Comment pouvons-nous vous aider ?

Portrait - Franck-Olivier Vignal

Rencontre : Franck-Olivier Vignal, Responsable Sécurité des Systèmes d’Information

MEDIAPOSTE est engagé dans une profonde transformation de son offre, de son organisation et de sa relation avec ses clients. Franck-Olivier Vignal, Responsable Sécurité des Systèmes d’Information, est l’un des acteurs de cette véritable révolution, portée par le projet MEDIAPOSTE 2023.

Franck-Olivier Vignal incarne la priorité donnée par MEDIAPOSTE à la protection des données, celles propres à l’entreprise et celles confiées par ses clients. Il veille en permanence pour mettre en échec toute tentative malveillante et soutient la vigilance des collaborateurs de l’entreprise.

Attention, rencontre sous haute sécurité !

 

Franck-Olivier Vignal, quel est votre parcours ?

Comme un certain nombre de mes collègues, ma carrière a commencé chez Delta Diffusion, en ce qui me concerne en 1998. J’ai toujours fait partie de la Direction des Systèmes d’Information, avec évidemment un changement d’échelle au moment de l’intégration chez MEDIAPOSTE en 2004. 

 

J’ai commencé par des missions de développement informatique, avant de passer assez vite du côté de la gestion des infrastructures. Dans cette filière, j’ai fini par occuper le poste de Responsable Systèmes et Réseaux.

En première ligne, je me suis progressivement spécialisé dans les questions de sécurité. Quand le poste de Responsable Sécurité des Systèmes d’Information a été créé, en 2016, c’est assez naturellement qu’il m’a été confié.

Quelle est votre mission au sein de MEDIAPOSTE ?

Chez MEDIAPOSTE, la vigilance en matière de sécurité de l’information remonte à beaucoup plus loin que 2016 ! L’appartenance au Groupe La Poste n’est pas étrangère à un sentiment puissant de responsabilité à l’égard de personnes dont nous gérons des données confidentielles. Cela fait partie de notre histoire collective, en écho à la discrétion du facteur qui reçoit et transmet les secrets des Français depuis que La Poste existe.

 

Disons que ma nomination correspond à un moment charnière où la responsabilité avait besoin d’être portée par une personne très identifiée sur les questions de sécurité. Ma mission est d’évangéliser en interne en intégrant évidemment les enjeux propres à la transformation numérique. En toute hypothèse, chacun de mes collègues est le dernier rempart contre les attaques entre la chaise et le clavier !

 

Ce qui ne m’empêche pas évidemment de me concentrer aussi sur des aspects techniques. Disons que je vérifie constamment la solidité de la chaîne mais que le maillon le plus important reste le facteur humain. Autant pour créer un risque par un comportement inapproprié que pour déceler une anomalie et empêcher qu’une fissure ne devienne une faille. 

 

Si notre vigilance collective s’exerce à 360 degrés, il va de soi que nous nous concentrons là où nos clients – et bien sûr la réglementation – nous attendent le plus. Il entre dans ma responsabilité d’allouer les moyens et d’orienter les priorités. Et de traduire les exigences légitimes en niveaux de sécurité.

 

Les menaces que nous redoutons le plus sont :

  • Les rançongiciels avec extorsion.
  • La fraude au Président.
  • Le risque est de se faire voler nos bases de données, avec la double sanction d’une perte de patrimoine et d’une perte de réputation. Sans parler d’éventuelles sanctions en lien avec le RGPD. Notre organisation en réseau, qui maille le territoire, est à la source de la qualité de notre patrimoine de données mais ajoute aussi de nombreux challenges à notre mission de protection.

 

En outre, la multiplication des applications en SaaS vient changer la nature de la menace. Auparavant, nous avions une forme de contrôle total sur le système d’information. Par exemple, les habilitations pouvaient être centralisées. Aujourd’hui, nous sommes dans l’ère de l’informatique à distance, qui nous donne de l’agilité et de la mobilité. Mais qui déporte aussi davantage de responsabilité sur les épaules de chaque utilisateur. Avec des évolutions technologiques très rapides et autant de brèches possibles. C’est pour cela que mon rôle est aussi d’animer la culture de vigilance.

