Faire face aux menaces : organiser la sécurité de l’information dans le secteur public – Le retour d’expérience de Cheops avec l’Office Français de la Biodiversité

Face à l’intensification des cybermenaces et au durcissement du cadre réglementaire, la cybersécurité s’impose comme un enjeu stratégique majeur pour les organisations publiques. C’est dans ce contexte que s’est tenu l’événement Future of IT – room Cyber, consacré aux grandes mutations de la sécurité numérique et aux réponses opérationnelles à apporter.

À cette occasion, Julien Merali recevait Vincent Gagoyan, Practice Leader Cybersécurité, et Zakaria Teguia, Consultant Senior Gouvernance, Risques et Conformité chez Cheops Technology, pour revenir sur l’accompagnement mené auprès de l’Office français de la biodiversité (OFB).

L’établissement public, confronté à la nécessité de structurer sa cybersécurité et d’anticiper les exigences de la directive NIS 2, a engagé une démarche globale visant à renforcer la gouvernance de la sécurité de l’information, la gestion des risques et résilience et Conformité (GRC).

Au-delà des enjeux techniques, les échanges ont mis en lumière une approche fondée sur la structuration organisationnelle, la mise en place d’un système de management de la sécurité de l’information (SMSI), l’élaboration d’un corpus documentaire de sécurité, ainsi que le déploiement de dispositifs de surveillance continue via un SOC.

Une trajectoire progressive et pragmatique, combinant gouvernance, conformité réglementaire et capacités opérationnelles, pour permettre à l’OFB de renforcer durablement sa posture de cybersécurité et sa capacité à faire face aux menaces actuelles et futures.

ENTRETIEN

Julien Merali
L’OFB s’est appuyé sur Cheops Technology, un acteur français de référence en matière de cybersécurité, pouvez-vous nous présenter l’entreprise ?

Vincent Gagoyan
Cheops Technology est une ESN, une entreprise de services du numérique basée près de Bordeaux, qui existe depuis un peu plus de 20 ans.
Nous sommes notamment connus en tant que cloud provider souverain.

Nous réalisons environ 200 millions d’euros de chiffre d’affaires annuel, avec une croissance à deux chiffres chaque année. Nous comptons un peu plus de 750 collaborateurs et plusieurs divisions, dont notamment la division cyberdéfense, qui a été créée il y a trois ans.

Cette division comprend différents pôles, comme la partie Pentest, la partie intégration, la partie SOC et CSIRT pour tout ce qui est détection et réponse à incident.
Et évidemment, puisque c’est le sujet du jour, un pôle que l’on appelle GRC, pour Gouvernance, Risques et Conformité.

Nous intervenons sur des sujets d’analyse de risques, de mise en conformité, de gouvernance de la cybersécurité et ce type de problématiques.

Julien Merali
Zakaria, est-ce que vous pouvez peut-être nous présenter votre métier, votre rôle au sein de Cheops Technology, et le contexte dans lequel l’OFB a fait appel à vous ?

Zakaria Teguia
Nous opérons au sein du pôle Audit, Conseil et Expertise pour assurer la gouvernance de la sécurité, la gestion des risques au profit de nos clients, ainsi que la mise en conformité.

Nous les accompagnons sur les aspects liés à l’organisation de la sécurité de l’information et à l’implémentation de leur système de management de la sécurité de l’information.

Nous veillons à ce qu’ils soient conformes à leurs exigences légales, réglementaires et statutaires.
Nous accompagnons également la montée en compétences des ressources internes chez nos clients, qu’ils soient issus du secteur public ou du secteur privé.

Nous intervenons à l’OFB depuis octobre 2024, avec pour objectif d’implémenter le SMSI, de construire le cadre des exigences de sécurité à travers leur politique de sécurité numérique, que nous avons mise en place et qui est actuellement en cours de validation auprès de la Direction générale de l’Office français de la biodiversité.

