LMi-MAG23 Sept - Flipbook - Page 20
ENTRETIEN
de grandes économies et la pratique qui rend impérative l’obtention des compétences FinOps. A ceci s’ajoute
l’enjeu essentiel de la con昀椀dentialité des données dans
le monde de la protection sociale. Je serai certainement
plus ouvert dans quelques années lors du renouvellement des contrats. Et si Jean-Baptiste Courouble (DSI
de l’Urssaf, ndlr) poursuit son projet de cloud mutualisé
de la Sécurité sociale que je trouve excellent, je serais
ravi d’y souscrire.
Nous avons également mis en place la possibilité de
recourir à un agent conversationnel dans Teams qui
propose des petites séquences de formation de trois
à quatre minutes pour expliquer ce qu’est le phishing,
pourquoi il faut renforcer son mot de passe, comment
il faut gérer son compte LinkedIn, etc. Cela nous parait
essentiel. A date, 1 800 cours ont été dispensés soit en
moyenne dix cours par personne. Nous réalisons aussi
des tests de phishing pour lesquels le RSSI a imaginé
cinq scénarios aléatoires qui permettent aux collaborateurs d’a昀昀ûter leurs ré昀氀exes en matière de sécurité. Les
résultats de ces tests sont de plus en plus concluants
puisque les collaborateurs se font de moins en moins
piéger.
Plus globalement, avez-vous vu depuis quelque
temps les factures de vos partenaires et fournisseurs augmenter ?
Peut-on tout demander à l’utilisateur ou avezvous mis en place des protections supplémentaires comme l’authentification multifacteurs ?
P. G. : Nous avons fait de la massi昀椀cation avec des appels
P. G. : C’est un sujet en ré昀氀exion. Nous avons mené un
Patrice GERMAIN
DSI de la Cipav
d’o昀昀res dès mon arrivée et négocié des accords-cadres.
Nous avons capé l’augmentation à 3% et cela nous préserve de la hausse des tarifs. S’appuyer sur les TJM (taux
journaliers moyens, ndlr), qui restent le principal moyen
d’avoir un prestataire de bon niveau, est une idée que j’ai
toujours à l’esprit. De mon point de vue, payer plus cher
un bon prestataire avec lequel on entretient de bonnes
relations est un pari gagnant, plutôt que de recourir à
un mauvais prestataire que l’on paierait 20 ou 50% de
moins. L’état du marché dicte évidemment aussi les
règles en la matière. Pour être transparents, nous avons
dû accepter un peu d’in昀氀ation sur la sauvegarde, car les
motifs étaient justi昀椀és.
test de double authenti昀椀cation sur le périmètre de la DSI.
Ce test s’est avéré laborieux, avec les collaborateurs qui
travaillent à distance comme avec ceux présents dans
nos locaux. Pour l’instant, nous n’avons donc pas poursuivi son déploiement.
Et le troisième sujet de sécurité ?
P. G. : Le troisième volet réside évidemment dans notre
capacité à réagir. Nous avons imaginé un scénario dans
lequel la Cipav et l’un de ses partenaires sont attaqués
pour déterminer le meilleur plan à mettre en place pour
garantir la sécurité des données de nos assurés. [Lire
l’intégralité de l’entretien sur lemondeinformatique.fr]
Qui dit sauvegarde, dit sécurité : quelle est
votre stratégie en la matière ?
P. G. : La sécurité est un sujet majeur évidemment. Au
quotidien, nous travaillons sur trois sujets concomitants.
Le premier est le plan de défense des SI avec la mise
en place d’un EDR (endpoint detection response, ndlr)
ou d’un XDR (Extended Detection and Response, ndlr),
le durcissement des sauvegardes et un SOC externalisé
auprès d’Orange. L’objectif est de verrouiller au maximum, sachant qu’aujourd’hui, la grande di昀케culté pour
moi est de disposer de solutions cohérentes. Le deuxième sujet est la formation des collaborateurs. Le RSSI
a organisé un webinaire à l’attention de l’ensemble des
employés de la Cipav pour leur donner des exemples très
concrets des risques auxquels nous sommes confrontés avec notre SI. Cette formation permettait à la fois de
leur expliquer l’intérêt des mesures de sécurité que nous
mettons en place, comme le verrouillage des ports USB,
par exemple, et de leur transmettre quelques bonnes
pratiques.
20 / septembre / octobre / novembre 2024
APPROFONDIR
ÉCOUTER EN LIGNE
Entretien/Podcast
tinyurl.com/podcast-Germain
LIRE EN LIGNE
Entretien
tinyurl.com/article-Germain
