Portrait. Erwan PHILIPPOT, Responsable Sécurité du Système d’Information du CIMUT

Erwan PHILIPPOT. RSSI du CIMUT

Homme de l’ombre, le Responsable de la Sécurité du Système d’information est une personne stratégique dans l’entreprise. Pour la plupart d’entre eux, la crise de la COVID-19 a été un saut dans le grand bain. Plongée au cœur du système avec Erwan PHILIPPOT, RSSI du CIMUT et passionné de chasse sous-marine.

Erwan, vous êtes Responsable de la Sécurité du Système d’Information (RSSI) au sein du CIMUT. Pouvez-vous nous en dire plus sur votre fonction ?

Après un parcours dans le développement informatique, et en particulier en dans le domaine des prestations liées aux régimes obligatoires et complémentaires depuis mon arrivée au CIMUT, j’occupe désormais le poste de RSSI au CIMUT depuis novembre 2018. Ma mission principale consiste à définir la politique de sécurité de notre système d’information et son management. Il s’agit de déterminer des objectifs en accord avec la stratégie de l’entreprise, de mettre en place des indicateurs, des procédures, de s’assurer de leur bonne mise en œuvre et de leur suivi.

En tant que prestataire critique des organismes complémentaires qui utilisent les services du CIMUT, le RSSI contribue aussi au respect sur ce périmètre des obligations inhérentes à Solvabilité II.

Je suis également en charge l’analyse des risques, ce qui représente une part importante de ma fonction. Il s’agit là de procéder à l’évaluation des risques et menaces et de leurs conséquences sur le SI de l’entreprise. Cela passe concrètement par la mise en place et le suivi d’un plan d’action destiné à en réduire l’impact.

Un autre aspect de ma fonction de RSSI, concerne la sensibilisation des équipes à la sécurité informatique, et plus particulièrement, aux risques cyber. C’est à la fois un rôle d’information et d’alerte mais également de mise en place de bonnes pratiques au sein du CIMUT. Cela va de l’organisation de réunions de sensibilisation à l’élaboration de la charte de sécurité, jusqu’à l’accompagnement des équipes dans la prise en compte des aspects de sécurité dans les projets.

L’objectif est également de faire en sorte que la politique de sécurité soit pérenne et persiste au fil du temps. Cela relève de l’audit ainsi que du contrôle interne et externe.

Enfin, j’assure une veille technologique permanente, tant sur les changements relatifs à l’infrastructure elle-même, que sur les problématiques récurrentes de sécurité.

La crise de la COVID-19 a conduit la majorité des entreprises à déclencher leur Plan de Continuité d’Activité (PCA) et à opter pour le télétravail. Quelles dispositions avez-vous mises en place en termes de sécurité réseau et de protection du système d’information durant le confinement ?

À vrai dire, au tout début de la crise sanitaire, nous nous attendions à être confinés. C’est ce que je qualifie de phase de « pré-confinement ». De ce fait, nous avons donc très rapidement anticipé le passage en télétravail de nos collaborateurs. La grande majorité de nos équipes était, de fait, en capacité de basculer en mode télétravail. Nous avons cependant évalué les besoins de chacun et équipé ceux qui ne l’étaient pas, d’un ordinateur portable.

Dès le 13 mars, nous avons constitué un comité de gestion de crise qui s’est réuni de manière hebdomadaire. La Direction Technique avec l’appui du RSSI, ayant la responsabilité d’adapter le Plan de Continuité d’Activité (PCA) à la situation sanitaire avec notamment l’identification des activités critiques et des personnes clés.

Préalablement à l’activation de notre Plan de Continuité d’Activité, nous avons procédé à une phase de test pour la connexion au réseau et l’accès aux applications à distance via notre solution VPN sécurisée.

Avant de passer au télétravail généralisé, nous avons également recensé les tâches ne pouvant être réalisées à distance, comme par exemple la collecte des bandes de sauvegarde qui nécessite une présence physique sur le site et mis en place un planning de rotation.

Ensuite, nous avons identifié les prestataires « vitaux » pour notre activité, comme les collaborateurs des Entreprises de Services Numériques (ESN), avec lesquelles nous travaillons au quotidien, afin de les accompagner si nécessaire dans ce passage en télétravail en les équipant, le cas échéant, d’un poste de travail portable.

Pour finir, nous nous sommes assurés de la capacité de nos fournisseurs « critiques » à poursuivre leur activité sans discontinuité.

Nous avons également accompagné nos collaborateurs dans leurs premiers pas à distance et fourni à chacun un tutoriel ainsi qu’une charte des bonnes pratiques de sécurité. Notre équipe infrastructure était, bien entendu, à l’écoute en cas de problème, durant toute la période de télétravail.

Toutes ces mesures ont permis, qu’il n’y ait aucune rupture dans la sécurité de notre système d’information durant le confinement.

Comment avez-vous accompagné les clients du CIMUT pendant cette période de confinement ?

Par définition, nos clients sont habitués à se connecter à distance, notre solution de gestion de la complémentaire santé, Starweb©, étant distribuée en mode Saas (software as a service).

Cependant, certains de nos clients n’étaient pas totalement préparés pour le télétravail, notamment concernant les connexions à distance.

Nous avons donc augmenté notre flotte de licences afin de leur permettre de poursuivre leur activité à distance d’une part, et de manière à pouvoir encaisser cette augmentation de trafic sur notre solution nomade d’autre part.

La communication vis-à-vis de nos clients a également été un élément clé et très soutenu durant le confinement. Chaque semaine, nous avons fait un point de situation sur la continuité de notre activité via une lettre d’information dédiée.