Nous avons donc engagé ce grand chantier sur deux aspects :
un aspect organisationnel et stratégique, que je porte moi-même, et un aspect de sécurité opérationnelle, abordés en parallèle et de manière complémentaire.

Une seconde ressource intervient également pour assurer la sécurité opérationnelle auprès de l’Office français de la biodiversité.
À noter également que Cheops Technology assure les services de surveillance continue à travers son SOC au profit de l’OFB.

Julien Merali
Cheops Technology travaille aussi avec le secteur public. Qu’est-ce qui pousse les acteurs du secteur public à se tourner davantage vers Cheops Technology ?

Vincent Gagoyan
Le secteur public représente environ 25 % de notre marché. Les acteurs publics ont plusieurs besoins.

Il y a d’abord toute la partie supervision, alerting, et surveillance des systèmes d’information, dont certains peuvent être vieillissants ou complexes, en fonction de l’historique et des environnements propres à chaque organisation.

Nous intervenons souvent dans des contextes où les clients héritent de systèmes mis en place il y a parfois plusieurs dizaines d’années.
Mais au-delà de ces aspects techniques, il y a de plus en plus toute la partie gouvernance.

Pourquoi ? Parce que les normes et les exigences réglementaires se multiplient. On peut citer NIS 1 et 2, mais aussi d’autres normes en cybersécurité qui nécessitent pour de nombreuses organisations de se mettre en conformité.

Il y a aussi la partie RGPD, pour laquelle les acteurs publics font appel à nous, car ils n’ont pas toujours les ressources internes nécessaires.

Nous réalisons donc des missions de DPO externalisé, des analyses de risques, et ils apprécient souvent d’avoir un regard extérieur, car lorsque l’on ne s’appuie que sur des retours internes, on peut parfois perdre en recul et en pertinence.

Enfin, le fait que nous soyons une entreprise française joue également un rôle important.
Dans le contexte géopolitique actuel, sans entrer dans le détail, la souveraineté et le fait que les infrastructures et les fonds soient détenus en France constituent un élément rassurant pour le secteur public.

Julien Merali
Zakaria, lorsque vous avez été mandatés par l’OFB, quels constats ont été établis sur la structuration de la sécurité de l’information ?

Zakaria Teguia
Nous avons commencé notre intervention au sein de l’Office français de la biodiversité par un audit de maturité initial, réalisé par le Cheops cyberdéfense, sur la base d’un framework.

Cet audit nous a permis d’identifier un certain nombre de carences, notamment sur l’aspect organisationnel de la sécurité de l’information, sur l’engagement de la direction, sur la structuration de la gouvernance de la sécurité, mais aussi sur des aspects plus opérationnels, comme le contrôle des accès, les modalités de gestion des accès, ou encore les sujets liés à la sauvegarde.

L’ensemble de ces constats nous a permis d’établir une feuille de route sécurité structurée.

Julien Merali
Est-ce que vous pouvez nous détailler les grandes étapes de cette feuille de route ?

Zakaria Teguia
La feuille de route a d’abord consisté en la construction du SMSI. Nous avons engagé une phase de bilan à partir de fin octobre 2024, qui a abouti à la construction de leur corpus documentaire de sécurité.

Aujourd’hui, les exigences portées par les politiques de sécurité, et notamment par la PSSI de l’OFB, définissent clairement les exigences de sécurité applicables et à mettre en œuvre au sein de l’Office.

Nous avons ensuite amorcé, très récemment, la phase de déploiement de cette feuille de route pour l’année 2025. Cette phase vise à mettre en place un ensemble de mesures permettant de s’assurer du respect des exigences définies, et ce, sur l’ensemble du périmètre de l’OFB.

Nous accompagnons également les chefs de projets sur les sujets liés à l’homologation des applications, car l’Office français de la biodiversité propose un panel d’applications à destination du public et d’autres organismes publics, notamment dans le cadre de partenariats.

Nous nous assurons que ces applications sont conformes aux exigences de sécurité, à travers des évaluations que nous mettons à disposition.

