Interview de Fabrice De Biasio,
DSI d’Europe Airpost
Propos recueillis par Dorian Marcellin
Quand La Poste se sépare, en 2008, de sa filiale de transport aérien, Europe Airpost, la rationalisation est à l’ordre du jour. L’approche sécurité de la société est aussi repensée. Explications de Fabrice De Biasio, son DSI.
Alliancy, le mag. Comment résumer les enjeux de votre compagnie en termes de sécurité ?
Fabrice De Biasio. Environ 70 % de nos équipes sont nomades et accèdent au système d’information (SI) par l’extérieur, parfois avec du Bring your own device (Byod). Notre SI est très ouvert et nous devons maintenir le bon équilibre entre fluidité des usages et sécurité. Le point critique est la nécessité d’une bonne transmission des données. Un délai ou un problème de fiabilité et c’est un avion qui reste au sol, avec une perte d’exploitation concrète à la clé. La gestion en temps réel est primordiale et nos appareils sont équipés de systèmes embarqués.
Vous êtes également 100 % virtualisés. Quel est l’impact sur le SI ?
Quand La Poste s’est séparée d’Europe Airpost, l’informatique était vue comme un centre de coûts, réduit à une fonction de support technique. Nous avons complètement inversé la stratégie, d’où un virage rapide vers la dématérialisation, achevé en 2010. Du point de vue de la sécurité, la priorité a été de rationaliser et de simplifier le SI, où tout était empilé, sans vision globale. Nous avons aussi repensé nos connexions, jusqu’à nous équiper d’une fibre noire dédiée, pour nous relier de façon sûre à notre prestataire cloud.
A quels risques devez-vous faire face ?
L’attaque extérieure a été identifiée rapidement comme le risque principal qui pourrait nous conduire au « black-out ». Nous avons simulé des intrusions et réalisé de nombreux tests pour redéfinir toutes les règles de sécurité. Notre point névralgique étant la transmission des données, nous les sécurisons avec un filtrage systématique et une authentification forte. Nous cryptons, par ailleurs, toutes les transmissions qui passent par Internet à l’aide de protocoles « https ». Les bases de données sont aussi cryptées.
Est-ce suffisant ?
Nous ne voulons pas non plus tomber dans la paranoïa. Le but est d’avoir des outils simples d’administration, qui ne complexifient pas à outrance le SI. Par exemple, nous nous sommes équipés d’un outil pour éviter toute redondance et mauvaise utilisation des paramétrages au niveau du firewall. A mettre trop de barrières dans tous les sens, le risque est de se coincer soi-même.
Les solutions du marché sont-elles à la hauteur de cet enjeu ?
L’offre est très large. Malheureusement, il n’y a pas d’autre choix que d’utiliser des produits différents pour couvrir tous les sujets. La clé est donc l’anticipation : savoir déterminer quand cela vaut la peine d’être en avance, en s’équipant d’une solution, et quand une offre trop exotique va nuire aux usages.
En simplifiant et en rationalisant, il est possible de gérer au mieux cette multitude. L’autonomie de la DSI d’Europe Airpost en matière de cybersécurité nous permet de faire valoir les sujets qui nous paraissent importants. Mais, pour en arriver là, il a fallu changer. La DSI a dû prendre un rôle de fournisseur de services dans l’entreprise et abandonner celui de « support ».
Votre vocation est donc d’avoir une vision globale ?
Tout à fait. Adopter une approche transversale est plus difficile que de régler au coup par coup les problèmes avec des rustines. Il faut mettre à profit l’adoption de cette culture d’usages métiers : le sujet sécurité ne s’est jamais aussi bien porté dans l’entreprise que quand il tient compte des aspects business.
En prenant un rôle plus proactif, d’architecte et de conseil, vis-à-vis de la direction notamment, nous avons gagné en pertinence, même s’il a fallu faire de la pédagogie. Au final, l’entreprise a gagné en fluidité, en fiabilité et en productivité.
Photo : Patrick Sordoillet
Cet article est extrait du n°6 d’Alliancy, le mag – Découvrir l’intégralité du magazine