 

Ainsi, chaque projet digital de MEDIAPOSTE comporte forcément un volet sécurité. Dès le départ. C’est ce qu’on appelle ‘’Security and Privacy by Design’’. La prise en compte des risques oriente la façon dont nous construisons nos projets et dont certains arbitrages sont rendus. Clairement, la cybersécurité est une priorité au sein du Groupe La Poste. Il mobilise chacune de ses filiales autour de cet impératif afin d’élever leur maturité.  

 

MEDIAPOSTE est depuis longtemps certifié ISO 27001 sur le périmètre de l’activité data. C’est-à-dire pour le traitement, l’enrichissement et l’analyse des données pour la production de fichiers d’adresses et de téléphones destinés à la diffusion des campagnes de communication de nos clients. Dans la mesure du possible, nous appliquons les protocoles de la certification à l’ensemble des activités de MEDIAPOSTE. 

Avec qui travaillez-vous ?

Avec mon collaborateur, nous avons une position très transversale. C’est-à-dire que nous sommes en interactions permanentes avec de nombreux interlocuteurs.

D’abord, au sein de la DGASI, où j’anime en particulier un comité de sécurité opérationnel. Une ou deux fois par an, je mets en lumière la problématique sécurité au sein du COMEX. Il s’agit d’actualiser la perception de nos dirigeants en matière de menaces, de mettre les principaux risques en relief et de valider la feuille de route ‘’sécurité’’ pour la période suivante. Enfin, nous sommes aussi beaucoup impliqués dans des réunions à l’échelle du Groupe La Poste. Et en particulier de la branche Services-Courrier-Colis.

 

En parallèle, il y a tout le travail de contrôle interne et d’audit pour vérifier la bonne application des mesures de sécurité. Et les modifier si nécessaire.

 

Nous collaborons étroitement avec le service communication pour sensibiliser les utilisateurs. Nous prenons la parole chaque mois autour de ce que j’appelle les 5 règles d’or de la sécurité de l’information :

  • Le respect de la loi, et notamment le bannissement de toute application pirate.
  • La protection des accès aux données, fondée sur la robustesse des mots de passe, le changement régulier et le secret à l’égard des tiers.
  • La protection des accès aux équipements, grâce au verrouillage de session et aux mises à jour régulières des systèmes d’exploitation et applications.
  • L’utilisation prudente d’Internet et des réseaux sociaux.
  • Une vigilance particulière à l’égard de la messagerie électronique, à travers laquelle transitent 90 % des attaques réussies.

 

À quoi ressemble une semaine aux côtés de Franck-Olivier Vignal ?

Je suis basé à Lyon. Je me déplace fréquemment à Paris pour participer physiquement aux réunions qui requièrent ma présence. À part les déplacements, mon emploi du temps est très dépendant des événements. Le sens de ma mission est d’être toujours disponible pour réagir très vite à la moindre alerte.

 

Hors urgence, je commence rituellement mes journées par vérifier que tous les voyants de sécurité sont au vert. Et par engager une action de remédiation si ce n’est pas le cas. Ensuite, je fais un point sur les projets en cours. Le reste de la journée me mobilise sur les sujets auxquels je contribue, comme les prises de parole en communication, la mise en œuvre des outils de sécurité et l’exploitation des retours d’expérience post incidents.

 

Qu’est-ce qui vous plaît le plus dans votre métier ?

J’apprécie de devoir mobiliser des compétences très variées :

  • Une culture du risque, que j’actualise en permanence pour maintenir autant que faire se peut un coup d’avance.
  • La pédagogie auprès des utilisateurs, sur lesquels repose in fine notre sécurité collective.
  • L’intuition et la réactivité, qui me permettent le cas échéant de détecter les signaux faibles et de circonscrire les impacts de la moindre anomalie.