L’Université de Rennes, située au cœur de la Région Bretagne et en lien avec Rennes Métropole et son écosystème, est un établissement public qui regroupe plus de 37 000 étudiants et 4 500 personnels, 34 laboratoires de recherche et six grandes écoles. Comment gérer la sécurité d’un parc informatique aussi important ? Quelles compétences clés pour remplir cette mission ? Jules Quenet, RSSI de l’établissement, nous parle des challenges qu’il rencontre dans son organisation et partage ses réflexions sur les prochains défis à relever pour les universités françaises.
A quelles menaces sont confrontées les universités françaises ?
Jules Quenet : Nos universités sont confrontées à tous types de menaces, que ce soit le rançongiciel, le vol de données, le phishing… Les attaquants cherchent souvent à pirater les comptes universitaires pour récupérer des informations qui proviennent des laboratoires de recherche, ou des données RH sur les étudiants ou le personnel.
L’enseignement supérieur et la recherche sont des secteurs particulièrement visés, on observe une recrudescence de la menace depuis 2022-2023.
Pourquoi le secteur est-il une cible privilégiée selon vous ?
J.Q : Les laboratoires de recherche peuvent détenir des informations sensibles et donc être les cibles d’espionnage de la part d’autres Etats. Et pour ce qui est des rançongiciels, je pense que la raison est la même que pour les hôpitaux ou d’autres établissements publics : les attaquants y voient une vulnérabilité, donc ils s’y engouffrent. C’est une démarche totalement opportuniste.
Une politique de cybersécurité stricte est-elle compatible avec les besoins spécifiques aux étudiants et aux enseignants chercheurs ?
J.Q : Le propre des universités est d’être tournées vers les échanges et l’ouverture des données. Les chercheurs sont très libres dans leur façon de travailler. Et cette vision des choses entre parfois en contradiction avec les besoins en cybersécurité.
Nous devons donc expliquer à certains chercheurs pourquoi les outils informatiques que nous leur mettons à disposition ne sont pas aussi ouverts que ce qu'ils voudraient. Ils sont dans un environnement professionnel qui implique des contraintes sécuritaires. Ils ne sont pas les seuls à utiliser le SI, et l’enjeu est de leur faire comprendre que ces efforts sont nécessaires pour protéger leurs données personnelles et professionnelles mais aussi celles de leurs collègues. En effet, dans nos réseaux interconnectés, la prise de risque de l’un impacte la sécurité des autres.
Avez-vous mis en place des outils spécifiques pour sécuriser votre SI ?
J.Q : Nous avons participé au plan cybersécurité de France Relance. A l’issue de ce plan, l’ANSSI nous a recommandé de mettre en place un EDR. Cela correspondait bien à notre feuille de route cyber pour améliorer la sécurité des postes de travail et des serveurs. En effet, si l’attaquant commence à pénétrer les serveurs, la tâche se complique… Donc plus tôt on détecte, mieux c’est, et mieux on est outillé, plus c’est facile.
Avez-vous rencontré des difficultés pour défendre votre projet d’EDR ? Comment avez-vous convaincu malgré le budget conséquent ?
J.Q : La gouvernance de l’université comprend très bien les enjeux de sécurité, et le fait que l’EDR soit une préconisation du plan de sécurisation piloté par l'ANSSI a été un argument de poids. Il faut ensuite faire preuve d’un minimum de pédagogie, adapter un peu son discours évidemment, mais nous n’avons eu aucun mal à faire accepter le projet.
Vous parlez de pédagogie et de savoir adapter son discours, c’est une des compétences essentielles d’un bon RSSI aujourd’hui ?
J.Q : Oui complètement, aujourd’hui pour être RSSI il faut être un bon communicant et savoir s’adapter aux enjeux des différents métiers. La nouvelle génération de RSSI est beaucoup moins portée sur la technique, et plus sur les aspects d’organisation et de gestion.
En tant que RSSI, je dois être capable de comprendre ce que me disent les équipes techniques pour trancher ou émettre un avis. Je dois aussi savoir communiquer auprès de la gouvernance pour simplifier et vulgariser les décisions que nous prenons. Je dois également savoir expliquer aux utilisateurs les mesures de sécurité mises en place.
Il faut donc bien cerner les différents enjeux des uns et des autres pour pouvoir faire appliquer des mesures de sécurité tout en intégrant les contraintes des métiers.
Pouvez-vous revenir rapidement sur votre parcours ? Comment en êtes-vous venu à exercer le métier de RSSI dans l’enseignement supérieur et la recherche ?
J.Q : Avant l’université, j’ai travaillé au ministère de l'Intérieur en tant que chargé de projet cybersécurité. J'étais dans un service qui s'occupait d'accompagner les préfectures, les écoles de police et les commissariats sur la sécurité des SI. Je travaillais sur des enjeux de sensibilisation, j'ai notamment mis en place un audit de premier niveau pour la DSI du ministère de l'Intérieur. Je faisais aussi beaucoup de veille, notamment sur les aspects juridiques et réglementaires. Il n’y avait pas encore de DPO dans ces services alors que le RGPD se mettait en place.
Je suis ensuite entré à l’Université de Rennes en tant que PMO et assistant à maîtrise d’ouvrage. Au bout de 2 ans, le RSSI qui était en poste avant moi est parti à la retraite et on m'a proposé de candidater à sa succession. C’était un gros challenge pour moi car le périmètre à gérer était très important, mais j’ai saisi l’opportunité et j’ai été retenu.
Quels conseils donneriez-vous à des RSSI qui débutent dans leur poste ?
J.Q : Je dirais qu’il faut toujours commencer par un état des lieux du niveau de sécurité de l’organisation, et de ne pas hésiter à se faire accompagner, par exemple par un prestataire extérieur. Se poser les questions suivantes : qu’est-ce qui est déjà en place en matière de sécurité ? Quelles sont les grosses lacunes ? Par quoi peut-on commencer pour y remédier ?
Pour une grosse structure telle qu’une université, un audit global permet d’obtenir une cartographie du SI et d’identifier les vulnérabilités majeures. Bien connaître l’existant permettra ensuite de lancer sa feuille de route en étant sûr de taper dans le mille.
Je conseillerais aussi de prendre son temps avec les outils cyber. Car au début on veut mettre beaucoup de choses en place, mais derrière il faut pouvoir bien exploiter ces outils et avoir les équipes compétentes pour les utiliser.
Enfin, quel est selon vous le plus gros défi cyber de 2024 pour les universités ?
J.Q : Je pense que ce qui est primordial, c’est une vraie collaboration cyber entre établissements. Nous le faisons déjà à l’Université de Rennes car nous faisons partie d’un regroupement d’établissements. Nous communiquons beaucoup entre nous et c’est une très bonne chose.
Au niveau national, cela existe déjà un peu avec les journées des RSSI de l’enseignement supérieur, mais je pense qu’on pourrait aller plus loin. Il faut que l’on échange plus entre collègues et que l’on chercher à s'améliorer, ensemble.
Retrouvez plus de conseils en stratégie cyber avec le témoignage d'Antonin Garcia, RSSI chez Veepee.