« Il n’y a pas de confiance s’il n’y a pas de sécurité » : rencontre avec Valentin Rebmann, RSSI chez AR24

La sécurité informatique est devenue une réelle préoccupation des entreprises car, ces dernières années, les menaces se sont multipliées. Il est donc essentiel de trouver des moyens efficaces d’assurer une bonne sûreté au sein de sa structure, de manière à pouvoir par exemple se protéger de tous les risques inhérents à l’utilisation d’un poste informatique, que ce soit en internet ou en intranet.

Valentin Rebmann, RSSI chez AR24, répond à 3 questions au sujet de son parcours et son rôle chez AR24, ses missions et projets, et enfin les évolutions du pôle sécurité.

Sommaire :

1. Qu’est-ce qu’un RSSI et quel est le parcours qui t’a mené à en devenir un ?
2. Quels sont tes missions et projets au sein d’AR24 aujourd’hui ?
3. En quoi ton travail est important pour AR24 et comment imagines-tu l’évolution du pole sécurité ?

 

1. Qu’est-ce qu’un RSSI et quel est le parcours qui t’a mené à en devenir un ?

« Le RSSI (pour Responsable de la Sécurité des Systèmes d’Information) est le garant de la sécurité dans une entreprise. En plus de la casquette sécurité, le RSSI AR24 a aussi une casquette conformité.

Concernant mon parcours, côté académique : entre technique et gestion de projet, j’ai réalisé 4 ans d’apprentissage dans le cadre de mes études chez des opérateurs télécom et dans une banque. Mes études terminées j’ai commencé mes expériences professionnelles en cabinet d’audit et de conseils, plus précisément en me spécialisant en gestion de projet en tant que PMO (Project Management Officer) puis en créant et gérant une équipe d’auditeurs informatiques dans le Grand Est. Mes missions étaient liées à la technique, à la formation et au management ; elles m’ont mené jusqu’ici.

Il faut aussi savoir qu’il y a 10/15 ans les formations dédiées à la cybersécurité étaient quasiment inexistantes. Elles sont très courantes aujourd’hui car le sujet « explose ». »

 

2. Quels sont tes missions et projets au sein d’AR24 aujourd’hui ?

« Participer à l’obtention et au maintien des certifications, c’est mon gros sujet en ce moment. Par exemple, je travaille actuellement sur le sujet de la certification PVID (Prestataires de Vérification d’Identité à Distance) à laquelle nous candidatons au travers de Docaposte.

Ensuite, un deuxième volet de mon travail concerne la veille en sécurité informatique.

Un exemple d’actualité est la faille Log4j, qui a surgie mi-décembre 2021 et qui est une des plus grosses failles apparues depuis longtemps. Chez AR24 nous ne sommes pas impactés, mais au vu de l’évolutivité du sujet il est nécessaire de se maintenir informés sur l’évolution de la menace. Par ailleurs, cela permet de se tester sur le sujet, de vérifier nos mécanismes, nos réflexes.

Dans la continuité, il y a l’analyse des risques pour AR24 : nous faisons un métier spécifique, nous avons des risques spécifiques, il est donc important de se tenir informés des vecteurs d’attaques. Tout cela fait partie des missions du RSSI. »

 

3. En quoi ton travail est important pour AR24 et comment imagines-tu l’évolution du pôle sécurité ?

« Le rôle de RSSI est aussi d’être garant de l’offre de confiance, car il n’y a pas d’offre de confiance s’il n’y a pas de sécurité.

Il faut spécifier que la sécurité faisait déjà partie intégrante de l’ADN d’AR24 avant mon arrivée il y a quelques mois, ce qui a rendu la partie pédagogie et sensibilisation aux bonnes pratiques informatiques plus facile à poursuivre et optimiser.

Les collaborateurs AR24 sont tous déjà sensibilisés aux sujets de sécurité informatique ; néanmoins il est important de partager l’actualité, avec des exemples concrets de ce qu’il se passe dans le monde de la cybersécurité, ce qui explique aussi les restrictions que nous mettons en place ou qui sont imposées par certaines certifications. Les restrictions liées à la sécurité ne sont jamais un hasard et il est toujours bon de l’expliquer.

Cependant il ne faut pas croire que les sujets que je traite (certification, veille, conformité, sécurité) relèvent uniquement d’une personne (le RSSI). Ces sujets impliquent le travail de plusieurs équipes. Par exemple les certifications impliquent de nombreuses équipes techniques et non techniques : le service client, le service juridique, les RH, l’IT… et finalement le RSSI joue un rôle de chef de projet pour fluidifier à la fois la communication et les actions à mener.

Finalement l’objectif de ce pôle est de poursuivre la pédagogie coté collaborateurs, promouvoir les bonnes pratiques et la veille en lien avec le groupe, tout en gardant ce rôle de rouage central au quotidien sur les thématiques de sécurité et de conformité. »