Rencontre avec Marc Dovéro, RSSI du Conseil général des Bouches-du-Rhône et animateur du Club27001 en région PACA. De la sécurité technique à l’organisation, le parcours de ce passionné colle à celui d’une profession où les vieux briscards de la technique apprennent à se recycler dans l’organisationnel.

Dans les couloirs du Conseil général des Bouches-du-Rhône, Marc Dovéro est aux manettes de la sécurité. Du PRA au PCA pandémie en passant par un pilote de PKI, son quotidien n’est guère différent de celui de bien des RSSI.

Mais son parcours pour en arriver là est peut-être plus original : passionné de technique, engagé dans l’associatif aux grandes heures des BBS (les fameux Bulletin Board Systems d’un temps que les moins de vingts ans ne peuvent pas connaître), Marc est aujourd’hui engagé avec la même passion dans ce qu’il considère aujourd’hui comme une aventure similaire : la gestion de la sécurité en général, et ISO 27001 en particulier.

SV : Comment êtes-vous venu à la sécurité ?

Je suis ingénieur CNAM, et surtout passionné d’informatique depuis toujours. Je faisais du Minitel associatif dans ma région (j’avais créé un serveur Minitel local sur RTC) et je m’occupais du noeud régional de FidoNet . C’est ce qui m’a permis ensuite de devenir responsable technique du premier fournisseur d’accès de la région PACA (Gulliver & Vif). Et forcément, dès qu’on met le pied dans la fourniture d’accès à Internet, la sécurité fait immédiatement partie du métier !

SV : Une sécurité qui était alors probablement bien différente de celle que vous connaissez aujourd’hui…

On travaillait avec les moyens du bord. Toute l’infrastructure du petite FAI que j’avais monté reposait sur des modems traditionnels, reliés par une pieuvre à un serveur Linux, qui assurait les liaisons PPP. J’avais même du en recompiler le noyau afin qu’il puisse gérer plus de quatre accès simultanés. Ensuite, nous sommes passés à Windows NT4, qui commençait à faire du TCP/IP. Nous utilisions Linux, Squid et les fonctions de filtrage du noyau Linux pour la sécurité. Puis FW-1 est arrivé, qui a bien facilité les choses ! Je me suis d’ailleurs fait certifier FW-1 par Checkpoint à ce moment.

SV : Votre carrière semblait donc plutôt prendre une orientation réseaux à cette période ?

Oui, d’autant que j’ai ensuite pris en charge la création de l’infrastructure nationale de Tiscali pour la France. C’était un très gros projet et la sécurité passe au second plan face aux impératifs télécom en jeu. Mais elle n’en demeure toutefois pas moins présente. Au moment du rachat de Tiscali, en revanche, je m’en rapproche à nouveau en faisant du conseil indépendant sur la Haute Disponibilité dans ma région.

SV : C’est ainsi que vous avez approché le Conseil Général des Bouches-du-Rhône ?

C’était un de mes clients, en effet. Mais la direction informatique avait déjà des équipes qui savaient très bien faire de la sécurité technique, et dans de nombreux domaines. Alors plutôt qu’un autre technicien, le Conseil Général avait surtout besoin d’un chef d’orchestre pour lier toutes ces compétences : un RSSI, quoi ! J’ai pensé que c’était pour moi l’occasion d’aller vers une facette de la sécurité qui m’était encore inconnue : passer de la technique à l’organisationnel !

SV : Vous a-t-il fallu convaincre le CG13 de l’intérêt d’une sécurité plus organisationnelle ?

Pas du tout. Il y avait déjà un service Méthodes & Qualité, auquel le poste de RSSI a été rattaché à sa création. Eux vivent par et pour les normes, notamment ISO 9001. Leur premier réflexe a donc été de voir s’il existait quelque chose d’équivalent pour la sécurité.

SV : Et on imagine bien qu’il n’a pas fallu longtemps pour que ISO 27001 apparaisse dans la discussion.

En effet ! Et c’était là mon premier contact avec la norme ISO 27001. Je m’attendais à quelque chose de lourd, de complexe et d’inapplicable. Je suis allé me former chez HSC, et à la sortie j’étais converti !

ISO 27001 n’a rien de lourd, tout l’essentiel tient en dix pages. Et cela permet enfin à tout le monde d’avoir un vocabulaire commun quand on parle de sécurité. Nous pouvons ainsi parler aux décideurs dans des termes qu’ils comprennent (finance, objectifs quantifiables et auditables, priorités). En définitive la 27001 permet de sortir du discours qui consiste à dire « Il faut faire de la sécurité, mais je ne peux pas vous dire pourquoi et je ne vous garanti aucun résultats ». A l’inverse la 27001 permet de démontrer un rapport sécurité / prix.

SV : N’est-ce pas un choc culturel pour un passionné de technique que de se plonger dans ISO 27001 ?

Au contraire. Je pense qu’en matière de technique tout a été fait, ou presque. Tandis que je retrouve dans la sécurité organisationnelle le même contexte qu’à mes débuts : les normes sont neuves, il y a peu d’outils, peu de gens savent par quel bout prendre les normes, ceux qui les créent sont encore accessibles et les groupes de travail sont très actifs. En fait, j’ai l’impression de retrouver toute l’énergie de mes débuts !

SV : Et qu’a donnée votre mise en oeuvre de la norme au CG13 ?

C’est dur ! Car on ne peut pas se contenter de dérouler le (très bon, au demeurant) livre d’Alexandre Fernandez-Toro pour obtenir comme par magie un SMSI ! Ne serait-ce parce que quand la 27001 dit « Utilisez une méthode d’analyse de risque », elle ne précise pas laquelle, ni comment, ni qui va la maîtriser (en interne ou en externe). Donc, ça signifie qu’il me faut d’abord me pencher sur EBIOS et mener un projet d’analyse de risque ! Et puis même ensuite, un projet 27001 n’est jamais terminé. Il faut faire vivre la politique de sécurité et l’adapter sans cesse à notre quotidien.

SV : Quelles sont vos principales difficultés en la matière ?

Il est nécessaire de laisser du temps aux opérationnels métier, sur le terrain, pour qu’ils fasse justement vivre la politique de sécurité. Et cela ne peut pas être simplement une nouvelle responsabilité qu’on leur attribue. Il faut leur libérer du temps de manière clairement définie et contrôlée, que cela devienne une partie intégrante de leurs tâches. Et pareil pour le management : l’encadrement métier doit avoir des objectifs sécurité. Ils doivent penser « Je dois faire mon métier, mais je dois le faire de manière sécurisée ». Et cela demande à faire changer les mentalités, et ce n’est jamais simple !

SV : Visez-vous la certification ISO 27001 ?

Mon objectif est de caler notre organisation de sécurité sur les bonnes pratiques de la 27001. Le but n’est pas la certification pour l’instant.

Mais cela pourra le devenir à terme, notamment lorsque nous commencerons à l’exiger dans le cadre des marchés publics. Car on ne peut pas demander quelque chose à nos prestataires si on ne l’applique pas nous-même !

SV : ISO 27001 exigée dans les marchés publics ?

Cela viendra, j’en suis certain. Autant le code des marchés publics nous interdit de citer des produits ou des marques dans l’appel d’offre, autant nous avons le droit de citer des normes. Et on commence d’ailleurs à le voir apparaître, en lisant entre les lignes. ISO 27001 va probablement devenir obligatoire dans les marchés publics, et c’est une autre bonne raison de commencer à s’y intéresser dès maintenant !