Maricela Pelegrin-Bomel (EFS) : “Chaque nouveau projet intégré à notre système d’information est soumis à une analyse de risque”

Comment s’organise le pôle cyber ? Quel est votre périmètre d’activité ?

Mon périmètre d’activité est extrêmement vaste et national. Mon poste est transverse à la totalité des régions. Je suis, en qualité de responsable nationale de sécurité des systèmes d’information (RNSSI), sous l’autorité du Délégué défense et sécurité, rattaché hiérarchiquement au Président de l’Établissement français du sang (EFS).

J’ai pour mission la maîtrise d’ouvrage et la coordination globale de la cybersécurité au sein de l’EFS. Quand on parle de cybersécurité, cela concerne toutes les politiques qui viennent de nos deux autorités de tutelle, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), dépendant du secrétariat général de la Défense et de la Sécurité nationale (SGDSN) et le Fonctionnaire de sécurité des systèmes d’information (FSI) rattaché au HFDS du Ministère de la Santé.  Mes missions sont très étroitement encadrées par des textes ministériels contraignants (entre autres : la politique de sécurité des systèmes d’information de l’Etat (PSSI) de l’Etat et des politiques qui en découlent du ministère de la Santé, la PGSSI-S, Loi de programmation militaire – LPM). Parmi les obligations les plus fortes, pèse la mission d’homologation préalable des nouveaux systèmes d’informations ayant vocation à s’appliquer au sein de notre opérateur.

Au regard de l’Instruction Générale Interministérielle n°1300 sur la protection du secret de la défense nationale, j’occupe également le rôle d’Officier de sécurité des systèmes d’information (OSSI) au sein de l’EFS. Mon quotidien est structuré autour de 3 grand piliers : la prévention, la protection et le contrôle. Une de mes fonctions à ne surtout pas négliger est également de conseiller l’Autorité Qualifiée sur la sécurité des systèmes d’information (AQSSI) [le Président, ndlr].

J’analyse également tous les risques de cybersécurité au sein de l’établissement et gère les incidents majeurs pour assurer la continuité d’activité, qu’elle soit technique, physique ou organisationnelle.

En résumé, j’ai une responsabilité sur la gestion de la cybersécurité, la gestion des risques, la gestion des crises de cybersécurité, des incidents, les audits, la sensibilisation des collaborateurs et de nos prestataires, l’information et le contrôle. Et ce, dans un contexte régional, dans lequel je dois m’assurer que l’ensemble des collaborateurs et les différentes directions respectent les politiques et directives mises en place en matière de cybersécurité.

Comment a évolué le département cyber depuis votre arrivée à l’EFS il y a quatre ans ? 

Nous travaillons beaucoup en liaison transverse en particulier avec la DSI et le service de cyber sécurité (SCS) qui est notre bras armé. Ce dernier effectue l’exploitation des outils de cybersécurité et gère les systèmes.  La Direction des affaires juridiques et en particulier la DPO, est un acteur incontournable pour finaliser nos analyses. Quant à la Direction de la communication, elle joue un rôle majeur dans la diffusion de la cyberprévention interne. Par ailleurs, un adjoint vient me rejoindre pour m’épauler dans ces nombreuses missions.

Comment intervenez-vous auprès des branches métiers ?

Je fais participer activement tous les métiers de l’EFS et m’appuie sur eux. Ils sont en effet responsables de leurs activités. Comment ? En imposant d’abord une règle : tous les projets doivent préalablement être soumis à la sécurité des systèmes d’information. Si un nouveau projet a pour vocation de s’intégrer à notre système d’information, il doit d’abord être soumis à une analyse de risque. Cela comprend aussi bien les logiciels achetés, les nouvelles prestations de service et le cloud. Avec de la persévérance et de la conviction, j’ai réussi à bien faire accepter cette règle, même si cela demande beaucoup de travail.

J’organise ensuite des réunions mensuelles avec les deux directions métier appartenant à la Direction générale de la chaîne transfusionnelle – dont dépend par exemple la direction de la recherche et de la valorisation – et la Direction générale ressources et performance, ainsi que des réunions bimestrielles avec la DSI et la direction juridique. Au total, je suis en lien avec sept organisations, ce qui me permet de m’impliquer dans la totalité des projets. Cette organisation est certes chronophage, mais c’est une mission de service public qui me plaît et dans laquelle je suis très engagée. Cet engagement est très important pour un RSSI. Car l’engagement permet de convaincre et sensibiliser autour de soi. Mes efforts sont reconnus et cela n’a pas de prix dans notre milieu.

