Négocier des contrats pour l’achat des matières premières d’un gel douche… difficile à première vue d’imaginer une activité plus éloignée de la cybersécurité dans une entreprise. Et pourtant !
Au sein du Groupe l’Occitane, Maxime Terrier, 45 ans, est non seulement Raw Material Purchasing Manager pour les laboratoires, mais également « Security Champion ». Cette responsabilité, qui est formalisée par une adjonction à la traditionnelle fiche de poste, fait de lui l’animateur clé d’une équipe métier sur les sujets liés aux pratiques de sécurité numérique et un relais privilégié en matière de sensibilisation et de formation.
Les métiers peuvent avoir des prédispositions naturelles pour la sécurité
« J’ai fait toute ma carrière dans les achats. Après 10 ans passés dans un laboratoire pharmaceutique et précédemment dans le secteur automobile, j’ai rejoint le service Achats de l’Occitane en 2012. Mon service effectue des achats auprès de fournisseurs de très nombreux pays », témoigne Maxime Terrier. S’il reconnaît ne pas avoir eu un historique « cyber » avant de devenir un ambassadeur pour la sécurité en interne à partir de mai 2018, il souligne que de nombreux métiers ont de fait des prédispositions naturelles pour s’engager sur le sujet. « Au sein d’un service Achats, tout le monde est amené à porter au quotidien une attention particulière à la sensibilité de l’information, car il est question de prix, de budgets, de stratégie d’entreprise très structurante pour le reste de l’activité. La dimension de confidentialité autour des contrats est également extrêmement forte et les paramètres techniques côtoient des sujets juridiques pointus », détaille-t-il.
De plus, les missions de dialogue et d’animation dévolues à un Security Champion au sein de l’Occitane, font échos à un certain nombre de réalités des « acheteurs ». « Nous sommes en contact avec tout un écosystème de partenaires très différents, des fournisseurs industriels mais aussi des juristes, des informaticiens, des experts internes comme externes. On attend de nous que nous puissions parler à la fois à un directeur général et à un expert technique si nécessaire. Et en tant que responsable achats, j’ai aussi des missions dites « méthodes et outils » qui doivent permettre d’améliorer l’accès à l’information et le fonctionnement quotidien des équipes. C’est une expérience utile sur la partie sécurité également », explique Maxime Terrier.
Les Security Champions sont le fruit d’un travail de fond du Groupe l’Occitane sur sa culture sécurité à l’ère numérique, au travers d’un programme intitulé « Sherpa », qui a valu à l’entreprise et à son directeur de la sécurité de l’information, Kevin Heydon, d’être récompensés par le prix des Assises de la Sécurité 2017. « Nous avons pris à contre-pied les préconçus sur la sécurité » avait alors précisé ce dernier à Alliancy.
Des ambassadeurs formés et coachés
Ces nouvelles missions confiées à des salariés volontaires au sein des équipes métiers ont pour vocation d’adresser un défi majeur de la transformation sécurité que connaissent les organisations actuellement : sortir la cybersécurité de sa réputation de sujet technique et établir un lien permanent avec les collaborateurs. Avoir des ambassadeurs issus des différents services de l’entreprise, qui portent le sujet de façon proactive auprès de leurs collègues, permet en cela de dépasser la simple étape de sensibilisation – nécessaire mais insuffisante au vu de l’état de la menace – pour aller plus loin dans l’engagement de tous les collaborateurs. Dans ce cadre, ceux-ci sont bien perçus comme autant de « derniers remparts » pour l’entreprise.
« Pour ces missions, c’est une capacité de communication, de pédagogie et une bonne légitimité – à la fois en termes d’ancienneté, de hiérarchie et d’expertise métier – qui sont recherchées. De mon côté, j’y ai vu une opportunité pour élargir mes connaissances et compléter de façon intéressante mon périmètre d’action au quotidien » décrit le responsable achats. Mais qu’est-ce que cela change dans son organisation personnelle ? « Au départ, j’avais surtout été interpellé par les messages et les opérations de sensibilisation sur la sécurité de l’information. Après avoir accepté de devenir Security Champion, j’ai été formé sur des sujets comme l’ingénierie sociale et la détection d’e-mails malveillants. Je suis également accompagné par un « coach » issu de la direction de la sécurité de l’information, avec qui nous faisons des points mensuels. Et à partir de là, j’ai tout simplement ajouté à mon quotidien le fait de mobiliser les équipes sur les formations proposées, tout en détectant et mettant en avant des cas concrets de problématiques de sécurité qui font immédiatement sens pour un service achats ».
Un tournoi pour fédérer les attentions
Souvent, il suffit d’ailleurs de détecter certaines appétences au sein des équipes pour provoquer l’engagement. Ainsi, de plus en plus de personnes commencent à se préoccuper des risques numériques dans leur vie personnelle. Le fait que leur entreprise se montre proactive et les accompagnes est donc bien perçu : la cybersécurité n’est plus seulement l’affaire des professionnels. Autre exemple cité par Maxime Terrier : « Les équipes d’acheteurs ont un certain sens de la compétition. Elles aiment les challenges. Je vous laisse donc imaginer leur motivation lorsque l’équipe Infosec a lancé un « Tournoi des équipes sensibles », qui consiste pour les participants à détecter dans leur quotidien de « fausses failles » introduites dans les systèmes ou les locaux qu’ils utilisent. Comme dans une démarche de team building, l’équipe qui en détecte le plus gagnera un prix, pour l’instant gardé secret ». Avec un tel « jeu » qui s’entremêle avec l’environnement quotidien, les équipes mettent à plat leur gestion de l’information : avec qui je partage les données ? Qui y accède ? Quelle est l’intégrité de l’information ?
« Non seulement, cela booste énormément la sensibilisation des acheteurs, mais en plus cela a permis de faire émerger un vrai plan d’actions à mon niveau, qui est alors bien reçu et accepté par une équipe devenue vigilante » se réjouit le Security Champion. Et presque sans s’en apercevoir, la sécurité passe d’un sujet abstrait à des réflexes opérationnels qui intègrent la culture d’entreprise.