Stéphane Tournadre, RSSI Groupe de Servier, a reçu à l’occasion des Assises de la Sécurité des Systèmes d’Information à Monaco, le Prix Spécial du Jury pour son travail et celui de son équipe au sein du laboratoire pharmaceutique français. Il décrit la façon de faire émerger une culture de la sécurité basée sur le concept de l’utilisateur « premier rempart de l’entreprise ».
Alliancy. Quels changements a connu Servier en matière de cybersécurité ces dernières années ?
Stéphane Tournadre. La filière sécurité du groupe a évolué en janvier 2016, en même temps que ma prise de fonction. Auparavant, le responsable de la sécurité du système d’information était positionné au sein de la DSI. Mon arrivée a coïncidé avec le choix d’affirmer une plus grande indépendance pour la SSI, rattachée directement à la direction financière, avec la formalisation d’un département Sécurité et Audit du SI, qui s’occupe autant des sujets liés à la PSSI qu’aux grands enjeux actuels de ata privacy par exemple.
Qu’apporte cette indépendance concrètement ?
Stéphane Tournadre. Il y a une nécessité stratégique d’améliorer sans relâche le lien entre le système d’information et les utilisateurs pour permettre de mieux se donner les moyens de nos transformations et de l’acceptation de celles-ci. C’est aussi valable en mettant la question de la sécurité dans l’équation. Le rattachement au directeur financier est en ce sens l’opportunité de développer cette vision transversale, sur des sujets en grande partie nouveaux.
Comment se passent les nouveaux échanges avec le Comex ?
Stéphane Tournadre. Nous avons dorénavant un rendez-vous régulier autour d’un « tableau de bord de la situation cyber » qui permet de mieux intégrer les aspects de sécurité numérique dans l’approche de gestion des risques globale de nos dirigeants. Des focus sont faits autour de 4 sujets : la météo trimestrielle de notre Groupe, avec trois informations positives et trois négatives ; la ratification des grands risques stratégiques Cyber ; des indicateurs de croissance ou de décroissance des risques spécifiquement liés à nos métiers ; et enfin une road map permettant de projeter et d’impliquer le Comex sur les actions à mener, comme l’évolution des cursus de sensibilisation interne.
Quels sont vos constats après avoir mis en place cette méthodologie d’échange ?
Stéphane Tournadre. Cela crée un dialogue très fort. Le Comex exprime énormément de retours sur ces indicateurs. La stratégie de sécurité numérique n’est plus faite en solitaire, mais vraiment incluse dans une vision globale. C’est la condition de base pour une culture de la sécurité basée sur le concept du collaborateur « premier rempart de l’entreprise », j’en suis persuadé. Nous constatons du même coup une amélioration nette dans notre anticipation et nos réponses à certaines menaces majeures auxquelles sont confrontées toutes les grandes entreprises.
Un exemple ?
Stéphane Tournadre. Plusieurs même. Sur les arnaques aux dirigeants, qui dépassent aujourd’hui largement les « Arnaques aux présidents » pour toucher potentiellement tout le top management, notre approche permet de fédérer et de rendre beaucoup plus efficace tout le travail humain effectué vers les directeurs de nos filiales. Par ailleurs, sur des risques majeurs et systémiques, comme l’ont été des malwares à l’instar de WannaCry ou NotPetya en 2017, cette proximité et cette connaissance des sujets SSI créent vraiment une complémentarité avec la position de la sûreté dans l’entreprise, qui a une place prépondérante dans notre industrie. Un dirigeant peut désormais penser sécurité d’un seul tenant ; à la fois physique et logique. Enfin, c’est un moyen d’apporter des réponses intelligentes à l’équation innovation vs sécurité.
Comment cela ?
Stéphane Tournadre. Non seulement cela permet de renforcer un sponsoring commun sur les deux thèmes, mais en plus, c’est un moyen de mieux faire le lien avec le terrain. Par exemple, nos sites industriels ont des objectifs de performance, mais ils doivent faire face également à des enjeux d’obsolescence technologique et donc de sécurité. Faire le lien avec la cybersécurité, permet d’associer une vision industrielle, tout en mettant les feux au vert pour des innovations venues du terrain.
Cette refonte de la « gouvernance de la sécurité » chez Servier a-t-elle été associée à des changements technologiques ?
Stéphane Tournadre. Sur le volet technique, je partage l’avis de nombre de mes pairs : les outils historiques basés sur de l’analyse de signatures ont atteint leur limite. L’analyse du comportement des codes potentiellement malicieux est devenue la norme. Le problème avec ce renouvellement, c’est qu’il est parasité par un discours trop marketing autour de l’intelligence artificielle. A ce jour, je préfère ne pas utiliser le terme IA en sécurité, car cela implique notamment que l’algorithme ait une capacité à prendre une décision, face à une attaque par exemple. Je suis mal à l’aise avec le discours des éditeurs de logiciels en la matière, notamment pour les plus jeunes ou plus petits d’entre eux, qui ont moins de corpus de données ou de recul tangible sur leurs innovations. Voir se multiplier les décisions erronées n’est vraiment pas ce dont a besoin la sécurité numérique dans les entreprises aujourd’hui.
