Sofia Alves-Silverio, RSSI @Croix-Rouge française, au sein du pôle Maîtrise du risque et Contrôle Interne, revient sur son parcours, ce qui la passionne dans son métier, les premiers pas de la Croix-Rouge dans le cloud et ce que cela implique en termes de cybersécurité

 

> Pour commencer, pourriez-vous vous présenter en quelques mots et nous parler de votre rôle au sein de la Croix-Rouge française ?

Je suis Sofia Alves-Silverio, j’ai intégré la Croix-Rouge française en fin d’année 2019, en tant que RSSI au sein du pôle Maîtrise du risque et Contrôle Interne, après quelques années secteur industriel puis sanitaire.

La Croix-Rouge française représente un réseau de 600 établissements dans les secteurs sanitaire, médico-social, social, et de l’enseignement. Elle emploie plus de 18 000 salariés et 70 métiers la composent dans des instituts médico-éducatifs, crèches, maisons de retraite, centres de réadaptation fonctionnelle, instituts de formation, centres d’hébergement d’urgence, missions Internationales…

Après avoir élaboré la politique de sécurité du SI, je travaille à sa mise en place au niveau national.

Je suis également chargée de la sécurisation des projets et de nos données.

Je travaille également à la sensibilisation des directions, des services centraux et surtout de l’ensemble des utilisateurs (salariés, bénévoles...) aux risques qui pèsent sur notre SI, en lien avec les nouvelles pratiques du numérique.

 

> Qu’est-ce qui vous a attiré dans la cybersécurité ? Qu’est-ce qui vous passionne dans votre métier?

Mon parcours est assez atypique. Après une formation supérieure en Economie Management puis en Qualité Sécurité Environnement, une très belle entreprise de l’industrie automobile française m’a donné ma chance en tant que consultante correspondante sécurité informatique dans ses usines françaises. Ces premières années très enrichissantes m’ont fait connaître et aimer ce domaine.

Ce qui me passionne encore aujourd’hui, c’est la multiplicité des activités et facettes de notre métier. Dans la même journée, je peux passer d’un e-learning avec la direction de l’innovation, à un rdv avec un sous-traitant dans le cadre d’un nouveau projet, à la coordination d’un groupe de travail pour la réalisation de la nouvelle charte SI, à la mise en place de règles pour la protection des données dans le Cloud, ou encore à la réponse à une alerte. Je ne m’ennuie jamais et je dois toujours être à l’écoute de l’actualité, des nouvelles réglementations ou normes et m’autoformer.

 

> La Croix-Rouge française est un acteur social et humanitaire majeur. De ce fait, êtes-vous moins ciblée que les entreprises par les cyberattaques ou la menace est-elle tout aussi présente ?

Comme toute institution, nous ne sommes pas épargnés. Le cas de l'attaque informatique de l'hôpital de Düsseldorf, entraînant le décès d’une patiente, est caractéristique du risque potentiel dans le secteur de la santé (nous possédons nous-mêmes des hôpitaux, des établissements médicaux sociaux, et des EHPADs).

Les cybercriminels attaquent aussi bien les associations et les hôpitaux que les grandes entreprises. A ce titre, le Comité International de la Croix-Rouge (CICR) fait partie des signataires de l’appel de mai dernier afin de demander la fin des cyberattaques contre le secteur de la santé.

 

> Revenons quelques mois en arrière, lors du premier confinement. Comment s’est passé la transition pour les fonctions qui ont pu basculer en télétravail, aviez-vous un plan de continuité d’activité ou avez-vous dû vous transformer dans la précipitation ?

Les salariés dont les fonctions pouvaient basculer en télétravail étaient déjà avant le confinement possesseurs de PC portables. La DSI avait mis en place un VPN pour permettre l’accès à distance. Les recommandations pour un télétravail sécurisé ont également été données dès l’annonce du confinement. Le travail a pu continuer et les directions du siège ont pu rapidement se mettre en mode crise pour garantir la continuité des missions de la Croix-Rouge dans le cadre de la crise COVID-19 et la remontée d’informations terrain en France et à l’international.

 

> Quelles ont été les conséquences en termes de cybersécurité ?

La préoccupation principale avec le télétravail reste l’intrusion informatique, d'où l'équilibre à trouver entre assurer les moyens de travailler et prévenir l’ouverture des brèches sur notre SI.

De même, beaucoup d’espaces de partage numérique ont été créés pour permettre le travail en collaboration et répondre à l’urgence. Depuis, ces espaces ont été remis en conformité vis à vis de notre PSSI et la réglementation RGPD. La mise en place d’un espace de partage Cloud nous permet aujourd’hui d’éviter le partage vers l'extérieur via des outils non maîtrisés et la mise en place de règles de sécurité.

Côté utilisateurs, nous avons mis l’accent sur la sensibilisation à la sécurisation des emails et sur la diffusion de bonnes pratiques liées au télétravail.

 

> Quelle était la place du cloud à la Croix Rouge avant la pandémie ? Le confinement a-t-il accéléré son adoption ?

Avant la pandémie, nous n’avions pas de service Cloud mais le projet était déjà initié. La situation exceptionnelle a ralenti le projet durant le 1er semestre. Nous sommes actuellement en migration.

 

> Le passage au cloud a-t-il entraîné de nouveaux challenges en termes de sécurité ?

Ce projet a permis d'élaborer une stratégie de gouvernance et de sécurisation de l’information, de définir une classification de notre information par rapport à sa valeur et à l’impact pour l’association et pour les personnes que nous accompagnons (bénéficiaires), d’une fuite, modification ou indisponibilité de celle-ci. Ce travail a permis de définir les informations les plus sensibles et de mettre en place des actions de protection, comme le chiffrement.

Comme je venais d’intégrer la Croix-Rouge française, ce projet a permis, avec l’élaboration de la PSSI de mettre en place des règles de sécurité “by design” et de repartir sur de bonnes bases en matière de sécurité, avec l’utilisation de la messagerie sur mobile, de la visio ou du partage ou transfert de documents.

Le contrat a également été revu avec les DPO incluant nos exigences.

 

> Quels conseils donneriez-vous à vos pairs pour repenser sa stratégie cybersécurité à l’heure du cloud ?

Je n’ai pas suffisamment de recul sur l’efficacité des mesures mises en place pour donner des conseils, mais je dirais qu’il faut s’efforcer à travailler de concert. A la Croix-Rouge française, cela s’est matérialisé par un travail en commun avec la DSI, notre Records manager, les DPO et les responsables du “Change” (chez nous la direction de l’innovation). Pour pouvoir mettre en place des outils et règles conformes aux réglementations et politiques internes, tout en prenant en compte le besoin, l’inclusion au numérique de l’utilisateur final et ce qui est techniquement faisable et viable dans notre organisation.

Il faut également veiller au contrôle des solutions de Cloud et des contrats pour qu’ils soient conformes avec notre PSSI et les réglementations qui nous incombent.