Vincent Strubel (directeur de l'OSIIC) : « nos services sont une cible prioritaire des meilleurs attaquants du monde »


Sécurité et digital : il ne faut pas choisir
La sécurité est un enjeu. La digitalisation est un enjeu. Mais, en fait, le véritable enjeu est tout simplement le business. Et sécurité et digital ne peuvent pas s'opposer : ils doivent avancer de concert. Le développement de la cybercriminalité et du cyber-espionnage ne peuvent pas excuser un...
DécouvrirVincent Strubel est le directeur de l'OSIIC (Opérateur des Systèmes d'Information Interministériels Classifiés). Ce nouveau service à compétence nationale (SCN), créé le 1er juillet 2020, dépend du Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN), comme l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Vincent Strubel nous en explique le rôle, les choix et comment ce SCN s'intègre avec les DSI ministérielles, la DINUM (Direction Interministérielle du Numérique), l'ANSSI et les autres organismes opérant sur le numérique d'Etat.
PublicitéCIO : Pouvez-vous nous expliquer ce qu'est l'OSIIC (Opérateur des Systèmes d'Information Interministériels Classifiés) et ses rôles ?
Vincent Strubel : Fondée le 1er juillet 2020, l'OSIIC est quelque part une structure jumelle de l'ANSSI : nous sommes deux SCN rattachés de la même façon au SGDSN. L'OSIIC est d'ailleurs issu de la fusion d'une sous-direction de l'ANSSI, de statut civil, et du Centre de Transmission Gouvernemental, de statut militaire. Le périmètre des missions de chacun avait évolué et il y avait de plus en plus de recouvrements. Un rapprochement s'imposait donc.
Pour commencer, l'OSIIC est au service du Président de la République et du Premier Ministre. Ils doivent être joignables, pouvoir contacter qui ils souhaitent et recevoir les flux d'informations classifiées à tout moment, où qu'ils soient. De la même façon, ils doivent pouvoir dialoguer avec des homologues étrangers avec ce qui est en quelque sorte le successeur du « téléphone rouge ». Nous leur fournissons les moyens nécessaires et nous les mettons en oeuvre.
Comme notre nom l'indique, nous mettons en oeuvre les systèmes interministériels classifiés. Par exemple, il y a le réseau ISIS (intranet classifié) et les visioconférences classifiées Horus/Osiris. Ces systèmes doivent être déployés partout où il y a des échanges classifiés, y compris pour gérer des crises. Ils sont donc présents dans tous les ministères, les préfectures, certaines gendarmeries, les ambassades et même certaines entreprises privées parmi les opérateurs d'importance vitale. Ils sont donc déployés mondialement. Avec la crise sanitaire Horus/Osiris a d'ailleurs été particulièrement mis à contribution pour éviter les réunions physiques. Le Conseil des Ministres se réunit en visioconférence depuis le mois de Mars à partir d'une dizaine de sites.
En plus, l'OSIIC est aussi la DSI du SGDSN, donc de l'ANSSI. Nous avons un millier d'utilisateurs avec de forts besoins de sécurité et des profils très variés, y compris de gens qui aiment tester les sécurités. Nous avons, par notre histoire, deux cultures qui cohabitent et se complètent très bien : une culture civile parfois un peu geeks à cheveux longs et une culture militaire très structurée.
CIO : Comment travaillez-vous avec les autres acteurs du numérique d'État comme les DSI ministérielles, la DSI de l'Elysée, la DINUM, l'ANSSI, etc. ?
Vincent Strubel : Nous travaillons avec tout le monde !
Commençons par l'ANSSI, le plus simple. Elle est à la fois notre « cliente » (puisque nous sommes sa DSI en tant que DSI du SGDSN) et notre « donneuse d'ordre », prescriptrice de nos règles. L'OSIIC sert aussi un peu de « village témoin » de l'application des règles de l'ANSSI. Nos missions sont distinctes mais complémentaires et notre travail est quotidiennement commun. Nous allons d'ailleurs nous efforcer d'échanger régulièrement du personnel. Il s'agit en fait pour nous d'atteindre l'excellence sécuritaire dans un coàntexte plus large lié aux attentes de nos utilisateurs.
Comme nous sommes nous-mêmes une DSI, nous entrons dans le jeu interministériel orchestré par la DINUM. Et comme opérateur de SI classifié, nous sommes fournisseurs des DSI ministérielles. Celles-ci opèrent la part non-classifiée du SI d'Etat. Mais cela ne veut pas dire qu'il y a une étanchéité totale. Par exemple, nos flux chiffrés passent en général sur le RIE [Réseau Interministériel de l'État, NDLR]. De la même façon, nous n'allons pas déployer des solutions sur la France entière : ce sera fait par les DSI des ministères concernés. Nous n'avons aucune compétition mais une répartition des rôles. C'est particulièrement vrai avec l'Elysée. Même en terme d'expérience utilisateur, il faut absolument éviter qu'un super-VIP cherche qui fait quoi et à qui il doit s'adresser pour une demande ou un problème. Mais chaque DSI ministérielle a son fonctionnement. Il nous fait donc nous asapter. C'est le fondement même de l'interministériel.
Cela dit, unifier davantage n'aurait pas de sens : DSI reste un métier de proximité.
PublicitéCIO : La DSI de l'Elysée a assuré le service informatique et télécom du dernier G7 en France. Est-ce que désormais ce serait votre rôle dans un cas similaire ?
Vincent Strubel : En fait, il s'agit d'une coopération. Le SI « ouvert » est fourni par l'Elysée et il continuera sans doute à l'être. Chaque chef d'État étranger a, par ailleurs, ses propres communications classifiées et la France n'a pas à s'en occuper. Enfin, l'OSIIC fournit les communications classifiées pour les officiels français.