Avez-vous dû gérer des problèmes de sécurité inattendus ?

Nous avons rencontré peu de problèmes de sécurité de type cyber attaques ou social engineering durant le confinement. En revanche, nous avons constaté une recrudescence des attaques informatiques à la sortie du confinement.

Nos équipes étant régulièrement sensibilisées à la sécurité informatique, ont très bien réagi face à ces attaques en particulier dans le cas d’envoi de mail frauduleux. Elles sont les meilleurs témoins de la nécessité d’être régulièrement formés et informés vis-à-vis de ce type de risques.

Comment avez-vous appréhendé la phase de déconfinement avec le retour des salariés et la reconnexion au SI de l’entreprise ?

De notre côté, il y avait plus un risque sanitaire concernant le retour des collaborateurs sur site qu’un risque de sécurité informatique. Un protocole et des règles sanitaires ont été mis en place pour limiter ce risque.

Le fait que les postes de travail utilisés lors du confinement soient ceux attribués à nos collaborateurs et que ces postes soient administrés par les équipes du CIMUT, a rendu très simple le retour dans l’entreprise et rendu les risques de sécurité très faibles.

Quels sont les principaux enseignements que vous retirez de la gestion de cette crise ?

D’une manière générale, cela s’est mieux déroulé que je ne l’avais espéré !

Les procédures mises en place depuis des années nous ont préparés au risque de crise, même si nous avons dû en adapter quelques-unes en conséquence.

J’avais, pour ma part, quelques craintes concernant le déploiement et à l’utilisation des outils de communication mis en place durant le confinement, comme les systèmes d’audio-conférences ou de messagerie instantanée, mais cela a, au final, bien fonctionné ! De plus,  les équipes se sont adaptées rapidement à ces nouveaux moyens de communication.

Le principal enseignement que j’en retire, c’est que le déclenchement de notre Plan de Continuité d’Activité fut un test de grande ampleur ! Basculer 80 collaborateurs en télétravail dans un délai aussi court en s’assurant que le réseau ne sature pas était, vous l’imaginez bien, quelque chose de totalement inédit.  Le test a montré que cela fonctionne et que nous savons faire ! Au final c’est rassurant, pour nos collaborateurs mais également pour nos clients !

Dans le cadre de vos fonctions, vous pilotez également la démarche de certification du CIMUT. En quoi  cela consiste-t-il ?

La démarche de certification fait partie intégrante de ma fonction de RSSI. Dans ce cadre, j’assiste les personnes concernées lors des phases d’audit.

Préalablement, je prépare également les équipes concernées et impliquées dans le processus d’audit. Cela passe par le rappel des procédures et des bonnes pratiques en vigueur dans l’entreprise.

Enfin, avant, pendant et après les phases d’audit, je mets en place un plan de communication interne et externe avec l’appui et les conseils de notre service communication.

Le CIMUT vient récemment d’obtenir la certification ISO 27001 ? Comment s’est déroulé de processus de certification ?

La sécurité et l’intégrité des données de nos adhérents et clients sont deux priorités majeures pour le CIMUT et sa filiale Éloïse.

Nous avons initié en 2019 un processus de certification sur cette thématique qui s’est déroulé en quatre phases.

Tout d’abord un état des lieux et une évaluation des écarts par rapport aux exigences de la norme ISO 27001, ce qui nous a permis de mettre à jour et de faire évoluer certains points de notre documentation et de nos procédures.

Il y a eu ensuite deux audits internes, suivi de l’audit de certification en septembre 2019, que nous avons franchi avec succès. Succès qui atteste des bonnes pratiques et de la qualité des procédures mises en place par le CIMUT et sa filiale Éloïse pour satisfaire les engagements de sécurité pris auprès de nos clients.

Je tiens à souligner que cette démarche de certification est très structurante pour les équipes et pour l’entreprise. Au final, cela s’est révélé très enrichissant car cela permet de progresser collectivement.

Quelle est votre feuille de route en matière de cyber-sécurité et de certification ?

Sur le premier point, la cyber-sécurité, nous avons un plan de sécurisation que nous allons poursuivre afin de réduire les risques identifiés qui sont encore élevés.

Le CIMUT, dans le cadre de son activité d’infogérance, a la particularité d’héberger un très grand nombre de données personnelles. Nous travaillons donc continuellement sur un plan technique et organisationnel pour prévenir et réduire les menaces. Il nous faut nous adapter continuellement car ces menaces sont en perpétuelle évolution.

Sur le second point, les certifications, nous poursuivons, là aussi, notre politique qualité en nous engageant dès à présent dans une démarche ISAE 3402. Ce standard a pour but de garantir à nos clients, l’existence et la fiabilité de notre dispositif de contrôle interne. Ces rapports ISAE 3402 tendent à devenir le nouveau standard dans la gestion des risques et de la conformité des prestations de services externalisées. Ils sont demandés par les Commissaires aux Comptes de nos clients.

Sinon, en dehors de votre activité professionnelle, quels sont vos passions, vos hobbies ?

Je pratique l’apnée et la chasse sous-marine depuis quelques années et en club depuis 3 ans.  Je pratique ce sport pour son côté relaxant et le bien-être intérieur qu’il procure. Je ne recherche pas la performance, l’important est de se faire plaisir, sans aller au-delà de mes limites et rester dans des conditions de sécurité optimales.

Ma première sortie après le confinement restera un grand souvenir. Bien sûr pour les retrouvailles avec mon binôme mais aussi des conditions météo idéales, une visibilité exceptionnelle et le calme qui y régnait, pas un bruit à part le chant des oiseaux, MAGIQUE…