Au-delà de la sémantique « IA », à quel point utilisez-vous des capacités d’automatisation dans votre stratégie de protection ?
Stéphane Tournadre. Nous appliquons des algorithmes pour automatiser une partie de la protection de nos assets stratégiques, afin d’être plus variés et imaginatifs notamment face aux APT* et aux fuites de données. Pour ces cas complexes, l’enjeu est de détecter et corréler des signaux faibles, que l’intelligence humaine seule va peiner à repérer. Cela reste cependant un périmètre d’expertise très précis, avec des réponses technologiques qui sont loin d’être des acquis. Ce n’est pas ce type d’outils qui permet de capitaliser forcément sur le ressenti et les besoins des utilisateurs eux-mêmes, au titre d’une approche plus collective de la sécurité.
Vous pariez-donc sur plus d’intelligence humaine pour favoriser la dynamique « collective » ?
Stéphane Tournadre. C’est le plus important aujourd’hui. Aucune brique technologique ne couvre tous les risques de toute façon. C’est avec l’intelligence humaine que l’on peut adresser des chantiers culturels de fond, comme la réduction de l’usage des clés USB. Ce n’est pas en fournissant des clés USB ultra-sécurisées que personne ne va utiliser que l’on limite les risques. L’intelligence humaine en sécurité, c’est de se calquer sur les usages réels. Nous avons 21 700 collaborateurs dans 149 pays : c’est quand nous avons accompagné le déploiement global de Box que nous avons réduit drastiquement les usages dangereux de clés USB, de comptes personnels Dropbox ou encore de liens WeTransfer. La sécurité est un chantier collaboratif qui mixe technologie et intelligence collective.
Qu’est-ce qui fonctionne le mieux pour faire émerger cette intelligence collective ?
Stéphane Tournadre. Cela peut être contre-intuitif sur un sujet comme la cybersécurité qui parait si technologique, mais la transmission orale et le travail en groupe sont des vrais déclencheurs pour faire changer les choses. En fait, l’enjeu est de trouver le moyen de mettre l’utilisateur au centre. Par exemple, à chaque fois que nous recevons un e-mail ou une question sur un aspect de sécurité, même basique, il est absolument vital de s’astreindre à répondre systématiquement. Pour ancrer la prise de conscience sécurité dans les préoccupations quotidiennes des collaborateurs, il faut également faire émerger une proximité avec la DRH. C’est ce qui va permettre de créer un effet levier entre les attentes fortes des salariés sur des sujets comme le télétravail tout en adressant des processus métiers, et la dimension sécurité. L’outillage technique devient alors porteur de sens. Ainsi, dans notre kit de formation au télétravail, la sécurité est devenue un module obligatoire.
Les formations en cybersécurité fonctionnent-elles pour les collaborateurs ?
Stéphane Tournadre. Nous avons décidé de ne pas utiliser des produits sur étagères, qui ne portent pas à nos yeux assez de sens métier et qui lassent vite ceux qui les utilisent. Au contraire, nous avons investi pour faire des modules de formation sur mesure, avec une approche de communication ciblée. Les résultats sont bien meilleurs mais demandent de faire appel à de fortes expertises en formation digitale et communication. En ce sens, l’une des principales missions pour le RSSI est de bien connaître ses utilisateurs ! Finalement, pour le groupe Servier, cet investissement annuel a été de 2 euros par collaborateur mais l’effet sur la culture sécurité a été notable. Quitte à consacrer des moyens, autant faire appel à des communicants et des agences professionnelles, qui vont renforcer les messages, leur design, pour faire passer le sens derrière des sujets par nature très austères.
Voyez-vous un intérêt aux approches de serious gaming ?
Stéphane Tournadre. Selon les cibles, l’efficacité est très variable. Chez Servier, nous avons une forte culture orale et mail, mais peu de gamers. Un aspect un peu ludique n’est jamais malvenu mais il faut le faire coller à la culture d’entreprise. En septembre, nous avons par exemple organisé un évènement à base de réalité virtuelle pour accompagner le lancement de notre prochain module. Il permet de se mettre dans la peau d’un hacker, afin de comprendre comment l’attaquant pense et ce qu’il cherche chez un utilisateur, sur son bureau, dans ses documents… Cela provoque des discussions, des réactions et fait naître des idées chez les collaborateurs qui se sentent challengés. Et c’est aussi comme cela que l’on forge de l’intelligence collective.