Alain Rogulski est le Vice-Président Cybersecurity du Groupe Sodexo. Interviewé par Aurore Ominetti, directrice IBM Security France, lors de la webconférence IBM Think Digital, il est revenu sur l'importance de la cybersécurité dans le contexte actuel de crise sanitaire, détaillant également les différents volets que doit comporter un plan de cybersécurité.

« La transformation digitale est en marche depuis plusieurs années au sein du groupe Sodexo. Des métiers qui auparavant étaient éloignés de l'IT se sont fortement digitalisés. Aujourd'hui, les consommateurs commandent en ligne et paient avec leur téléphone par exemple. Ce constat se vérifie sur l'ensemble des métiers de Sodexo. Je n'ai donc plus besoin d'expliquer l'impact majeur que peut avoir un incident IT sur la capacité de Sodexo à fournir ses services. En tant que RSSI, mon rôle est désormais de rappeler que nous pouvons aussi connaître des incidents de sécurité. Les grandes cyberattaques médiatisées ont permis à la direction générale de mesurer l'impact potentiel des cyber-incidents. La cybersécurité est un sujet abordé dans le conseil d'administration, et je dialogue régulièrement avec le comité exécutif et les membres du conseil d'administration. Nous avons également mis en place un comité cybersécurité auquel participe une grande partie du comité exécutif. La quasi-totalité des fonctions du groupe y sont représentées : finance, ressources humaines, juridique, directions opérationnelles, communication, et bien sûr le digital et l'IT.

Mettre l'accent sur la coordination

Mon enjeu principal à l'heure actuelle est d'accompagner nos clients dans cette période de pandémie. Nous sommes confrontés à une crise sanitaire et non pas cyber. Celle-ci fragilise déjà les entreprises, il est d'autant plus important de se prémunir d'une crise cyber. Dans ce contexte, les interactions avec les différentes instances se sont intensifiées, afin notamment d'expliquer les risques que la situation actuelle génère au niveau cyber. La veille du confinement, nous présentions par exemple l'avancement du plan de cybersécurité, et la semaine qui a suivi la sortie du confinement, nous avons fait une présentation sur les risques cyber devant le comité exécutif. Ces actions ont permis de mobiliser les différentes équipes sur la préparation et l'anticipation. »

« Les programmes de cybersécurité sont classiquement très orientés sur la prévention des incidents, visant à mettre en place des mesures de sécurité et de protection pour minimiser cette probabilité. Dans notre plan de cybersécurité, nous avons intégré comme toutes les organisations une dimension préventive, mais petit à petit nous avons rééquilibré les ressources afin d'accorder une place équivalente à l'anticipation. Nous travaillons également sur l'impact des incidents, afin de le réduire au maximum si un incident survient. Nous avons par exemple mis en place un SOC (Security Operations Center) afin d'améliorer la détection et la réponse aux incidents. Depuis quelques années, des cyberattaques comme WannaCry montrent qu'un petit morceau de code peut mettre de grandes multinationales en grande difficulté. Ce constat nous a conduits à intégrer un troisième volet dans notre approche de la cybersécurité, celui de la résilience. Nous nous coordonnons également de façon étroite avec la cellule de gestion des crises chez Sodexo. En 2018, nous avons connu un incident localisé et identifié sur l'une de nos entités à l'étranger, sur une gamme de services très spécifiques et sans impact sur les activités. Cependant, nous avions sous-estimé la résonance qu'un tel incident pouvait prendre, notamment en dehors du pays concerné. Cette expérience nous a amenés à renforcer la place de la communication dans notre plan de cybersécurité. Enfin, ce plan est adapté en permanence en fonction des différents incidents observés, aussi bien en interne qu'en externe.

J'aurai aujourd'hui trois conseils à partager pour les organisations qui travaillent sur leur plan de cybersécurité. Tout d'abord, il est essentiel d'établir le plus tôt possible les différents comités décisionnels et opérationnels chargés de gérer les incidents, avec une forte coordination entre les différentes instances pour éviter de travailler en silos. En effet, on sous-estime souvent la pression à laquelle les équipes internes et externes sont soumises quand il faut rétablir des services. Ensuite, il faut de la discipline et de la rigueur dans l'exécution des actions, en respectant les rôles et les responsabilités définies au préalable. Enfin, il faut être capable de rester serein pour gérer les incidents. »