Interviews

Mylène Jarossay, présidente du Cesin : « Innover tout en gardant l'ADN du club »

Mylène Jarossay, présidente du Cesin, a l'ambition de renforcer les échanges et les partages au sein du club.

Mylène Jarossay est RSSI du groupe LVMH, mais elle est depuis quelques semaines, la présidente du CESIN (club des experts de la sécurité de l'information et du numérique). Elle revient pour nous sur ses ambitions et son programme lors de son mandat. Au menu, des collèges thématiques, renforcement des labs et des paroles d'experts, le mentorat et surtout une farouche envie de dialogues et d'échanges.

PublicitéLe Club des experts de la sécurité de l'information et du numérique a élu Mylène Jarossay à sa tête. La RSSI du groupe LVMH nous a donné des indications sur les orientations de son mandat et ses ambitions pour le club.

CIO : Vous avez été élue président du Cesin (club des experts de la sécurité de l'information et du numérique) en remplacement d'Alain Bouillé, les gens vous connaissent moins, pouvez-vous en dire un peu plus sur vous ?

Mylène Jarossay : Je suis avec Alain Bouillé et quatre autres personnes l'un des membres fondateurs du Cesin. A l'époque, j'étais DSI adjointe et RSSI de l'Institut Curie où j'ai beaucoup travaillé sur la sécurité dans le domaine de la santé, en instillant déjà à l'époque de la sécurité by design. Depuis quatre ans, j'ai rejoint LVMH comme CISO Groupe.
Le Cesin est né d'une volonté et d'un besoin de discussion entre pairs. L'idée fondatrice était d'avoir un cercle de confiance pour échanger des informations et partager des bonnes pratiques sur un mode convivial. Alain Bouillé part en retraite dans les prochains mois. Nous avons initié ensemble et avec le Conseil d'Administration un projet de transformation du CESIN pour prendre en compte notre forte croissance. Il m'a encouragée à postuler à la Présidence du Club pour poursuivre les travaux engagés. Le nouveau Conseil d'Administration, élu en juin dernier lors de notre Assemblée Générale, a retenu ma candidature.

CIO : Quelle présidente allez-vous être ?

Mylène Jarossay : Dans ce nouveau Conseil d'Administration, chacun a son style. Pour ma part, et depuis la création du Club, je pousse l'innovation. Je suis un peu la « boîte à idées » du Club.
Dans le projet de transformation, Il y aura des nouveaux sujets d'études et des nouvelles façons de travailler ensemble. Nous sommes un club en pleine croissance et on ne peut pas gérer une entité qui compte aujourd'hui 500 membres comme nous avons géré un Club de quelques dizaines puis d'une centaine de membres les premières années. Il y a donc une phase de réflexion qui a été engagée pour innover tout en préservant l'ADN du Club.

CIO : Pouvez-vous nous en dire un peu plus sur ces initiatives ?

Mylène Jarossay : Je souhaite structurer le cercle de confiance cité précédemment en créant, en complément de nos réunions plénières, des cercles plus petits, non pas sur des secteurs d'activité verticaux mais plutôt sur les différentes composantes que contiennent nos métiers. Pour cela, après avoir fait un sondage auprès de nos membres, nous préparons la création de collèges, notamment autour des fondamentaux, de la défense opérationnelle et des méthodes et standards,. Au sein de chaque collège, il faudra conserver une diversité issue de différents secteurs d'activité des membres et de la contradiction sur les différents thèmes pour réellement faire avancer les choses.

PublicitéNous voulons aussi créer un collège pour travailler sur le facteur humain en sécurité car il faut sortir de la sempiternelle remarque qui considère que le problème se trouve entre la chaise et le clavier. Il y a beaucoup de défoulements sur les utilisateurs qui cliquent trop vite ou affichent leurs mots de passe triviaux. Il faut s'interroger sur tous les métiers où le facteur humain joue un rôle fort, parler davantage des développeurs, des administrateurs, des devops, des chefs de projet IT et métiers, etc. Un collège peut réfléchir à ce sujet pour transformer le facteur humain en un élément contributeur à la démarche sécurité et non un facteur aggravant. Surtout à l'heure où le domaine de l'IT est en train de se transformer et que les architectures se développent dans le Cloud. Il faut réfléchir sur les rôles de chacun vis-à-vis de la sécurité, des rôles qui sont en train de changer au sein de l'entreprise.