Nous accompagnons également la montée en compétences des chefs de projets sur l’intégration de la sécurité dans les projets, notamment sur les sujets de développement sécurisé.
C’est un chantier que nous sommes en train de mettre en place actuellement.

Julien Merali
Vincent, ce corpus documentaire de sécurité est-il indispensable avant de démarrer un projet structurant ?

Vincent Gagoyan
Oui, clairement. Le corpus documentaire constitue la base de ce que l’on appelle la GRC, et plus largement du SMSI.

Il permet de définir l’ensemble des exigences qui devront être mises en œuvre par l’IT, les administrateurs, les utilisateurs, le RSSI, etc.

La PSSI est généralement le document chapeau.
On la considère souvent comme un document central, presque comme une “bible”, car elle regroupe toutes les exigences de sécurité qui devront ensuite être déclinées de manière opérationnelle.

Ce qu’on oublie parfois de préciser, c’est que rédiger ces documents est une première étape indispensable, mais que s’ils ne sont pas appliqués, ils n’ont aucune valeur.

Julien Merali
Zakaria, pouvez-vous nous donner des cas d’usage concrets pour illustrer comment vous avez travaillé avec l’OFB sur les sujets de gouvernance, de gestion des risques et de conformité ?

Zakaria Teguia
C’est une analyse de maturité de la sécurité de l’information, à la fois sur l’organisation de l’OFB et sur les dispositifs déjà en place dans le cadre des projets sécurité.

Sur la base de cet état de carence, nous avons pu établir et affiner une feuille de route sécurité, en mettant l’accent sur la mise en place d’un cadre structurant, notamment à travers la PSN.

Nous avons animé de nombreux ateliers en interne avec les différentes parties prenantes.
Ce n’était pas une mince affaire, car l’OFB, en tant qu’organisme public, est soumis à de nombreuses contraintes légales et réglementaires.

L’OFB fait également appel à plusieurs prestataires, ce qui impliquait de cadrer la sécurité avec ces derniers afin qu’ils s’alignent sur les exigences de sécurité applicables à l’Office.

Nous avons sécurisé les prestations à travers la mise en place de clauses de sécurité, travaillé sur l’inventaire des actifs et sur l’évaluation de leur criticité.

En parallèle, nous avons mis à jour les architectures, qu’il s’agisse des architectures de sauvegarde, de communication ou de réseau, afin qu’elles soient alignées avec les politiques de sécurité correspondantes.

Certains sujets ont été priorisés pour 2025 et sont toujours en cours, notamment la sauvegarde et la cyber-résilience.

L’objectif est d’aboutir à une approche de la sécurité de l’information organisée, structurée, basée sur des exigences de sécurité applicables, mises en œuvre, contrôlées, avec un axe fort d’amélioration continue.

Julien Merali
En vous écoutant, j’ai le sentiment que vous abordez la cybersécurité davantage sous un angle organisationnel que technique.

Vincent Gagoyan
C’est effectivement une manière pertinente d’aborder les sujets, notamment en début de projet.

Idéalement, nous réalisons des audits dits “360 degrés”, qui couvrent à la fois les aspects organisationnels et techniques.

Il se trouve que Zakaria et moi faisons partie du pôle GRC, donc notre regard peut sembler orienté, mais les deux dimensions sont bien prises en compte.

Aujourd’hui, quand on parle de cybersécurité, la dimension technique vient immédiatement à l’esprit et les outils existent.

Mais il faut bien comprendre qu’en moyenne, neuf attaques sur dix passent par le mail et par l’utilisateur.

Vous pouvez déployer la meilleure solution d’anti-spam au monde, il y aura toujours un moment où quelque chose passera.

C’est pour cela que la dimension organisationnelle est essentielle : la principale faille reste l’être humain.

Julien Merali
Zakaria, en quoi cette organisation a-t-elle permis de mieux préparer l’OFB à faire face aux menaces ?