La cybersécurité est une activité extrêmement sensible qui demande, par ailleurs, une grande vigilance en matière de sécurité. Je possède une expérience acquise dans des milieux divers : conseil, fonction de RSSI dans les télécommunications mais également au sein de l’ANSSI, où j’ai travaillé auparavant pendant quatre ans en tant qu’experte SSI au sein de la sous-direction Stratégie dans le Département du Management des risques cyber. Mon changement à l’EFS m’a permis d’être dans la continuité du service rendu à la Nation. 

Est-ce qu’il vous arrive d’entrer en désaccord avec les directions sur certains outils ou logiciels ?

J’organise des réunions avec les différentes entités. S’il y a des différends, avec l’accord de mon responsable, nous  convoquons  un comité de pilotage de sécurité des systèmes d’information réunissant la quasi-totalité des membres du Comex. Parfois, nous demandons au Président de l’EFS de se positionner. C’est lui qui est responsable in fine, en qualité d’AQSSI. Il faut qu’il puisse mesurer le risque et les accepter ou non. J’ai également le pouvoir de m’opposer à des situations qui peuvent mettre en danger nos systèmes.

Pour vous donner un exemple concret : la direction de la valorisation et de l’innovation est soumise à la même règle citée précédemment et doit faire analyser ses projets au niveau SSI. En 2021, avec les problématiques d’absence du personnel liées à l’épidémie de COVID-19, il a été proposé d’utiliser un outil permettant de pouvoir contacter facilement nos collaborateurs lorsque leurs collègues étaient absents. L’outil, utilisant les informations personnelles des collaborateurs et étant dans un Cloud non souverain, n’a pas été retenu. La direction de l’innovation n’a ainsi pas obtenu l’autorisation de sélectionner ce prestataire, qui ne respectait pas la directive de juillet 2021 relative au Cloud.

Un autre exemple concerne la mise en place d’un logiciel par la direction des ressources humaines et pour laquelle j’avais été associée tardivement. Avant toute utilisation, il était nécessaire de mener une analyse de risques afin de détecter d’éventuelles tentatives d’intrusion. J’ai finalement dû prendre la décision d’arrêter la mise en place de ce logiciel après la détection de risques majeurs. Quelques semaines après, la société s’était faite hacker et toutes leurs données étaient perdues. Cet événement est resté dans la mémoire collective.

L’innovation est donc freinée par ce processus d’analyse ? 

Cela requiert en effet de l’anticipation. Notre processus d’analyse est efficace : tous les experts sont amenés à se positionner sur les sujets présentés. Il est donc possible de réaliser des analyses très en amont. Mais le fait que je sois seule ralentit de fait le processus ; je choisis les projets prioritaires et bloque mon agenda en fonction des délais. S’il n’y a pas de budget pour le projet et qu’il n’a pas été autorisé, je ne travaille pas dessus. 

Comment décririez-vous le panorama des menaces cyber actuelles ? Comment cela conditionne votre travail au quotidien ?

La menace est réelle. Elle a augmenté de 20 à 30%, tant sur le hameçonnage que le chiffrement. Nous devons être extrêmement vigilants car nous travaillons au quotidien avec des données de santé.  

Lors des Jeux Olympiques, dont on craignait d’éventuels incidents, des attaques ont bien eu lieu, même si elles n’ont pas abouti. La menace était réelle, mais les entreprises étaient préparées. Nous savions par exemple que le groupe de hackers pro-russes Anonymous Sudan avait intégré l’EFS pour cible. À l’EFS, nous étions préparés et avons fait le nécessaire pour minimiser les risques sur cette période. Il s’agissait en effet de garantir à chaque patient en attente de transfusion de bénéficier du produit sanguin dont il avait besoin. Nous avons donc mis en place des mesures pour garantir notre sécurité mais surtout la sécurité transfusionnelle. 

La sensibilisation des collaborateurs est aussi clé dans ce processus car les salariés ont un rôle important dans la prévention. Je n’organise pas de campagne de sensibilisation quotidienne, mais pour donner un exemple, nous avons réalisé avec la direction de la communication un webinaire national sur la cybersécurité, lors duquel est intervenu un hacker éthique. 500 personnes, sur 10 000 collaborateurs de l’organisation, s’y sont connectées. C’est un chiffre positif.

