Thierry Auger, RSSI Groupe et DSI Corporate du Groupe Lagardère, explique sa stratégie de migration vers le Cloud, avec ses implications en matière d'architecture de sécurité. Le tour sur fond de pandémie.

Comment accompagnez-vous les multiples filiales du groupe dans leur transformation digitale vers les services du Cloud Computing ?

Thierry Auger : Le système d'information du groupe Lagardère est une organisation distribuée qui est composée de multiples SI indépendants. Ceux-ci sont fédérés au niveau Groupe pour la mise à disposition des socles communs. Notre stratégie est d'aller vers le Cloud lorsque les solutions délivrent un meilleur service pour les métiers, que l'expérience utilisateur est supérieure et que l'on peut disposer d'engagements de la part du fournisseur en matière de disponibilité et de flexibilité pour les équipes IT.

Il faut mener des arbitrages entre des applications on-premise, historiquement ultra-personnalisées pour répondre au besoin métier, et des solutions SaaS. Celles-ci offrent souvent des fonctionnalités plus modernes, mais elles obligent les métiers à revoir certains processus pour coller au mieux à ceux de la solution. Le rôle du DSI est de dialoguer avec les métiers, apporter de la visibilité sur l'état de l'art et ce qui pourra apporter aux métiers et aux équipes de l’IT plus d’efficacité tout en respectant les conformités applicables dont la protection des données.

Le travail du RSSI, c'est aussi que la cybersécurité ne soit pas un frein à l'agilité : les modèles évoluent et il faut s'y préparer. Cela n'a plus de sens aujourd'hui que d'héberger sa plateforme de messagerie et le modèle Cloud va devenir la référence très rapidement. Il faut anticiper ce genre d'évolutions et s'organiser afin d'accompagner les métiers dans ces mutations.

Un point de fixation fort, c'est la protection de la donnée. Il y a quelques années, il était relativement simple de protéger la donnée critique d'une entreprise. Aujourd'hui, dans une organisation très distribuée, avec une informatique ouverte sur le Cloud, c'est une problématique beaucoup plus complexe. Nous avons besoin de transparence de la part des acteurs du Cloud vis-à-vis de la protection de nos données et c'est un travail qu'il faut mener avec eux ainsi qu'avec tout l'écosystème de partenaires.

Thierry Auger, RSSI Groupe et DSI Corporate du groupe Lagardère.

Protéger la donnée, c'est assurer la protection du patrimoine de l'entreprise, mais aussi garantir sa conformité vis-à-vis des règlements de protection des données personnelles ce implique de se structurer, de mettre en oeuvre des solutions dédiées pour s'assurer de cette conformité en suivant les recommandations de la CNIL, mais aussi des autorités de chaque pays où nous sommes présents.

Comment évolue la cybersécurité du groupe Lagardère dans un contexte où la transformation digitale a notoirement été accélérée par la crise sanitaire ?

La transformation digitale et l'évolution rapide des usages doivent pousser les entreprises à repenser leur cybersécurité. Le confinement nous a poussés à nous organiser très vite afin que tout le monde puisse continuer à travailler. Cela nous a poussés à déployer des solutions qui étaient potentiellement dans notre roadmap, mais tous les projets n'étaient pas encore forcément lancés ou finalisés. C'est notamment le cas de la signature électronique pour éviter les cycles de validation complexe.

C'était aussi l'occasion de revoir l'écosystème sécurité et d'accélérer le mouvement vers le "Zero Trust". Il nous fallait être absolument certains que les milliers de collaborateurs qui voulaient accéder aux services du SI sont bien ceux qu'ils prétendent être. Comme il ne s'agit plus d'un SI physiquement centralisé comme par le passé et donc au sein duquel il était plus simple de contrôler les entrées et les sorties, mais d'un SI qui s'appuie aussi sur le Cloud et ses services, pour lesquels il faut que seuls les utilisateurs appartenant effectivement à l'organisation et depuis des postes dûment enrôlés puissent accéder à ces ressources.

C'est une évolution que nous avions planifiée sur la fenêtre 2020/2023. Cette approche était déjà clairement expliquée à nos entités dans la dernière version de notre politique de sécurité, cette évolution s'est donc accélérée du fait de la pandémie et cette évolution vers le "Zero Trust" va nous permettre d'évacuer probablement 98% des problèmes de sécurité potentiels.

Comment avez-vous géré l'épisode du confinement et l'explosion du télétravail dans le groupe ?

Habituellement, les DSI prévoient de 20 à 30% d'accès distants au système d'information, essentiellement pour les collaborateurs nomades. Les équipements d'accès et liens Internet sont dimensionnés en fonction de cette estimation. Du jour au lendemain, nous nous sommes retrouvés avec 100% du personnel en télétravail. Dans beaucoup d'entreprises, cela a conduit beaucoup de collaborateurs à accéder en direct aux services Cloud sans forcément passer par l'accès de l'entreprise et donc court-circuiter certaines briques de sécurité mises en place par leur RSSI.

Beaucoup ont laissé faire car elles n'avaient pas le temps de changer les équipements en périphérie, acheter des licences mais aussi augmenter la bande passante pour un trafic qui ne fait qu'entrer pour ressortir. Cette approche était dictée par les circonstances mais n'était pas totalement bordée du point de vue sécurité. Nous nous sommes ensuite assuré que les pratiques de sécurité étaient bien réintégrées dès les premiers mois de cette période. Ces accès directs à la messagerie Office 365 ont été à l'origine de nombreux incidents de sécurité par le passé car il est difficile pour un utilisateur final d'identifier, lors d’un phishing ciblé, qu'il s'agit bien de la fenêtre d'accès Microsoft à Office 365 et pas une habile imitation par un hacker. Si la seule barrière est le mot de passe, l’accès ainsi récupéré va pouvoir alors être exploité par l’attaquant.

