Accueil > Les NewsLetters de RESINFO > Entretien avec Michel Chabanne, RSSI du CNRS

Entretien avec Michel Chabanne, RSSI du CNRS

Publié le lundi 30 novembre 2015, mis à jour le mardi 1er décembre 2015, par Cyrille Allet

Patrice Langlois et Karl Oulmi ont eu l’opportunité d’échanger avec Michel Chabanne, RSSI du CNRS lors d’un entretien qui s’est déroulé le 21 octobre 2015.

Pouvez-vous nous présenter votre parcours ?

J’ai un parcours atypique par rapport au parcours classique des RSSI* d’autres grands établissements. J’ai travaillé dans l’enseignement en sciences de la vie et sciences de la terre. J’ai eu ensuite l’opportunité d’intégrer en 1999 la nouvelle DSI de l’Ecole polytechnique. J’ai eu un parcours métier d’opérationnel en système et réseau.
Je me suis ensuite spécialisé dans le domaine de la sécurité et suis devenu en 2006 RSSI à l’Ecole polytechnique, date de création de la fonction, école qui je le rappelle est sous tutelle du ministère de la défense. Ce fut une expérience riche pour s’aguerrir sur le plan de la SSI, dans un écosystème complexe : des tutelles nombreuses (DGA, CEA, CNRS, Inserm etc.), un centre de recherche composé de 21 laboratoires, plus de 500 élèves polytechniciens, une montée en puissance de l’e-learning et des formations mutualisées…
J’ai participé à la construction du schéma directeur numérique de la COMUE* Paris-Saclay sur les aspects système d’information et sécurité, en collaboration avec les 18 autres établissements membres de l’IDEX Paris-Saclay. J’ai rejoint le CNRS en août 2015.

Pouvez-vous nous décrire les principales missions du RSSI du CNRS ?

La mission native et principale du RSSI du CNRS est de construire, de faire vivre et de faire appliquer la PSSI* du CNRS dite PSSI-C. Avec, en 2015, un contexte particulier qui vise à prendre en compte l’évolution nécessaire de cette PSSI pour absorber l’arrivée de la PSSI de l’Etat.
La PSSI de l’Etat (ou PSSIE) est un corpus de mesures qui s’imposent à tous les établissements publics - administrations, services déconcentrés, services centraux, ministères - et qui préconise un ensemble de 185 mesures auxquelles il nous est demandé de nous conformer.
La difficulté est de trouver la manière d’appliquer ces mesures de sécurité dans des contextes aussi divers qu’un ministère, le CNRS, le CEA ou un établissement public administratif. Toute cette diversité fait que l’application de ces 185 mesures est complexe et que chaque établissement doit adapter sa PSSI à ce nouveau socle.
La résorption de l’écart entre PSSIE et PSSI-C est mon premier objectif. Il est incompressible. Il est à terme calendaire fixé à 2017.
La seconde mission qui m’est confiée est d’animer et de fédérer le réseau des correspondants SSI régionaux et locaux du CNRS. Ce réseau s’appuie sur l’ensemble des Délégations Régionales du CNRS dont chacune dispose d’un RSSI et d’un comité régional de SSI. A cela s’ajoute un correspondant SSI dans chaque unité de recherche, qu’elle soit propre ou mixte. L’ensemble formant un réseau de proximité dédié à la sécurité des SI.
Par le passé, mon prédécesseur Louis Di Benedetto a fait vivre ce réseau. La vacance du poste de RSSI qui a eu lieu depuis quelques temps a fait en sorte que l’activité de ce réseau a ralenti. Et ce n’est en aucun cas de la faute de ses membres mais à la vacance du poste de chef d’orchestre. C’est à moi que revient la responsabilité d’endosser ce rôle. C’est un rôle participatif dans la conception des mesures de sécurité, mais aussi un rôle de remontée d’information sur l’état de sécurité générale de nos unités.
La troisième mission dont je souhaite vous parler concerne la densification et l’approfondissement des relations avec les partenaires du CNRS. Le CNRS est un établissement qui noue des partenariats par nature, d’abord du fait même du statut de ses unités. Nous avons donc nécessité de nous rapprocher de nos partenaires publics ou industriels, partenaire étant ici considéré au sens large. Il est fondamental de tisser des liens et d’essayer de trouver des postures communes en terme de SSI reposant sur des mesures acceptables par tous, quels que soient l’environnement, la tutelle ou l’unité d’accueil. Atteindre une homogénéité des mesures est mon objectif principal quand je parle de rapprochement avec les partenaires. L’un des enjeux majeurs de ce rapprochement concerne notamment la protection du potentiel scientifique et technique de nos laboratoires (PPST).

Selon vous, quelle est la place de l’ASR dans la SSI au CNRS ?

Les correspondants SSI* des laboratoires sont souvent des ASR*, c’est un fait. Je crois qu’il faut :
1. les remercier de leur engagement quotidien dans une fonction difficile,
2. les encourager dans le travail qu’ils ont pu faire dans le passé et qu’ils feront encore dans le futur en termes de SSI.
Même s’ils ne sont pas les décisionnels de la démarche SSI dans le laboratoire et qu’ils ne sont pas les porteurs de l’autorité qui doit faire appliquer la SSI dans le laboratoire, ils en sont le bras armé. Dans le bon sens du terme, le bras armé cela signifie qu’ils sont à la fois ceux qui permettent aux utilisateurs de comprendre comment on applique les mesures de sécurité, et ceux qui contrôlent réellement sur le terrain l’application des mesures. Il ne faut pas oublier que ce sont également les ASR qui assurent le premier acte de reporting vers leur chaine fonctionnelle SSI.
La SSI est une dimension du métier d’ASR qu’on ne peut occulter au quotidien. Et à ce titre le rôle de l’ASR dans la SSI est fondamental. Il nous faut travailler à une reconnaissance pleine et entière de cette mission par la hiérarchie.
Il faut aussi encourager les ASR à participer activement à nos réseaux SSI régionaux, aux réseaux locaux des COMUE (communautés d’universités et d’établissements), et aux réseaux nationaux. Je les invite à prendre contact avec leurs correspondants régionaux SSI pour faire connaître leur envie d’engagement.

Justement, quel est le degré d’interaction que vous avez avec les réseaux métier en termes de SSI ?

On a besoin des réseaux métier. C’est un vecteur de communication pour faire passer des messages de manière transverse, au-delà des systèmes et des réseaux internes à chaque tutelle et chaque établissement. Les réseaux métier sont des réseaux de collaboration horizontale, c’est la manière la plus évidente pour, de proche en proche, faire circuler une idée ou un message. J’espère pouvoir m’appuyer sur ces réseaux métier pour faire passer de la culture SSI, et traduire de manière opérationnelle la politique SSI qui impacte chacun d’entre eux. Que ces réseaux n’hésitent pas à faire remonter à la chaîne fonctionnelle SSI leurs sujets de préoccupation du moment, afin qu’ils puissent être partagés et débattus.

RSSI - Responsable de la Sécurité des Systèmes d’Information
COMUE - COMmunauté d’Universités et Etablissements
PSSI - Politique de Sécurité des Systèmes d’Information
ASR - Administrateur Systèmes et Réseaux
SSI - Sécurité des Systèmes d’Information