Zakaria Teguia
Cela dépend du prisme par lequel on aborde la sécurité et la cybersécurité.

Chez Cheops Technology, nous avons une vision globale, notamment grâce à la contribution du SOC, qui assure la surveillance continue, la gestion des alertes et des incidents de sécurité au sein de l’OFB, avec des résultats très satisfaisants jusqu’à présent.

Nous apportons la structuration nécessaire et surtout l’assurance. Dans le secteur public, la direction générale est responsable de la sécurité de l’information et de la cybersécurité. Le directeur général est l’AQSSI, l’autorité qualifiée de la sécurité des systèmes d’information.

Cette assurance ne peut être apportée que par une structuration claire de la sécurité de l’information.

Cette structuration repose sur une politique de sécurité qui porte les enjeux internes et externes, qui recense les risques cyber, définit les objectifs de sécurité et formalise l’engagement de la direction, notamment à travers une lettre d’engagement adressée aux agents et aux partenaires.

L’OFB, à travers ses partenariats, est à la fois porteur de ses propres exigences de sécurité et soumis à celles de ses partenaires.

Julien Merali
Vous avez évoqué la directive NIS 2. Comment a-t-elle été intégrée dans la trajectoire de sécurité de l’OFB ?

Zakaria Teguia
Les briques de la directive NIS 2 sont totalement intégrées dans notre feuille de route sécurité, notamment à travers la gestion des tiers, la sensibilisation et la formation des dirigeants de l’OFB.

Nous avons animé des webinaires, mis en place des cycles de formation à destination des agents, des chefs de projets web, des équipes IT et des équipes infra et support.

Cet accompagnement a été structuré après la validation de la charte informatique, la charte des usages des services numériques.

Nous avons mis en place un plan de sensibilisation et de communication, revu annuellement avec la DSI de l’OFB, et engagé des actions sur la cyber-résilience et les projets sécurité inscrits au budget.

Julien Merali
Quels bénéfices concrets ont été observés depuis le début de cette collaboration ?

Zakaria Teguia
La sécurité de l’information est aujourd’hui très bien structurée au sein de l’OFB.

On constate une forte adhésion des agents, des prestataires et des partenaires.
Le niveau de maturité entre 2024 et 2026 a fortement progressé, avec un écart très significatif par rapport à l’état initial.

Julien Merali
Avec le recul, quels enseignements tirez-vous pour les autres organismes publics ?

Vincent Gagoyan
Ce que nous retenons principalement, c’est ce besoin d’accompagnement, à la fois sur la définition des plans d’action et sur leur mise en œuvre concrète.

Notre force réside dans notre capacité à intervenir sur l’ensemble des dimensions cyber : gouvernance, technique, tests d’intrusion, SOC, accompagnement opérationnel, rssi as a service…

C’est cette approche globale qui fait la différence.

Julien Merali
Zakaria, quels sont les chantiers à venir pour renforcer encore la posture de sécurité de l’OFB ?

Zakaria Teguia
Nous avons présenté récemment à la DSI la feuille de route sécurité 2026.

Elle comprend des projets liés au contrôle des accès, au renforcement de l’authentification, à la gestion des incidents de sécurité, à la cyber-résilience, au PCA, au PRA, à la revue des politiques de sauvegarde, ainsi que la préparation d’un exercice de gestion de crise cyber grandeur nature au sein de l’OFB.

Vincent Gagoyan
Dans les prochaines années, le secteur public va continuer à être fortement marqué par les exigences normatives et organisationnelles.

Mais on observe aussi une vraie prise de conscience sur la résilience.
On ne cherche plus uniquement à empêcher l’attaque, mais à savoir y faire face et à se relever, à travers le PCA, le PRA, les sauvegardes et les exercices de crise, qui sont encore des sujets organisationnels.

Interview réalisée par Julien Merali, Directeur du Pôle IT
Un rendez-vous de l’Agora des DSI CIO
Un événement Agora Managers Groupe