Kevin Heydon, directeur de la sécurité de l’information du groupe français de cosmétique L’Occitane nous explique quelles sont les pratiques qui permettent à son entreprise de se doter progressivement d’une véritable culture de la sécurité à l’ère numérique.
| Cet article fait partie du dossier « Cybersécurité : 2018, année de changements ? »
Alliancy. Qu’est-ce qui a amené le groupe L’Occitane à se doter d’un directeur de la sécurité de l’information ?
Kevin Heydon. L’évolution de la menace en général et le contexte dynamique, et parfois complexe, du groupe : un directeur Infosec pouvait animer une vision transverse de nos enjeux de sécurité, pour protéger au mieux notre réussite métier. Suite à une première analyse de risques, nous avons donc créé le poste en veillant bien à lui faire porter la sécurité « de l’information », et non seulement la sécurité « des systèmes d’information », afin de bien inclure les dimensions humaine et organisationnelle dans notre approche.
Comment s’inscrit un tel profil dans l’organisation de l’entreprise ?
Kevin Heydon. C’est un éternel débat dans la communauté des responsables de la sécurité. Je suis rattaché à la directrice IT groupe car, dans notre perception, une grande majorité des informations que nous protégeons sont portées d’une manière ou d’une autre par notre IT : autant être intégré dans la DSI pour en constituer un véritable allié, plutôt que d’être perçu comme une sorte de « contrôleur externe ». Mon équipe contribue ainsi très tôt aux discussions, et la directrice IT a fixé l’enjeu de sécurité comme part de l’ADN – je la cite – des équipes IT. Nous partageons ainsi tous un même objectif : fournir un service sécurisé apportant de la valeur au métier.
Kevin Heydon. Le rattachement de la sécurité à la DSI fait souvent craindre un conflit entre les priorités d’un DSI et celle d’un responsable sécurité, avec une incapacité à faire bouger les lignes pour ce dernier. À mon sens, ce qui est important pour un CISO*, ce n’est pas tant son rattachement hiérarchique que les personnes auxquelles il peut parler aisément, à tout niveau de l’organisation.
En ce qui nous concerne, j’accède ainsi directement à la direction générale : elle est à l’origine de la fonction, la sponsorise et porte la gouvernance de la sécurité. J’informe aussi systématiquement et sans filtre une partie du board sur un rythme régulier, ce qui est un bon garde-fou contre toute dérive minimaliste.
Surtout, la sécurité n’a de sens que si elle permet d’atteindre nos objectifs métiers… donc plusieurs grands patrons métiers sont devenus des stakeholders de la sécurité de leur domaine – par exemple la Customer Experience. Nous échangeons sur leurs enjeux métiers et je contribue à leur vision en termes de sécurité, puis ils ont vocation à porter les arbitrages entre risques et opportunités si besoin.
Comment parvient-on à avoir une direction générale et un board mobilisés sur le sujet ?
Kevin Heydon. Il y a évidemment une question d’individus et de personnalités, mais plusieurs éléments peuvent faciliter la donne. En premier lieu, je discute métier et non technique : par exemple, plutôt que de parler ransomware, j’aborde l’impact de ne plus pouvoir proposer nos produits à nos clients. Ensuite, j’essaie d’éviter le syndrome « tour d’ivoire » : nous sommes une fonction support au moins autant qu’une fonction prescriptrice. Enfin, je tente de solliciter à bon escient les business stakeholders qui ont déjà toute leur stratégie métier à piloter. D’autant que nous sommes dans une pratique qui évolue sans cesse, dans une entreprise qui évolue sans cesse : la relation doit tenir dans la durée car c’est bien de changement de culture dont nous parlons.
Le Groupe L’Occitane
Création : 1976
Chiffre d’affaires 2016 : 1,3 milliards d’euros
Effectifs : 8600
Boutiques : 3000, dont la moitié en propre
En octobre 2017, vous avez précisément reçu le Prix de la Culture Sécurité décerné par les Assises de la sécurité et des systèmes d’informations à Monaco. Qu’avez-vous fait différemment ?
Kevin Heydon. Nous avons lancé un programme de sensibilisation nommé Sherpa, comme les guides de haute-montagne : comment aider les équipes du groupe à atteindre les sommets, nos objectifs métiers… tout en évitant les gouffres et les crevasses, les menaces. Au-delà du nom, nous avons donc voulu générer un effet d’entraînement. Pour y parvenir, nous avons proposé des ateliers sur la base du volontariat, pour commencer à provoquer l’adhésion. Ateliers durant lesquels nous avons ressenti un plaisir certain à prendre le contre-pied des éventuelles idées préconçues des participants, sur le fond comme sur la forme.
