Cybersécurité : Pourquoi infogérer la sécurité du système d’information ?

Solenn Eclache
22 novembre 2017

Share on LinkedInShare on FacebookTweet about this on Twitter

Philippe Caille, Chief security officer des Laboratoires Pierre Fabre, partage dans le carnet d’expériences sécurité réalisé par Alliancy le mag son approche pour externaliser sa SSI et décrit ce qui l’a motivé à faire appel à un prestataire pour y parvenir.

Pourquoi le groupe Pierre Fabre a-t-il souhaité externaliser une partie de sa SSI ?
Pierre Fabre est un groupe mondial qui compte plus de cinquante points de présence dans 45 pays. Au niveau de l’organisation de son système d’information, l’entreprise repose sur des SI locaux dans une dizaine de pays, en plus de notre structure française. Nous venons d’un univers où tout a toujours été très contrôlé et maîtrisé, mais depuis quelques années les nouveaux usages connectés se sont installés massivement à tous les niveaux de l’entreprise. C’est une accélération généralisée qui transforme nos façons de travailler, notre SI… toute notre activité. Nos utilisateurs accèdent dorénavant de partout au WAN (réseau étendu) et à Internet, ce qui n’est pas sans conséquence. D’un point de vue sécurité, il a donc fallu s’adapter complètement. Dans le cadre de notre défense périmétrique historique, nous déployions des solutions sur chacune de nos filiales, au cas par cas, sans réel moyen de vérifier la cohérence des politiques locales et leur supervision. Cela représentait une certaine complexité que les nouveaux usages (applications SaaS, cloud, mobilité..) ont démultipliée… Pour gérer cette nouvelle complexité efficacement et ne pas nuire à notre productivité, nous avons décidé de faire appel à un prestataire pour changer notre approche de sécurité. Nous avons retenu IMS Networks dans cette optique.

 

"Faire appel à un prestataire était le meilleur moyen pour mener une harmonisation auprès de filiales très autonomes"

Que peut changer la coopération avec un prestataire externe ?

Il va pouvoir tout assurer de bout en bout, alors que de notre côté nous ne sommes tout simplement pas dimensionnés pour cela, à la fois pour des raisons financières et de compétences. Même quand on a une personne en poste au niveau local, il y a une vraie problématique à appliquer de façon cohérente et homogène notre stratégie de sécurité par rapport aux multiples situations et solutions déployées dans chaque pays. Quand j’ai pris mon poste, j’ai rapidement vu que faire appel à un prestataire était le meilleur moyen pour mener cette harmonisation auprès de filiales très autonomes dont la sécurité de l’information n’était à l’évidence pas une priorité.

Est-ce le seul avantage ?

Il y a d’autres points positifs : nous profitons bien plus des avantages de la mutualisation que si l’on essayait de capitaliser par nous-mêmes sur autant de sources et de technologies différentes. C’est une expertise particulière et il faut le reconnaître. En la matière, notre prestataire a un fonctionnement qui fait qu’il peut être beaucoup plus efficace que nous. Un autre aspect, c’est qu’en règle générale, lorsque Pierre Fabre est attaqué, plusieurs de ses filiales sont visées. Il faut donc pouvoir amener des réactions en chaînes très rapides. Or, l’un des avantages de la mutualisation qu’applique un prestataire c’est qu’il peut ainsi améliorer sa proactivité. Nous l’avons clairement vu pour des attaques de type « ransomware » comme Wannacry et NotPetya il y a quelques mois : les premières entreprises et filiales touchées ont permis aux autres de mieux se protéger, par le biais des mises à jour et des reconfigurations proposées par les éditeurs et les prestataires de sécurité. Nous voulions profiter de cela également.

Comment savoir à qui faire appel sur le marché aujourd’hui ? 

Soyons clair : on ne sera pas forcément mieux servi chez les ténors de la sécurité. Nous avons cette expérience pour d’autres aspects de notre infogérance, et malgré notre taille, ne nous leurrons pas, Pierre Fabre ne pèse pas sur les choix de services ou de solutions des grands prestataires. Ceci dit, il n’y a pas que les géants sur le marché ! Il faut bien sûr que le prestataire ait atteint une taille critique, mais des acteurs moins imposants sont souvent plus souples et prompts à s’adapter aux spécificités d’un client. De plus, culturellement, Pierre Fabre accorde une grande importance à la proximité de ses partenaires. Et souvent des acteurs de taille un peu plus modeste valorisent énormément ce sens du dialogue et du contact humain. Quand on doit construire à l’échelle d’un groupe une vision plus efficace de la sécurité, tout en accompagnant le changement auprès de 50 filiales, ce n’est pas neutre ! 

Prévoyez-vous d’autres évolutions dans votre stratégie de sécurité ? 

En matière de cyber-défense, il vaut mieux s’attendre au pire. Quand on voit la croissance des crypto-virus entre 2016 et 2017, on ne peut être que persuadé que de nouveaux chocs ne t’arderont pas à arriver. Nous sommes donc en mode hyper-réactif. Et en ce sens, il est important de souligner que nous n’avons pas acheté une solution « exploitée par un tiers » : nous avons acquis un service complet sur lequel nous avons une attente explicite d’amélioration permanente et de conseils. Le but est de faire fonctionner un partenariat où IMS Networks nous propose des adaptations des services qu’elle nous fournit pour protéger et mettre en valeur nos métiers au quotidien, et ainsi garder un temps d’avance sur la menace. 

Au final, nos critères étaient clairs : nous voulions la prise en compte de notre dimension globale, une réactivité maximale 24*365, une véritable philosophie de service, et une expertise en sécurité à la pointe de la cyber-défense. Quand on a ces exigences et des moyens limités, un SOC externe est la seule solution. Pour la défense de nos SI, une réponse interne se limiterait probablement à une obligation de moyens, alors qu’IMS Networks s’est donnée une obligation de résultats, ce qui change tout.

Pierre Fabre est le deuxième laboratoire pharmaceutique privé en France et le premier laboratoire dermo-cosmétique en Europe et en Chine. Ses activités lui permettent de cultiver à la fois un ancrage régional et un très important développement international. Il fabrique ses produits essentiellement en France et les commercialise dans 130 Pays au travers de ses marques commerciales dont A-Derma, Ducray, Avène, Galenic, Klorane, René Furterer, Elancyl et Naturactive.

La rédaction d’Alliancy, le mag a mené l’enquête sur les impacts organisationnels et managériaux de l’infogérance de la sécurité du système d’information. Retrouvez cet interview et les témoignages de 9 responsables de la SSI qui sont allés au-delà de l’expérimentation dans ce carnet à télécharger :

Télécharger le carnet complet
pour découvrir toutes les interviews