« Les prestataires livrent des compétences précieuses dans un domaine en mutation »

En tant que RSSI, Silvère Chieusse s’assure du bon fonctionnement du SI de l’école des officiers, un plan de sécurisation définit la feuille de route cyber pour les années 2022 à 2024.

Quelle est la mission de l’École nationale supérieure des officiers de sapeurs-pompiers ?

L’École nationale supérieure des officiers de sapeurs-pompiers (Ensosp) forme, tout au long de leur carrière, les 28 000 officiers de sapeurs-pompiers civils professionnels et volontaires de France aux fonctions d’encadrement, au commandement opérationnel, à la gestion de crise et aux interventions face aux risques technologiques. L’école s’inscrit au cœur du modèle français de sécurité civile dont elle enseigne les principes. Tous les ans, plus de 6 000 officiers élèves sont formés en France et à l’international par plus de 1 000 intervenants.

Pouvez-vous résumer l’infrastructure de votre organisation ?

Les systèmes d’information de l’Ensosp sont en majorité internalisés. Ils reposent sur une infrastructure virtualisée répartie sur trois salles informatiques. Composée de neuf personnes, la division des systèmes d’information et de communication exploite sur trois sites plus de 100 serveurs, 700 postes de travail, 100 vidéoprojecteurs, 90 switches et 80 applications.

Sur quels sujets travaillez-vous aujourd’hui en termes de cybersécurité ?

Le conseil d’administration de l’Ensosp a validé en 2021 un plan de sécurisation des SIC qui définit la feuille de route cyber pour les années 2022 à 2024. Ce plan est articulé sur deux axes : le renforcement des fonctionnalités et le management de la cybersécurité. Plusieurs projets ont été réalisés, comme le renouvellement des firewalls, la protection des postes de travail, l’évolution de l’architecture de sauvegarde ou la sécurisation des accès réseau.

En parallèle, une sensibilisation régulière aux problématiques de cybersécurité est effectuée, ainsi que divers tests de vulnérabilité ou audits. Cette année, un audit 360° a été lancé, réalisé par un prestataire qui nous a aidés à évaluer notre maturité cyber et nous à proposer de nouvelles orientations techniques et organisationnelles.

L’intervention des prestataires intervient-elle ponctuellement ou très régulièrement ?

Nous avons l’habitude de solliciter des prestataires sur tout type de projet, évolutions technologiques, développement de services numériques, management de la cybersécurité… Leur périmètre peut inclure les différentes étapes du cycle de vie des projets.

Quelles relations entretenez-vous avec vos partenaires ? Comment les qualifieriez-vous, leurs atouts et inconvénients ?

En général, elles sont bonnes, dans un esprit de partenariat gagnant-gagnant. Il est rassurant en outre de pouvoir s’appuyer sur le code de la commande publique, qui impose aux partenaires certaines obligations. Mais il arrive que nous rencontrions des difficultés liées à un contexte technique, à un manque de communication ou à une anticipation insuffisante des risques.

Les prestataires apportent des compétences et une expertise précieuse dans un domaine technologique en mutation permanente. Ils renforcent les équipes internes mobilisées en priorité sur le maintien en condition opérationnelle des systèmes d’information. Les prestataires fiables savent s’adapter à la demande et au contexte, et répondre au besoin. D’autres peuvent souffrir d’une problématique de turnover de leur personnel et être soumis à des obstacles d’ordre financier qui peuvent perturber les projets. Globalement, grâce à un sourcing régulier, au bouche à oreille, ou à l’utilisation de centrales d’achat, nous arrivons à trouver les compétences attendues, dans un cadre financier cohérent.