C’est-à-dire ?
Kevin Heydon. La sécurité ce serait forcément sérieux, donc barbant, technique, donc incompréhensible, et théorique, donc inapplicable dans la vraie vie. Si vous y ajoutez mon engagement au sein de la réserve opérationnelle de la gendarmerie nationale, donc rigoureux… pour ne pas le dire autrement, autant vous dire que la caricature était vite brossée dans l’inconscient collectif !
Plutôt que de nous bloquer à cause de ces idées reçues, nous avons tiré parti de la surprise en démontrant tout le contraire en séance. Nous avons débuté avec des cas métiers du quotidien plutôt que des cas techniques théoriques. Nous avons expliqué la psychologie derrière les attaques, la rentabilité financière que recherchent les criminels, les raisons pour lesquelles cela n’existe pas que dans les séries. Nous avons fait ressentir « en live » en quoi activer une macro Office peut aboutir au contrôle à distance de la webcam, sur un poste de démonstration : ceux qui l’ont vécu durant l’atelier s’en souviennent encore. Et surtout ils en ont parlé autour d’eux pendant plusieurs semaines !
Le pari du bouche-à-oreille a été tenu, et je crois que c’était la première étape vers une prise de conscience durable. Suite à la première session, les autres ateliers étaient remplis 30 minutes après avoir ouvert les inscriptions en ligne… et nous recevions des demandes pour de nouvelles places. Une fidélité s’est aussi créée au fil des différents thèmes, avec des collaborateurs pourtant très occupés qui s’inscrivaient tout simplement parce que c’était « utile tout en passant un bon moment ».
Quels conseils donneriez-vous pour permettre à d’autres entreprises de suivre ce chemin ?
Kevin Heydon. Je reste prudent avec les conseils, et lucide quant à tout ce qui reste à couvrir. Cependant, la colonne vertébrale de notre démarche, c’est le caractère très concret : apportons des réponses pragmatiques et des solutions applicables dans la vie de tous les jours. Si les collaborateurs peuvent transposer ces pratiques dans leur vie privée, et ont l’impression que ce n’est finalement pas si compliqué, alors ils s’en emparent volontiers. D’ailleurs, s’ils prennent les bons réflexes chez eux, l’entreprise s’en portera d’autant mieux ! La proximité des usages pro/perso aujourd’hui omniprésente dans les organisations n’est donc pas qu’un facteur de risque : c’est un levier formidable pour un CISO.
Ensuite, la sensibilisation grand public n’exclut pas la formation ciblée. Nous menons ainsi des actions beaucoup plus fines et contextualisées auprès d’équipes jugées sensibles, côté technique comme métier.
Vous avez notamment fait émerger des « security champions » dans les équipes métiers : quel est leur rôle ?
Kevin Heydon. Ce sont des collaborateurs volontaires, déjà jugés légitimes par leurs managers et leurs équipes, qui vont les aider au quotidien. Et il ne s’agit pas juste d’une idée au vol : ils ont tous un objectif formel qui reconnaît, et protège, leur engagement. Cela démarre tout juste mais cela fonctionne ! C’est une vraie fierté d’intégrer ainsi métier et sécurité, avec d’ailleurs des collaborateurs remarquables et des directeurs métiers qui ont tout de suite été enjoués à cette idée. Mais pour en arriver là, il a fallu travailler en amont : décrire le rôle, les moyens, les limites, la charge, etc. Et cela n’aurait probablement pas pris avant Sherpa. Autrement dit, la naissance de champions est autant le résultat d’un travail initial qu’une base précieuse pour la suite.
Comment voyez-vous la suite en matière de culture sécurité pour le groupe L’Occitane?
La première étape est toujours la plus facile et j’ai la chance d’avoir une équipe qui est sa meilleure publicité, car elle s’engage vraiment à fond au service du métier. Mais la clé est en fait de ne jamais arrêter la sensibilisation. Car même le plus enjoué des collaborateurs aura tout oublié en 6 mois si je propose toujours les mêmes ateliers sympas, mais auxquels il a déjà assisté.
Donc, charge à nous d’innover sur le contenu et les formats, pour passer et rappeler les messages sans lasser. Et pour suivre les progrès réalisés, ne nous trompons pas : l’indicateur n’est pas le nombre d’ateliers ni de participants, mais plutôt le taux de clic sur les mails de phishing. Et de manière moins formelle, quand on se déplace dans l’entreprise, que les collaborateurs vous identifient comme directeur de la sécurité, et qu’ils vous sourient en venant vous parler spontanément d’un nouveau projet… on comprend que la perception du sujet est en train de changer.
*Chief information security officer