“Il y a bien entendu un grand nombre de risques au sein d’une entreprise, dont le fameux risque financier. Néanmoins, le risque IT et le risque cyber sont devenus, en quelques mois, les risques numéro 1 de la liste.”
Arriver dans une entreprise au début de la pandémie de Covid-19 en tant que DSI d’une ETI bien implantée mais immédiatement être confronté à une cyberattaque massive durant cette période si particulière. Voilà le contexte dans lequel a dû travailler Sylvain Coquio durant plusieurs mois. Celui-ci est revenu sur les enjeux de la cybersécurité pour les ETI et plus généralement dans l’entreprise et sur la place prédominante de l’IT. La cybersécurité est l'un des enjeux majeurs vers le passage à l'industrie 4.0.
Sylvain Coquio est le DSI du groupe Manutan depuis maintenant près de deux ans. Avant cela, il a occupé différents postes de DSI dans de nombreuses entreprises comme SFR, TALLY WEiJL, Louvre Hotel ou bien ARBUEE. Il a, par moments, été le responsable de la transformation digitale de ces organismes. Aujourd’hui, il est confronté au défi de la cybersécurité.
I) Les deux piliers de l’entreprise : le digital et la supply chain. Dans cette partie, Sylvain Coquio nous explique comment Manutan a pris le chemin du digital il y a une décennie pour optimiser sa supply chain. Une transformation qui a eu des bons mais également des mauvais côtés.
II) Victimes d’une cyberattaque, quelles leçons l’entreprise et la DSI ont retenu ? À cause d’une vulnérabilité dans leur SI, Manutan s’est fait attaquer et a été paralysé pendant plusieurs semaines. Comment l’entreprise s’en est-elle sorti ? Quelles leçons a-t-elle tiré de cette mésaventure ?
III) S’adapter pour être au plus près de la cybersécurité. Une cyberattaque massive est un véritable électrochoc, certes, mais attention à ne se pas perdre en prenant n’importe quelle mesure pour renforcer la cybersécurité ! Retrouvez les conseils de Sylvain Coquio en matière d’adaptation.
L’entreprise Manutan, grâce à sa croissance organique et externe, est aujourd’hui, le leader européen du retail B2B spécialisé dans la vente de produits de classe C (produits non productifs et services) en tant que distributeur.
Elle se découpe en trois grandes activités : une pour les entreprises (de toute taille), une pour les collectivités locales, et une qui vise les artisans. Le nerf de la guerre pour Manutan (et pour sa DSI) consiste à référencer l’ensemble de ses produits, de ses services et de ses fournisseurs. Le cœur de métier est donc en lien avec la logistique, la supply chain, afin de livrer les produits dans les temps.
Selon Sylvain Coquio, le digital est désormais dans les gènes de l’entreprise, au même titre que la gestion de la supply chain. L’entreprise a sept entrepôts en Europe qui permet d’alimenter l’ensemble de ses clients dans tout le continent. C’est grâce à la complémentarité du digital et de la supply chain et à leur uniformisation que l’entreprise peut réussir à livrer l’ensemble de ses produits en temps et en haute.
La présence de l’IT au sein du Comex est une véritable force selon lui. Le fait que la DSI ait la parole dans le comité qui prend les décisions phares de l’évolution de l’entreprise est un pas majeur dans la compréhension des enjeux IT pour une société.
Pour Sylvain Coquio, si une ETI n’accorde pas un grand budget à la cybersécurité, une grande énergie pour maintenir l’infrastructure SI en place, et que le responsable de l’IT/de la transformation digtale/le DSI n’est pas au Comex, l’entreprise ne pourra jamais prétendre à la même dynamique que celles ayant déjà enclenché leur transformation numérique.