Nous nous sommes interrogés en interne sur la capacité de notre écosystème technologique à absorber le surplus de charge qu'allaient générer ces accès et les éditeurs Cloud, notamment, se sont retrouvés confrontés à des charges multipliées par 6 à 8 parfois. Cet écosystème a tenu le choc et cette crise a fait évoluer les usages de manière accélérée, notamment ceux des outils de collaboration. Ce fut d'une certaine manière le bon côté de cette crise. Les acteurs du Cloud ont accru leur bande passante et leurs ressources de calcul. L'écosystème a tenu. Avec le recul, c'est assez remarquable et si une telle crise était survenue 18 ou 24 mois plus tôt, le scénario aurait sans doute été tout autre.

Quelle est votre position quant au recours de solutions Cloud de type SWG (Secure Web Gateways) ?

Nous nous appuyons sur des services tels que ceux délivrés par Zscaler ou Proofpoint, car ces acteurs ont une taille critique pour gérer de très fortes capacités et maintenir un niveau de qualité de service dans le temps. C'est leur cœur de métier que de garantir la disponibilité des accès et une qualité de service que les entreprises ont de plus en plus de mal à tenir car les environnements se sont complexifiés, les usages évoluent, les volumétries ont augmenté.

Parvenir à de tels niveaux de performance en interne nécessiterait beaucoup d'investissements. De tels prestataires permettent de les atteindre en mode Opex, avec un ROI rapide que l'on va trouver au niveau des ressources qu'il faut mobiliser en interne. Mais, au-delà du coût, la différence se situe essentiellement au niveau de la disponibilité et de la qualité de service que l'on peut attendre de ces acteurs.

L'autre intérêt c'est que ces acteurs proposent des services additionnels que l'on peut activer par la suite en fonction des besoins réels, des services à forte valeur ajoutée dont on peut disposer très rapidement si on compare au cycle d'un projet de déploiement classique.

Vous avez fait de Fortinet un acteur clé de votre architecture de sécurité. Pouvez-vous expliquer ce choix ?

Notre écosystème cyber s'est beaucoup complexifié ces dernières années. Comme beaucoup d'entreprises, nous avons déployé de nouvelles briques technologiques à chaque fois qu'une nouvelle menace apparaissait. C'est une démarche qui ne pouvait pas se poursuivre, tout simplement parce qu'elle génère énormément de charges et des coûts de possession de plus en plus importants. Nous avons eu la démarche de réduire volontairement cet écosystème technologique.

Notre réponse a été de sélectionner Fortinet Security Fabric, une plateforme de sécurité capable de délivrer l'ensemble des services dont nous aurons besoin. L'approche doit nous permettre de revoir à la baisse le portefeuille de solutions de sécurité spécifiques que nous mettons en oeuvre au profit de modules portés par cette plateforme unique. Notre travail a été de nous assurer que chacun de ces modules offre le niveau de maturité que nous attendons pour bénéficier d'une sécurité à l'état de l'art. Avec Fortinet, nous sommes plutôt satisfaits sur ce plan. La plateforme prend en charge la protection des différents flux, des applicatifs, des accès Cloud, des interfaces entre systèmes, etc.

Un autre atout pour Fortinet est de ne pas s'appuyer uniquement sur des centres de R&D centralisés aux Etats-Unis comme c'est le cas de beaucoup d'acteurs de la sécurité. Fortinet dispose d'un centre de R&D à Sophia Antipolis et lorsque nous avons besoin d'une adaptation sur l'une de leurs offres pour un usage particulier, nous avons accès aux spécialistes de ce centre, des gens qui nous écoutent, qui peuvent comprendre notre besoin et qui peuvent inscrire à la roadmap produit une demande d'évolution qui a été exprimée. Cette proximité constitue une énorme valeur ajoutée dans le choix d'un partenaire cyber.

Votre système d'information est aujourd'hui largement hybride, de plus en plus ouvert sur le Cloud. Comment en garder le contrôle ?

Un point important porte sur le volet supervision des infrastructures. Passer à une informatique distribuée sur le Cloud complexifie les interactions entre systèmes et il est absolument nécessaire de se doter d'une visibilité complète sur la disponibilité et la qualité de service de chaque composante du SI et savoir très rapidement où survient un incident afin d'intervenir au plus vite.

Sur le plan de la cybersécurité, il faut augmenter le niveau de surveillance et de détection au sein du système d'information. Il y a toujours des failles de sécurité qui apparaissent subitement. Il faut donc se mettre en capacité d’être informés le plus tôt possible puis d'intervenir très rapidement, mettre en place une surveillance efficace tant sur le système d'information lui-même que sur tous les réseaux parallèles (le DarkNet, deep web…), pour être alerté si un hacker prépare une campagne de phishing en réservant des noms de domaine proches des nôtres. Il faut se donner le temps de réagir avant que la catastrophe ne survienne.

Un autre sujet de travail pour ces prochains mois porte sur l'analyse de risque : dans une organisation très distribuée, notre mission est d'aider nos entités en leur donnant de la visibilité sur leur niveau de sécurité, sur les risques particuliers auxquels elles sont exposées en fonction des technologies qu'elles mettent en oeuvre, de leurs méthodes de travail et d'éléments comme leur secteur d'activité, le risque géopolitique. Avec des dizaines de SI et des milliers de marques, imposer une stratégie globale à tous ne fonctionne pas ; il faut cibler nos actions par univers technologiques et produire des recommandations SI par SI là où c'est nécessaire.