Les services proposés par l'OSIIC doivent être disponibles dans le monde entier.
CIO : Quelles sont les grandes règles d'architecture que vous avez choisies, par exemple en matière de cloud ?
Vincent Strubel : Le cloud, en général, même souverain... n'est pas trop dans notre approche. Les exigences auxquelles nous devons nous plier sont multiples et parfois contradictoires.
D'abord, la sécurité. Nos services sont une cible prioritaire des meilleurs attaquants du monde, notamment issus des services secrets de différents pays. Cela veut dire que ces attaquants acceptent de nous consacrer beaucoup de ressources. Nous avons une obligation de résultat : c'est un enjeu de souveraineté nationale. Sur ce sujet, nous travaillons au quotidien avec l'ANSSI, avec une supervision constante de nos systèmes.
Nos architectures sont très spécifiques car nous avons besoin de simplicité, de sûreté et de maîtrise totale. Nous concevons et fabriquons des solutions sur le sol national. Pas de bling bling mais des innovations constantes en matière de sécurité. Un cloud mutualisé, même souverain, c'est donc non pour tout ce qui est classifié. A l'inverse, pour notre rôle de DSI, certains pans non-sensibles peuvent être hébergés à l'extérieur.
La deuxième exigence est la fiabilité, même en cas de crise. Cela implique de la redondance, des sites de dévolution en cas de catastrophe... C'est utile de disposer de militaires dans notre effectif pour tout cela car c'est tout à fait dans leur culture.
Par ailleurs, nous avons des utilisateurs légitimement exigeants. Si le Président a un besoin, c'est la France qui a ce besoin, même au bout du monde. Il faut donc des produits ergonomiques qui couvrent les besoins exprimés sans apporter de complications.
Nous jonglons donc avec les extrêmes, de la sécurité ultra-documentée à des projets très agiles, presque DevOps. Il y a une très grande importance à faire en interne tout ce qui est critique. Nous devons donc avoir cette capacité à faire et à faire évoluer. Il nous faut donc pouvoir associer la rigueur et l'agilité couplée à la créativité.
CIO : Beaucoup de DSI ont comme combat le désilotage des données. Vu votre périmètre d'action, n'avez vous pas comme préoccupation, au contraire, le silotage ?
Vincent Strubel : Je serais très nuancé là-dessus. Bien sûr, le classifié doit être tout à fait siloté.
Pour le reste, nous avons les mêmes enjeux que n'importe quelle DSI. Avoir des réseaux IP distincts pour des usages différents, cela n'a pas beaucoup de sens. Il ne faut pas que la sécurité soit une mauvaise excuse pour ne pas faire de mutualisation utile. Comme d'autres, nous sommes dans la recherche constante de convergences pour faire moins cher, plus simple et plus efficace pour les utilisateurs.
CIO : Non seulement vous faites partie de la fonction publique avec ses contraintes, notamment de salaires, mais vous ne pouvez pas embaucher n'importe qui sans contrôle. Comment recrutez-vous ?
Vincent Strubel : D'abord, oui, l'OSICC recrute ! Nous avons besoin de recruter des profils rares, pointus. Le marché étant en tension, c'est en effet difficile. Notre capacité à nous aligner sur certains niveaux de rémunération excessifs est limitée même si nous pouvons être compétitifs, surtout en début de carrière.
Mais, comme l'ANSSI, nous avons d'autres choses à offrir. D'abord le sens de l'intérêt public et c'est de nos jours une vraie force. Ensuite, les talents qui nous rejoignent se forment à l'ANSSI ou à l'OSIIC car on y voit des choses qu'on ne voit jamais ailleurs. Nous arrivons à recruter car nos métiers sont intéressants. Nous devons être attractifs pour les civils, bien sûr, mais aussi pour les militaires qui vont recycler leur expérience au service direct des forces.
Certes, les gens ne resteront pas toute leur vie à l'OSIIC mais c'est très bien comme ça.
CIO : Quels sont vos grands défis ?
Vincent Strubel : Il irait peut-être plus vite de dire ce qui n'est pas un défi... Nous sommes dans une nouvelle structure issue d'une fusion. Il y a donc un vrai chantier de réécriture de nos processus pour gagner en qualité de service et en efficience. Si on juxtapose, la fusion n'a aucun sens.
Nous avons aussi besoin d'écrire notre feuille de route, de formaliser nos relations avec nos partenaires (DINUM, DSI ministérielles...) avec de probables itérations.
Un autre défi est d'intégrer le retour d'expérience de la crise sanitaire. Tous les services publics ont fait un travail formidable, parfois même des miracles, pour que tout marche. Derrière, il y a eu de vrais changements dans les usages. Le conseil des ministres en visioconférence était inimaginable il y a quelques moi, par exemple.
Je suis convaincu que ces gains d'efficience obtenus doivent perdurer. Cela veut dire les étendre à d'autres utilisateurs, combler des manques identifiés et pérenniser les pratiques adoptées dans l'urgence.
Nous avons un important axe de développement de partenariats avec la DINUM. Il nous faut améliorer la résilience du RIE et faire en sorte que nos solutions fonctionnent mieux sur ce RIE. C'est un vrai chantier opérationnel.
Enfin, il ne faut pas que l'État décroche de l'état de l'art informatique, que nous nous enfermions dans une dette technique sans pour autant adopter la moindre mode. Il nous fait bien sûr tenir compte de nos contraintes propres. Si de nombreux DSI adoptent les méthodes agiles et le DevOps, c'est parce que cela fait de la bonne informatique. Il faut que nous sachions faire entrer ce genre de méthodes dans les systèmes classifiés.
Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire