Contact
Interview Damien Vico

Damien Vico, CISO chez IRISnet

Quel est votre rôle au sein d’IRISnet ?

Je suis un des « anciens » d’IRISnet, après avoir occupé des fonctions managériales, je me suis spécialisé sur la partie sécurité et occupe la fonction de CISO, c’est-à-dire Chief Information Security Officer. 

La mission du CISO consiste essentiellement à la mise en place et à la gestion des stratégies de cybersécurité, de la protection de l’information et de la conformité aux réglementations. Je dois également veiller à sensibiliser et former le personnel aux bonnes pratiques en matière de sécurité, tout en assurant une vigilance constante face aux menaces potentielles. En somme, je suis le gardien de la sécurité informatique non seulement d’IRISnet en interne, mais aussi de ses clients puisque nous sommes un maillon important de leur réseau.  

Plus spécifiquement à l’heure actuelle, IRISnet souhaite obtenir la certification ISO 27001 en gestion de la sécurité. Dans un premier temps, nous évaluons les systèmes et les risques avant de mettre en place un plan permettant de réduire le risque à un niveau d’impact et de probabilité acceptable. Ensuite, nous développons ce qu’on appelle un SMSI (Système de Management de la Sécurité de l’Information), basé sur un ensemble de politiques et de procédures nous permettant de mesurer l'état des lieux de la sécurité de nos assets et de garantir au maximum la confidentialité, l'intégrité et la disponibilité des informations.  

L’obtention de cette certification devrait intervenir prochainement, mais le déménagement de nos centres de données ainsi que le double déménagement de nos bureaux nous ont obligés à retarder quelque peu le projet. 

Quel a été le déclencheur de cette certification ? 

Je le répète souvent, mais la sécurité ce n’est pas que de la technologie. La préparation et la sensibilisation sont essentielles pour diminuer considérablement les risques de sécurité. Quel que soit le niveau d'avancement des technologies de sécurité, une organisation bien préparée et résiliente peut faire face aux menaces de manière plus efficace. Outre le fait que la sécurité est un thème récurrent chez IRISnet, le déclencheur principal a été la directive européenne NIS2 que je qualifierais de "RGPD de la sécurité".

Cette directive doit entrer en vigueur en octobre prochain et impose à toute organisation d’évaluer les risques et de les gérer dans l’ensemble de la chaîne d’approvisionnement. Et comme la solidité d’une chaîne dépend de son maillon le plus faible, IRISnet n’entend évidemment pas être ce maillon faible. Beaucoup de nos clients seront soumis à NIS2 et devront donc s’assurer qu’IRISnet est bien un partenaire de confiance et le fait d’être certifié ISO27001 les dispensera de devoir nous auditer.  

Clairement, NIS2 a induit un changement des mentalités, les directions devenant responsables pénalement de la mise en œuvre et du respect des mesures de sécurité, de la déclaration des incidents, de la gestion proactive des risques, et de la coopération avec les autorités compétentes. Cela ne se construit pas en un jour et IRISnet se doit d’être aux côtés de ses clients en leur offrant des solutions qui améliorent considérablement leur sécurité. 

Quelles sont les tendances dans votre marché au niveau sécurité ? 

L’approche du cahier des charge IRISnet3 vise à ce qu'IRISnet se profile comme un centre de compétences en cybersécurité. Plusieurs tendances majeures du marché justifient cette approche. D’abord, la difficulté de recruter des compétences, notamment dans le secteur public où les personnes formées sont très souvent attirées par le secteur privé.  

Ensuite, le marché évolue clairement vers le concept "As-a-Service", où l'infrastructure et la plateforme sont gérées par un tiers. Par conséquent, la sécurité du cloud, des environnements hybrides, ainsi que celle des données et des applications dans ces environnements, devient essentielle. 

Enfin, nos clients gèrent non seulement des environnements IT, mais aussi des environnements opérationnels qu’il convient de sécuriser. Or l’approche sécuritaire est différente dans l’operational technology (OT) , où la sécurité se concentre principalement sur la disponibilité et la sûreté des systèmes pour garantir la continuité opérationnelle et la sécurité physique, tandis que dans le monde IT (Information Technology), l'accent est mis sur la confidentialité, l'intégrité et la disponibilité des données, avec des mises à jour fréquentes et des réseaux plus ouverts. 

En outre, l’intelligence artificielle (IA) commence à jouer un rôle de plus en plus important dans la détection et la prévention des menaces. Ces technologies permettent de détecter des comportements anormaux et de répondre rapidement aux incidents de sécurité. J’ajoute que si l’IA est utilisée pour la gestion de la sécurité, malheureusement elle l’est aussi par les pirates eux-mêmes. Il faut donc se battre à armes égales !  

Les services publics sont en effet une cible privilégiée par les pirates. Ainsi, les cyberattaques sont de plusieurs ordres, qu’il s’agisse du crime organisé, de pirates opportunistes, d’hacktivistes soucieux de défendre des causes précises, ou encore de piratage d’État, ces cyberpirates utilisent toutes les formes possibles d’attaques. En outre, les organisations sous-estiment souvent l’ingénierie sociale où l’individu est la porte d’entrée tout indiquée pour les pirates. C’est pour cela que les campagnes de sensibilisation sont importantes. 

Quelle est l’offre de services mise en place par IRISnet ? 

J’avoue que jusqu’à présent, l’offre en (cyber-) sécurité reste assez limitée en raison des contraintes liées au maché public en lui-même et de la procédure de validation de nouveaux services par l’administration dans le cadre du partenariat public/privé. Cela étant, grâce à notre partenariat avec Orange et sa compagnie sœur Orange Cyberdefense, nous sommes prêts à offrir une gamme complète de services de sécurité. Plutôt que de nous concentrer uniquement sur la vente de produits, nous souhaitons fournir des services et des solutions de sécurité complets, répondant à la difficulté actuelle de trouver du personnel compétent dans ce domaine. 

Nous avons déjà travaillé sur le portefeuille et celui-ci se segmentera en 5 axes : 

  • L"’identification" de l’environnement, des risques et la mise en place d’une gouvernance adaptée. 
  • La "protection" que ce soit avec du contrôle d’accès, des technologies de prévention d’intrusion avec des pare-feux, de la sensibilisation, etc. 
  • La "détection"avec la surveillance proactive et les processus associés, ceci dans le cadre du SOC ou Security Operations Center en collaboration avec Orange qui permettra un monitoring proactif des évènements de sécurité et potentiellement une automatisation de la réaction. 
  • La "réponse" en cas d’incident, associée à l’analyse, la réduction de l’impact, les mesures correctives, etc. Et ce en collaboration avec l’équipe CSIRT (Computer Security Incident Response Team) d’Orange qui aidera les clients en cas d’attaque . 
  • La  "reprise" où il s’agira de remettre en place, de restaurer et d’améliorer les systèmes pour permettre un retour le plus rapide possible à la normale. 

Ces services devraient se déployer au fil de l’eau d’ici la fin de l’année en association avec nos partenaires technologiques Fortinet et Cisco notamment. Une fois l’ensemble des services mis en place, IRISnet sera un véritable centre de compétences en sécurité. 

En quoi IRISnet se différentie-t-elle sur le marché ? 

D’abord, le partenariat public-privé entre la Région, Paradigm et Orange permet de développer un savoir-faire et une expertise grâce à la capacité partenariale des acteurs sans remettre en cause la préservation de l’intérêt public. Par ailleurs, IRISnet est à la fois un opérateur de réseau et un prestataire de services, présent au cœur du réseau et pouvant dès lors offrir une sécurité de bout en bout, depuis le poste de travail jusqu’à l’accès à internet. De même, le fait de gérer le réseau permet une segmentation plus fine pour anticiper toute attaque et la bloquer.

Enfin, nous connaissons nos clients et leurs besoins, ce qui nous met dans une position privilégiée. ‘Be prepared, not scared’ est en quelque sorte notre mot d’ordre. Car la sécurité n’est pas tant un problème IT que business, et la technologie n’est qu’un moyen, pas une fin en soi.

 

©2025 Irisnet By LD Webdesign & Co
Conditions générales Vie privée Cookies