Le cheminement d’Alcen
1ère phase : Alcen, victime d’une cyberattaque
L’une des filiales d’Alcen a subi une arnaque au président durant l’été 2020 comme l’explique Grégoire Aubry, RSSI d’Alcen. Suite à cette usurpation d’identité, “on demande à une intérimaire du service comptable de modifier en vitesse le RIB de l’un de nos fournisseurs afin de réaliser des opérations financières avec des montants très élevés. Les fonds sont transférés au Mexique, nous ne parviendrons jamais à remettre la main dessus”.
2ème phase : la prise de conscience interne
Devant le risque d’une nouvelle attaque, la direction générale d’Alcen décide de placer le sujet de la cybersécurité au centre des préoccupations, comme le signale Grégoire Aubry : “Certaines filiales étaient davantage sensibilisées à la cybersécurité que d’autres, avec des niveaux de maturité très différents (…) De plus, les DSI de chaque filiales travaillaient un peu de manière isolée et menaient la stratégie qu’elles voulaient”.
3ème phase : la mise en place d’un groupe de travail
La direction générale constitue un groupe de travail, piloté par Grégoire Aubry et comprenant l’ensemble des DSI du groupe. L’objectif est de connaître exactement le niveau de maturité de chaque filiale et de créer une synergie entre les DSI des différentes filiales. En parallèle, Alcen mène des audits dans le but de connaître le niveau de maturité des filiales. “Le groupe de travail était créé et il était urgent de mener une Politique de Sécurité des Systèmes d’Information (PSSI) à décliner en fonction des besoins et de la criticité de chacune des filiales” précise Grégoire Aubry.
À propos d’Alcen
Composé d’une vingtaine de filiales, le groupe Alcen développe des technologies innovantes à destination de 5 secteurs d’activité : la Défense & la Sécurité, l’Énergie, le Médical & la Santé, l’Aéronautique & le Spatial et les Grands Instruments Scientifiques.
Comment s’est traduite la démarche cyber d’Alcen ?
Soutenue par la direction générale, la démarche cyber chez Alcen s’est traduite par la mise en place de comités mensuels de suivi rassemblant les DSI du groupe. Au programme : échanges autour des technologies utilisées par chaque DSI, rédaction de la politique générale ou encore échanges sur des sujets d’actualité.
La mission RSSI de Grégoire Aubry s’éloigne aujourd’hui de l’aspect opérationnel. Il est devenu l’animateur de cette communauté constituée : il mène des campagnes de sensibilisation aussi bien auprès des ouvriers, des cadres supérieurs et des directions pour sensibiliser : “Le but n’est pas de restreindre ces campagnes à des fonctions stratégiques mais de toucher le maximum de personnes pour que le message soit compris de tous”.
Il détecte les sujets communs, optimise les dépenses lorsque certaines solutions technologiques s’imposent. Il supervise et contrôle l’avancement des différentes DSI dans leur cheminement d’action. Son objectif est de garantir le meilleur niveau de maturité aux filiales d’Alcen et réduire au maximum la surface d’exposition aux cyberattaques.
Le logiciel Make IT Safe, garant de la cybersécurité d’Alcen
À partir des audits et des évaluations, Alcen s’est vu proposer un plan d’action à suivre pour augmenter les niveaux de maturité cyber des filiales, “qui se sont révélés très différents comme on pouvait s’y attendre” précise Grégoire Aubry.
Les opérations réalisées avec le logiciel de cybersécurité Make IT Safe ont permis à chaque filiale d’obtenir un indice de maturité cyber et, à leurs DSI respectives, de piloter le plan d’action préconisé à la suite des audits. Ce travail régulier, réalisé par chaque filiale du groupe et supervisé par du RSSI Grégoire Aubry (en charge de l’animation et des relances), renforce la cybersécurité d’Alcen.
Grégoire Aubry relève l’importance de disposer, dans une solution logicielle comme Make IT Safe, d’un tableau de bord (dashboard) propice à un reporting pertinent : “Il est important de disposer d’indicateurs et de pouvoir les remonter aux directeurs des filiales et à la direction générale pour connaître notre positionnement”.
L’une des finalités de la démarche cyber d’Alcen est de se faire assurer, comme le confie Grégoire Aubry. Mais pour cela, “il faut se faire auditer et avoir un niveau assez élevé de maturité“. Des propos qui corroborent ceux de la députée de la Loire Valéria Faure-Muntian dans sa récente interview accordée à Digitemis sur la cyberassurance.
Grégoire Aubry souligne l’aspect collaboratif qui caractérise ce projet de cybersécurité chez Alcen : “Notre direction a vu le travail fourni, les outils utilisés, les process mis en place et le fait que nous nous sommes regroupés pour discuter”. Ce mode de fonctionnement collaboratif a fait tâche d’huile auprès d’autres services (DRH, finance, qualité…).
Ce projet cyber a déjoué la réticence initiale de certaines DSI : “Certains directeurs ont eu beaucoup de craintes concernant les coûts associés car la cyber demande un peu des finances. Cette crainte était liée au fait qu’il n’existait pas de stratégie de sécurité propre à Alcen. Aujourd’hui, ça fait vraiment sens d’avoir une politique générale et globale (…) L’idée, c’est d’aller s’auditer les uns les autres tout en internalisant au maximum”.
“Aujourd’hui, il existe beaucoup de solutions de cybersécurité sur le marché. Toutes se recouvrent par certains aspects. Il faut prendre le temps de faire des PoCs, de recetter et ne pas se lancer sans réfléchir. L’important, c’est de prendre le temps de tester le produit.”