Lorsque l’on accueille de nouveaux collaborateurs, je mets également à leur disposition des informations sur la protection des données, le chiffrement, l’état des menaces et les types de menaces auxquelles ils peuvent faire face par rapport à leur poste. 

Quid de l’IA ? Est-ce une nouvelle menace ?

L’IA est une opportunité extraordinaire pour l’EFS, mais qui peut représenter une nouvelle menace, sur laquelle je porte un grand intérêt. Cela fait partie de ma stratégie de cadrer la manière dont l’IA sera utilisée au sein de notre établissement. Nous devons rapidement définir un modus operandi non risqué pour l’établissement. Je pense notamment à l’encadrement des pratiques informatiques dans le volet de la recherche, dont l’IA a vocation à prendre de l’importance à très court terme.

Je demande systématiquement aux prestataires qui utilisent de l’IA où elle est située et qui en est responsable. Les prestataires doivent être en mesure de répondre à ces questions pour qu’ils puissent être autorisés à l’utiliser. J’analyse également les risques de cette utilisation.

Les chercheurs sont des personnalités à risque. Quelles actions avez-vous mises en place pour lutter contre les menaces dont ils sont victimes ? 

En 2022, près de 200 mails présumés malveillants étaient réceptionnés par nos collaborateurs. Ces derniers devaient alors les transmettre au service de cybersécurité pour qu’ils soient analysés. Nous avons mis en place un outil pour arrêter ces envois. Nous sommes aujourd’hui à 10 mails présumés malveillants par semaine, soit deux par jour. L’outil a réduit de manière significative ce risque. Nous nous sommes ainsi aperçus que la direction de la recherche était la plus visée. L’ANSSI a d’ailleurs récemment publié un rapport sur l’état de la menace au sein des organismes de recherche et think tank, qui vient confirmer ma vigilance. 

Le Premier ministre nous demande de numériser tous nos systèmes d’information. Qui dit numérisation, dit cloud, et donc il y a des risques. Pour donner un exemple, j’ai indiqué à la direction de la recherche et de la valorisation de ne pas utiliser un cahier numérique dans le cloud tant que nous n’avions pas la certitude de sa bonne sécurisation. Lorsqu’un chercheur utilise un cahier papier, il le range dans un coffre-fort à la fin de la journée. Il en va de même pour un cahier électronique dans le cloud : il doit être protégé et homologué.

Quelles sont les règles appliquées pour vos prestataires et partenaires ? 

C’est par les fournisseurs que les attaques se produisent. Par conséquent, la supply chain doit être protégée. Afin de bien sécuriser nos prestataires, j’ai pris la décision d’imposer des exigences de sécurité des SI pour tout achat national ou pour tout achat d’une solution qui se trouve dans le cloud. Il y a 140 questions qui concernent la sécurité organisationnelle, la sécurité physique de locaux, la sécurité informatique, le cloud/Saas, le plan de continuité d’activité et le plan d’assurance sécurité. Les prestataires doivent fournir des documents pour prouver leur conformité aux exigences listées. J’analyse ensuite la matrice, chacun des prestataires est analysé et noté, pour aider l’acheteur final (les métiers) à choisir la solution. La cybersécurité pèse entre 5 et 10% de la décision finale. L’objectif est que les prestataires montent en sécurité. Je mets en place le plan de sécurité avec eux, et demande un tableau de bord pour contrôler les incidents. Jusqu’à présent, tout se passe très bien.

Quelle est votre politique vis-à-vis de la télémaintenance ? 

La règle est claire pour les fournisseurs : la télémaintenance se fait par un serveur de rebond, jamais en direct sur nos systèmes. Nous connectons les prestataires pour la télémaintenance via un outil qui nous permet de suivre la totalité des opérations. Toutes les actions réalisées sont enregistrées et nous ouvrons nos flux uniquement pendant le temps où la maintenance est réalisée. 

Nous n’avons pas été attaqués pour l’instant, mais il faut rester vigilants. La sécurité à 100%, cela n’existe pas.

Comment anticipez-vous NIS 2 ?

Il y a plusieurs réglementations qui arrivent. En complément de NIS 2, il faut aussi compter sur la directive sur la résilience des entités critiques [elle devra être transposée dans les États membres au plus tard le 17 octobre 2024, ndlr]. Il n’y a pas que la sécurité, il y a la continuité également.

Notre budget 2025 intègre déjà une partie des mesures devant répondre aux exigences de NIS 2. Nous sommes toujours soucieux de la sécurisation de nos systèmes au sein de l’EFS.