Il y aura enfin un collège consacré aux grandes entreprises et grandes administrations, car il y a des spécificités à creuser pour ces contextes particuliers. Il s'agit de la seule entorse au fait de ne pas regrouper des membres autour d'une composante du métier sécurité. Et ce collège, comme les autres, accueillera des membres issus de divers secteurs d'activité.

CIO : Et sur les systèmes industriels ?

Mylène Jarossay : Sur les systèmes industriels, nous allons avoir une approche qui s'appuie sur un autre format, les Labs. Il s'agit d'une structure dans laquelle plusieurs membres se réunissent et travaillent sur un sujet précis en mode projet pendant une durée de 6 mois à 1 an. Il en existe déjà un sur les systèmes industriels. Nous allons en créer d'autres pour répondre à différentes problématiques. Chaque lab a pour objectif de partir d'une question ciblée et cherchera à y répondre.

CIO : Existe-t-il d'autres formats ?

Mylène Jarossay : Nous avons également les Paroles d'experts, car il faut aussi que nous passions du temps pour approfondir des sujets techniques. Ce format a déjà démarré. Il s'agit de sessions organisées sur une demi-journée et animées par des membres, experts d'un sujet. En petit comité de 50 personnes maximum, ces rencontres permettent de construire et présenter une vision à 360° sur des sujets tels que la sécurité de l'Active Directory, la sécurité du cloud public, la sécurité de la messagerie. Ce format va se poursuivre avec des sujets comme la sécurité du DNS, par exemple, qui sera sans doute le prochain sujet traité.

CIO : Quels sont les autres axes de votre mandat ?

Mylène Jarossay : Nous allons développer le mentorat, car il est important de transmettre des savoirs et des savoir-faire. Les échanges entre mentors et mentorés sont très profitables aux uns et aux autres.
Nous allons aussi travailler pour enrichir les enquêtes que nous menons, que ce soit des enquêtes ponctuelles ou des analyses de tendances telles que notre baromètre annuel. Il faut les rendre plus percutantes et précises. Elles doivent fournir de la matière pour bien comprendre notre métier et son évolution
Sur un plan pratique et logistique, nous devrions trouver une adresse fixe pour le club, car aujourd'hui nous nous réunissons à chaque fois chez un membre de l'association. Nous devons ancrer le Club dans un lieu agréable et facile d'accès et pour tous.

CIO : Il y a une pénurie de ressources dans le domaine de la cybersécurité, comment le Cesin peut se positionner sur ce sujet ?

Mylène Jarossay : Nous participons à des initiatives Il s'agit d'un sujet large qui concerne bon nombre d'acteurs au-delà de nos Club. Le Cesin peut contribuer à projeter ce qu'est le métier de RSSI et ce que les entreprises peuvent attendre des cursus sur la cybersécurité. Il faudrait également traiter des questions de sécurité dès le plus jeune âge, notamment au Collège, pour que les jeunes apprennent très tôt à conduire leur vie numérique Le Cesin peut être force de proposition sur ces différents sujets.

CIO : Comment voyez-vous le rôle des RSSI ?

Mylène Jarossay : Le temps où on percevait les RSSI comme des bloqueurs de projets usant et parfois abusant de leur pouvoir de dire non est révolu, nous en sommes maintenant loin. Aujourd'hui, les RSSI sont là pour aider les métiers. Ils doivent trouver leur place en éclairant sur les cyber-risques et en étant des facilitateurs. Les attaques sont de plus en plus fréquentes et médiatisées. Cela influe sur le fait que le RSSI est plus sollicité et plus entendu qu'auparavant. Et puis il y a une évolution dans la valeur de confiance qu'apporte la sécurité. Le RGPD a été le début de l'histoire, le levier de cette évolution. Les systèmes d'information que nous créons doivent intégrer de la sécurité par défaut, cela donne de la confiance. Les consommateurs des Systèmes d'Informations en sont demandeurs.