Cybersécurité : "Nous voulons porter la voix de la confiance numérique et faire monter en maturité l'ensemble de l'écosystème", Odile Duthil (Clusif)

L'Usine Digitale : Le Club de la Sécurité de l'Information Français (Clusif) vient de connaître un changement de direction. Pouvez-vous nous rappeler les grandes missions et le rôle de cette association ? 

Odile Duthil : Le Clusif existe depuis un peu plus de 33 ans. C'est une association reconnue d'utilité publique depuis novembre 2024. Il s'agit d'un statut unique dans l'écosystème de la cybersécurité. Nous comptons aujourd'hui 570 membres personnes morales, ce qui représente environ 1300 personnes physiques. 

Notre objectif est de porter la voix de la confiance numérique et de faire monter en maturité l'ensemble de l'écosystème en matière de cybersécurité. Le Clusif se distingue aussi par sa composition. Nous avons deux collèges, celui des acteurs (éditeurs, consultants et prestataires) et celui des utilisateurs (RSSI, DSI...), avec une quasi-parité entre les deux. Cela permet d'avoir un dialogue équilibré. Je tiens à préciser que nous ne sommes pas un lobby. Nous travaillons uniquement dans l'intérêt général. 

Qu'apporte concrètement la reconnaissance d'utilité publique ? 

C'est avant tout une reconnaissance du travail accompli depuis plus de trois décennies dans l'intérêt général. Ce statut nous permet aujourd'hui de lancer des appels à projets ainsi que de bénéficier de subventions publiques pour mener de nouvelles actions. Mais c'est aussi un marqueur symbolique fort : cela positionne l'association comme une référence dans la cybersécurité française. 

Pouvez-vous décrire le fonctionnement du Clusif ? 

Il y a plusieurs espaces de travail et d'échanges. Tout d'abord, l'espace "RSSI" où les membres partagent leurs retours d'expérience sur des sujets concrets (analyse de risque, gestion des habilitations, ruptures technologiques...) puis l'espace "sécurité offensive", plus technique, dédié aux tests d'intrusion et à la cybersécurité défensive. En pratique, il s'agit de se mettre dans la peau d'un attaquant pour tester la robustesse de ses systèmes. 

Ensuite, nous produisons beaucoup de contenus et de publications : une dizaine de documents par an, parmi lesquels une politique de sécurité du système d'information dédiée à l'intelligence artificielle, des travaux sur DORA, ou encore un livre blanc sur la cybersécurité industrielle. 

Pourquoi avoir mis en avant la cybersécurité industrielle cette année ? 

Parce que c'est un secteur particulièrement exposé. Le monde industriel est souvent moins sécurisé que le monde bancaire, par exemple, et il fait face à des risques spécifiques. Ce livre blanc est le fruit de nombreuses séances de travail de notre groupe dédié. 

La souveraineté numérique revient également souvent dans vos travaux. Quelle est la position du Clusif sur ce sujet ? 

Nous avons publié un livrable sur la souveraineté numérique, qui propose une grille d'analyse pragmatique. Selon le type d'entreprise, la sensibilité des données ou les obligations légales, les choix d'hébergement ou de solutions ne seront pas les mêmes. 

Pour être clair : nous ne défendons aucune doctrine. Nous ne sommes pas là pour dire qu'il faut tout faire en Europe ou refuser les acteurs américains. Nous apportons des éclairages, pas des injonctions. D'ailleurs, le Clusif compte des membres européens et extra-européens. Notre rôle est d'encourager le dialogue et la compréhension mutuelle entre eux, pas d'exclure. 

Vous parlez souvent "d'éclairage" et de "grilles de lecture". Cela passe aussi par la pédagogie ? 

Absolument. Nous avons lancé des podcasts pour démystifier les concepts de cybersécurité auprès de publics non spécialistes. Par exemple, comment parler simplement de sécurité informatique à un trésorier d'entreprise. Nous voulons aider les RSSI à traduire leur expertise technique dans un langage accessible à la direction et aux métiers. C'est une dimension essentielle de la culture cyber. 

Quels sont les grands sujets qui mobilisent actuellement vos membres ? 

Plusieurs tendances fortes ressortent, parmi lesquelles la gestion de la supply chain. Aujourd'hui, deux tiers des cyberattaques passent par les sous-traitants. Ce risque tiers est désormais encadré par des textes, comme NIS 2 et DORA. Egalement, le chiffrement post-quantique, un sujet crucial. Même si les ordinateurs quantiques ne sont pas encore opérationnels, il faut anticiper dès maintenant la manière dont nous protégeons nos données sensibles.

Justement, ce sujet du post-quantique est encore très prospectif. Comment l'abordez-vous ?

Il faut distinguer les calculs quantiques, sur lesquels avancent déjà Google ou IBM, et les ordinateurs quantiques stables, qui arriveront plus tard. Mais les entreprises doivent s'y préparer maintenant, au moins dans leurs analyses de risque. Bien sûr, tout est une question de priorité et de coût : les budgets de cybersécurité sont déjà contraints, et il faut arbitrer entre les menaces immédiates et les risques à long terme. Notre rôle, au Clusif, est justement d'aider les RSSI à anticiper et à prioriser leurs investissements de manière pragmatique.