuent à se demander pourquoi il faut protéger l’information, le mythe selon lequel le RSSI serait l’unique responsable de la protection des données. Grand étonnement également lorsqu’il mesure à quel point il est possible, dans ce flou du sens donné à la sécurité en général et du fait de la puissance mythologique du RSSI, de se faire passer pour un expert.

Ces observations se confirment lors d’une autre expérience, publique cette fois-ci et pour Solucom.
Une demi-décennie plus tard, Sylvain Thiry décide d’arrêter son activité de conseil pour se consacrer à la gouvernance. Emerge alors sa définition du RSSI en une phrase, un exercice qu’il recommande de faire régulièrement. « Le RSSI est celui qui identifie les risques et les transfère au niveau le plus efficace de la hiérarchie en matière de décision ». Dans sa pratique, il est directement rattaché au comité exécutif. Il s’agit là d’une situation hiérarchique idéale dans laquelle les acteurs savent la sécurité, connaissent les risques, les challenges et savent se lancer dans l’action.

Autre postulat dans cette recherche d’efficacité : le RSSI ne doit pas être un frein à l’innovation. Les discours alarmants sur les dangers des réseaux, dont  facebook, illustre cette ambivalence dont souffre la sécurité en général. Toute innovation, tout moyen de communication, comportent des dangers. Mais nous sommes sensés nous éduquer et nous responsabiliser afin d’en utiliser les meilleurs bénéfices sans faire systématiquement des plaisirs de nos explorations et développements technologiques, des événements attirant la peur de non maîtrise, la culpabilité et le dépit dans l’environnement professionnel.
En revanche, la sensibilisation qui prévient les individus des mêmes risques, non plus en priorité parce qu’ils sont acteurs professionnels mais citoyens, permet de cultiver sur le sujet d’une façon plus stratégique. « Que font vos enfants sur le web et sur les réseaux ? » voilà ici un mode pédagogique qui peut permettre la protection de la sphère privée et, par expansion, celle du professionnel puisque le continuum entre le deux est désormais assuré par la présence du média informatique.
C’est de cette façon que Sylvain Thiry, arrivé depuis six mois seulement à la SNCF, ose préconiser une réorientation radicale du projet de sensibilisation à la sécurité des systèmes d’information initié avant son arrivée. La démarche est acceptée et s’accompagne d’une sociologie des auditeurs. Les cheminots ne portent ni costumes, ni cravates. Leurs référents sont spécifiques et il insiste pour que cette dimension soit prise en compte dans la tournure des messages. Parler la langue des métiers est une garantie de succès qui permet l’échange sur une thématique déboussolante –car elle porte sur le comportement et l’intime de chacun(e)- qui appelle plus de silences et de non-dits que de questions constructives pur l’intégration de la culture sécurité. Le RSSI est donc, pour notre interviewé, un animateur qui doit connaître le fonctionnement de ses interlocuteurs, de ses correspondants.
Parallèlement à son champ d’actions quotidiennes, Sylvain Thiry amorce une réflexion sur le projet OZssi qui est à ses yeux une initiative permettant d’améliorer considérablement les niveaux de protection en France et en Europe.

L’ANSSI et les OZssi sont en construction et il estime que ni les entreprises, ni les professionnels de la SSI ne doivent se tenir à l’écart de ce vaste chantier. Il souligne la nécessité de renforcer les acteurs de ces concentrations sous équipées humainement si nous voulons voir augmenter leurs capacités de réponses et d’animation pour un rayonnement régional plus dense. Il a également repéré l’hétérogénéité des OZssi qui est un facteur de déséquilibrage. Le schéma doit effectivement être revu à la lumière des tous récents développements socio-économiques et stratégiques du territoire.
En outre, ces observatoires ne doivent pas se substituer aux entreprises pour ce qui concerne les recommandations mais bien les renforcer.  Ils doivent par conséquent compter avec la présence d’organismes déjà en place (Clusir par exemple) et se concentrer sur la protection des PME car les grands groupes sont souvent et déjà organisés en matière de SSI. Enfin, l’introduction de nouveaux acteurs dans les OZssi permettra le judicieux mélange de spécialistes, de nouvelles analyses et de méthodes mieux adaptées en aidant simultanément le privé et l’Etat.