Basé à Paris, Sanofi développe et produit des spécialités pharmaceutiques ainsi que des vaccins. Le groupe compte plus de 100 000 employés dans plus de 90 pays. En raison de son envergure et de son secteur d'activité, les décisions prises par ses organes de gouvernance peuvent avoir des impacts majeurs sur le plan concurrentiel, financier ou sur la recherche scientifique mondiale. Ce contexte impose un haut niveau de confidentialité pour toute l'information liée aux réunions de gouvernance. Pour répondre à cette exigence, Sanofi s'appuie sur la solution SaaS Oodrive Meet, qui sécurise l'organisation des réunions ainsi que les données associées.

Un grand nombre d'employés IT détiennent des droits d'administration sur les environnements du groupe, tandis que des prestataires externes gèrent l'infrastructure. Par ailleurs, les membres du conseil d'administration, dont 71% sont indépendants, disposent de leurs propres outils et environnements, sur lesquels l'équipe de cybersécurité de Sanofi ne peut intervenir. Pour limiter au maximum le nombre de personnes susceptibles d'accéder aux données des réunions de gouvernance, il faut donc que celles-ci puissent être gérées dans un environnement à part, maîtrisé par Sanofi et avec un nombre très restreint d'administrateurs.

Le SaaS pour un outil à jour en permanence

Précédemment, le groupe utilisait une solution hébergée sur site pour répondre à ces besoins. Toutefois, celle-ci était en voie d'obsolescence, de même que l'infrastructure qui l'hébergeait. « Pour une petite équipe qui a beaucoup à faire, cela n'a pas de sens de passer 15 jours par an à entretenir une infrastructure obsolète », témoigne Wilfried Laumond, responsable cybersécurité, risques et conformité chez Sanofi. « Nous nous sommes fixé l'objectif d'avoir un environnement unique, dédié et sécurisé pour le partage des données, avec un accès limité à moins de dix administrateurs. Seules les personnes qui ont besoin de voir les données confidentielles devaient pouvoir y accéder », explique Wilfried Laumond.

Pour disposer d'une solution maintenue constamment à jour, Wilfried Laumond et son équipe ont choisi de se tourner vers une solution en mode SaaS, Oodrive Meet, qualifiée par l'ANSSI dans le référentiel SecNumCloud. « Les entreprises déploient constamment de nouvelles solutions, mais ne prévoient pas toujours de budget pour les gérer au fil du temps, de sorte que certaines mises à jour peuvent être manquées, ce qui augmente le risque de rencontrer des problèmes de sécurité. Les solutions SaaS sont un moyen intelligent de gérer ce problème d'obsolescence, qui présente des risques réels pour la cybersécurité », estime le responsable cybersécurité. Oodrive Meet permet de gérer dans un même environnement l'organisation et la tenue des réunions, depuis l'envoi des invitations et des documents jusqu'aux votes et aux droits d'accès. Pour convaincre les utilisateurs, habitués à l'ancienne solution, de changer d'outil, l'équipe de cybersécurité s'est appuyée sur des références clients dans d'autres grands groupes européens, ainsi que sur l'expérience de certains administrateurs qui avaient déjà utilisé Oodrive Meet. Le fait qu'il s'agisse d'un fournisseur de cloud français, veillant à ce que ses logiciels, infrastructures et autres systèmes ne tombent pas sous le coup du Cloud Act ( (Clarifying Lawful Overseas Use of Data Act) américain, a également joué dans la décision.