Passer au contenu

GRAND PRIX 2008 : Serge Saghroune

Une décennie passée au sein d’Accor n’a pas entamé l’enthousiasme de ce RSSI. À l’origine de la création de sa fonction et du département sécurité au sein du groupe hôtelier, il recherche l’adhésion
des métiers tout en s’attachant à porter une sécurité opérationnelle.

Son domaine de compétence est par définition sensible, sa mission, critique pour une entreprise. A priori, RSSI et longévité à ce poste s’accordent mal. Pourtant, Serge Saghroune fête cette année ses dix ans comme RSSI au sein du
groupe Accor. Une constance qui s’explique en premier lieu par la relation professionnelle forte qui s’est tissée entre lui et son directeur des systèmes d’information, Gilles Bonin. Lorsque ce dernier arrive dans le groupe
hôtelier en 1996, il a pour mission de construire un système d’information mondial. Le président du directoire de l’époque, Jean-Marc Espalioux, avait alors la conviction que les technologies de l’information peuvent et doivent
révolutionner le métier du tourisme. En 1998, Gilles Bonin prendra une décision stratégique de recruter Serge Saghroune. Celui-ci crée alors le département sécurité. Dans l’esprit de Gilles Bonin, la sécurité doit se construire dans le même
temps que le système d’information se développe. Une raison pour laquelle le rattachement de son poste à la DSI ?” une position souvent décriée dans le monde des RSSI ?” ne gêne en rien Serge Saghroune : ‘ Le problème se pose
lorsqu’un DSI prend un RSSI comme alibi, pour justifier le traitement des questions de sécurité. Gilles Bonin a eu très tôt conscience que la sécurité était cruciale et s’est battu pour créer cette fonction. ‘ En outre, le RSSI
d’Accor est assuré de faire passer via son DSI ses messages jusqu’au comité exécutif.

Une réputation de négociateur aguerri

Débutant sa carrière comme ingénieur logiciel, puis chef de projet développement, il rejoint la Compagnie des signaux (CS) en 1990, au poste d’ingénieur d’affaires. C’est à cette occasion qu’il aborde la
sécurité, activité alors en plein développement chez CS. De ces premières années, il conserve une solide connaissance du milieu des éditeurs et constructeurs. Elle lui vaut une réputation de fort négociateur auprès de ses fournisseurs, capable de
toujours obtenir les meilleures conditions tarifaires. A son arrivée chez Accor, Serge Saghroune n’est donc plus un novice dans la sécurité. Bon nombre de jeunes entre­preneurs de tous pays, devenus millionnaires une fois leurs start up
rachetées par de plus grosses entreprises, défileront dans son bureau. Aujourd’hui, ces riches acteurs du marché n’ont pas ou­blié celui qui les a reçus et écoutés à leurs débuts.Fin 1992, Serge Saghroune rejoint Bull en tant que chef de projet sécurité télécoms. Trois ans plus tard, il devient le RSSI du groupe Bull. De cette société, il garde un excellent souvenir, alors qu’il avait hésité à la
rejoindre. ‘ Il me fallait rebas­culer fortement dans la technique car la sécurité n’était alors vue que par le prisme technologique. Ce qui était réducteur. Cependant les méthodes Marion et Melisa montraient le bout de leur nez, et Bull
souhaitait écrire des politiques de sécurité. ‘ Bull lui donne l’opportunité de côtoyer de vieux routards de l’informatique, ‘ des ingénieurs fous qui avaient tout connu, de la carte perforée jusqu’à inter­net ‘. C’est
chez Bull qu’il complète sa formation universitaire (maîtrise d’informatique scientifique et DEA sur le traitement de l’information) par une solide assise technique pratique, concrète. Il est alors membre du Clusif (Club de la
sécurité de l’information français). Devenir RSSI est dans la suite logique de son parcours et répond à un défi personnel : ‘ J’avais envie de me mesurer aux responsables sécurité dont j’avais mesuré les limites, une sorte de
trouille, de manque d’audace dans les projets qui conduisaient invariablement à un immobilisme .’ Immobilisme qui se caractérisait alors par une forte propension à apposer un veto à de nombreux développements informa­tiques, conception à
l’encontre de celle de Serge Saghroune : ‘ On devrait pouvoir juger la qualité d’un RSSI au nombre de ses oppo­sitions et refus. La sécurité ne doit pas être une contrainte : on doit dire oui le plus souvent possible. ‘

Il s’entoure d’équipes au niveau d’expertise reconnu

Au sein d’Accor, il accompagne la création du système d’information du groupe au niveau mondial. Il s’attaque au chantier du déploiement et à la configuration des pare-feu à travers le monde. Puis monte une équipe
aux compétences pointues sur les réseaux et systèmes : analyse des logs, configuration des pare-feu, politiques d’accès. Et créé deux entités, l’une pour la sécurité des infrastructures, l’autre pour la sécurité des
applications. La mission de cette dernière est ‘ de regarder d’une manière opérationnelle la sécurité, de penser comme des pirates ‘. À cette fin, il recrute de jeunes ingénieurs qu’il fait former à travers le monde par des experts
reconnus, du niveau de ceux, par exemple, qui démontrent des failles et techniques de piratage dans des conférences internationales comme la Black Hat. Le niveau d’expertise de ses équipes est désormais reconnu dans le landerneau de la
sécurité. Et il n’est pas rare que son département soit directement à l’origine de fonctions de solutions du marché, développées pour leurs propres besoins.Pour autant, il serait faux de ne voir chez Serge Saghroune que le profil type du RSSI technophile. Dans son esprit, la technique est importante afin de parler le langage des experts, les comprendre lorsqu’ils vous remontent
leurs doléances et soulèvent des problèmes. Il est tout autant un meneur d’hommes, un manager, désireux de faire passer des idées. ‘ La dimension politique de ce métier est primordiale. Pour réussir il ne faut pas être seul. J’ai le
souhait d’emporter l’adhésion au sein de mon entreprise, et que les collaborateurs d’Accor comprennent ce que nous faisons en matière de sécurité. Je ne suis pas là pour me battre et imposer.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Frédéric Bergé et Christophe Elise