Capitaine, vous êtes RSSI-A des systèmes classifiés. Pouvez-vous nous expliquer ce que cela signifie ? Et, nous présenter vos missions ?

RSSI-A veut dire « responsable de la sécurité des systèmes d’information – AVAL ». Le RSSI-A est notamment chargé d'instruire les homologations et/ou renouvellements d’homologation. Pour le système dont il a la charge et dans le domaine de la SSI, il conseille, recommande et propose des règles spécifiques afin de garantir la cohérence des mécanismes et procédures de sécurité. Le RSSI-A ainsi que ses équipes doivent également être en permanence connectés, suivre l’actualité, le contexte géopolitique, les évolutions techniques et technologiques d’attaques afin d’identifier les vulnérabilités, détecter et évaluer les nouveaux types de menaces et permettre ainsi une gestion du risque.

Les dossiers que je traite sont très variés, souvent très complexes et ne laissent pas de place à la routine. Je ne suis d’ailleurs pas seule pour effectuer mes missions au quotidien car la veille sur les menaces, la protection des systèmes et la conduite des opérations sont des postes ouverts aux civils et aux militaires, de toutes catégories, de carrière ou contractuels. J’ai donc une équipe composée d’un adjudant-chef de l’armée de Terre et de deux agents civils : l’un est technicien supérieur d’étude et de fabrication et l’autre un prestataire externe. Ces trois personnes s’occupent des dossiers d’extension et me permettent d’avancer sur la mise en place des systèmes sur les sites demandeurs. L’adjudant-chef, par son ancienneté sur son poste, garde la connaissance des évolutions concernant les systèmes d’informations. Le poste de technicien supérieur d’étude va évoluer pour être un peu plus dans l’expertise des rapports d’audit. Concernant le prestataire, il suivra les dossiers en cours d’écriture. J’ai encore des postes à pourvoir…

Pour ceux qui aimeraient suivre vos pas, pouvez-vous revenir sur votre parcours ?

J’ai passé un BAC scientifique (biologie) et je suis ensuite partie en classe préparatoire pour tenter la première année de médecine. J’ai quitté cette voie pour des raisons personnelles et je me suis engagée en 1992 à l’école des sous-officiers de Nîmes-Courbessac (30) pour suivre la préparation militaire, puis j’ai continué sur la base aérienne de Brétigny (BA217) et plus spécifiquement au CIGAA pour la partie spécialité.

Avant de devenir RSSI-A, ma première spécialité était programmeur informatique. J’ai ensuite changé pour faire de l’administration systèmes et réseaux au sein d’une unité qui s’appelait le Groupement Télécom 18.100 à Orléans, unité à vocation projection qui a été remplacée par l’Escadre Aérienne de Commandement et de conduite Projetable 00.550 (EAC2P).

Toute cette expérience me sert aujourd’hui dans mon métier de RSSI-A car il y a une énorme partie technique à connaître dans la sécurité des SI.

Comment se déroule globalement le processus de réalisation des dossiers d’homologation des systèmes classifiés ?

Il existe deux types de dossiers. Les dossiers d’extension et de cœur de système.

La première étape consiste à valider l’architecture devant être déployée sur un site. Elle est réalisée par l’EMO DIRISI au niveau du Bureau Maîtrise des Configurations

A l’issue de cette validation, un dossier d’homologation est envoyé vers le site pour être rempli et finalisé. Ce dernier, après avis du RSSI-A, est dirigé vers le Centre des Homologations Principales Interarmées où il sera examiné et homologué par le COMCYBER.

Les dossiers d’homologation de cœur de système concernent les architectures présentent dans les Pôles ou Centre National de Mise en Œuvre (CNMO). Ceux sont des dossiers plus conséquents et plus longs à élaborer.

Par ailleurs, nous préparons les commissions d’homologation ou de ré-homologation, qui permettent d’afficher les risques mais aussi les mesures techniques et organisationnelles qui permettront de les atténuer.

Avez-vous beaucoup d’échanges avec l’étranger et de déplacements à effectuer durant l’année ?

Mon métier est à vocation internationale, car je traite aussi des systèmes européens et « otaniens » en plus des systèmes spécifiquement français. En moyenne, cela peut aller de 3 à 4 déplacements à l’étranger par an, mais cela varie en fonction des contextes. Je me déplace souvent à Bruxelles. Mais, je peux me rendre aussi en Angleterre, en Suisse pour des sommets ou des réunions. Ces événements se passent en anglais. La maîtrise de cette langue étrangère est d’ailleurs un critère fondamental pour évoluer dans ce métier.

A noter qu’il m’arrive aussi d’avoir des déplacements nationaux à Matignon et à l’Elysée car c’est un poste avec une importante dimension diplomatique. Nous représentons la DIRISI.

Aujourd’hui, cela fait déjà plusieurs années que vous êtes à la DIRISI. Qu'est-ce qui vous plaît le plus dans votre métier ?

Je me suis engagée dans l’armée car de nombreux membres de ma famille sont militaires. J’ai notamment un grand-père qui a été prisonnier de guerre.

J’ai ensuite entendu parler de la DIRISI en 2009-2010 après mon passage au Groupement Télécom 18.100. Je suis arrivée au CIRISI Orléans et ce jusqu’en 2014.

A l’issue d’une formation menée en 2016 afin de devenir officier, je suis arrivée au bureau des systèmes d’information et de communication nucléaires (B SIC NUC). J’ai donc commencé en tant que RSSI-A sur la dissuasion nucléaire, qui nécessite une accréditation TS (Très Secret). Je ne voulais pas quitter la partie division opérationnelle car le poste est très enrichissant mais aussi très tendu. Pourquoi ? La SSI n’est pas « sexy » … Le poste de RSSI-A freine beaucoup de candidats potentiels car il est considéré comme trop rigide ou fermé. Je peux vous assurer le contraire et les opportunités à l’issue sont multiples.

Quelles qualités faut-il pour ce poste et quels conseils donneriez-vous à une personne qui souhaiterait candidater ?

Mon poste nécessite avant toute chose de la motivation, de l’abnégation mais aussi une vraie discrétion. Il faut aussi rester positif, pragmatique et ne jamais se décourager. C’est une question de personnalité.

Il ne faut pas avoir peur de manquer de sommeil, car il arrive parfois que les journées s’étalent de 7h30 à 19h30 environ.

Il faut avoir « une main de fer dans un gant de velours », c’est-à-dire savoir comprendre les attendus et les enjeux. Il y a aussi l’importance du respect et du rapport à la hiérarchie : on ne peut réussir sans être transparent.

Enfin, en tant que cheffe de cellule, il faut être capable de travailler en équipe, manager ainsi que déléguer, car définir et faire appliquer la stratégie choisie par l’organisation pour optimiser l'utilisation des données en termes de qualité et de cohérence nécessite une bonne synergie entre les différents acteurs pour assurer la sécurité et la protection des données et des systèmes d’information.