L’entreprise s’est confrontée à une première “crise”, à savoir celle du Covid. Sylvain Coquio est arrivé au sein de Manutan au moment exact où l’ensemble des employés ont dû basculer vers le télétravail. Cela a été un premier défi pour lui. Il s’est par la suite, attelé à l’articulation des différents projets. Plutôt fonctionnel depuis le passage de l’entreprise vers le digital, ce qui a permis à l’entreprise d’acquérir une base, cela a engendré la création d’un SI plutôt obsolète, qu’il a fallu mettre à jour mais qui, surtout, proposait des vulnérabilités.
II) Victimes d’une cyberattaque, quelles leçons l’entreprise et la DSI ont retenu ?
À cause du trop grand nombre de serveurs exploités par Manutan, ces derniers ont été les victimes d’une cyberattaque massive, paralysant l’entreprise pour quelques semaines.
Tout d’abord, l’entreprise a été sauvée grâce à quelques choix qui avaient été faits auparavant en matière de cybersécurité, notamment en ce qui concerne le backup. Cela a permis à l’entreprise de retrouver la quasi-totalité de ses données stockées avant l’attaque.
Bien entendu, l’entreprise s’est servie de cette cyberattaque pour mener des projets structurants qu’ils n’avaient pas priorisé initialement : grands programmes de refonte recommandée par l’ANSSI au niveau de l’infrastructure (réseau, serveur), mise en place d’outils de sécurité, recrutement de nouvelles personnes, migration des outils, etc.
Sylvain Coquio considère que la prise de conscience s’est faite sur plusieurs aspects :
Manutan est irrémédiablement rentré dans l’ère de la cybersécurité. L’entreprise a mis en place de nombreux processus pour sensibiliser les employés à cette problématique tout en faisant en sorte qu’elle ne soit pas non plus, omniprésente.
Après cette cyberattaque, Manutan a lancé des campagnes de formation. Tout nouvel employé doit passer un test après cette formation afin d’être sûr qu’il ait bien compris tout ce qu’on attend de lui autour de la cybersécurité. S’il ne réussit pas le test, il doit à nouveau réaliser cette formation. Chaque année, tous les employés de Manutan suivent à nouveau et obligatoirement cette formation autour de la cybersécurité et sur le RGPD.
La direction générale s’associe avec la direction des ressources humaines et la direction des systèmes d’information pour la mise en place de ces formations régulières. En plus de leur présence dans le comité exécutif, on retrouve également une nouvelle direction, le MBT pour Marketing Business Technology.
Sylvain Coquio s’appuie également sur le retour d’autres DSI, et sur le soutien des clients et des entreprises partenaires qui comprennent et qui n’hésitent pas à aider. Il considère qu’il faut plus que jamais être transparent sur ce genre de situations et échanger avec des experts afin d’avoir leur point de vue.
L’entreprise a notamment avancé sur le usecase avec la mise en place de design review, une sorte de table ronde qui regroupe toutes les parties prenantes de la mise en place d’une solution : RSSI (pour s’assurer de la viabilité de la solution), data architect, direction métier, DSI, et même une juriste qui s’assure de la conformité de la solution. Il y a aussi une DPIA pour assurer que le traitement mis en œuvre respecte la RGPD en matière de data privacy.
Enfin, il n’a pas hésité à demander au comité de direction, s’il était possible de recruter afin de pallier à la mise en place de son nouveau schéma directeur, très tournée vers la cybersécurité. Les enjeux en lien avec le recrutement sont très complexes pour Sylvain Coquio qui considère qu’il doit travailler en étroite collaboration avec les ressources humaines afin de recruter les personnes adéquates pour son projet directeur.
Savoir se relever après avoir subi une cyberattaque n’est pas une mince affaire, tout comme mettre en place une série de mesures pour faire en sorte que cela ne se reproduise plus. Sylvain Coquio a su rebondir après avoir vécu cette difficile épreuve quelques semaines seulement après son arrivée en tant que DSI du groupe Manutan. Il a immédiatement remarqué et saisi la culture digitale qu’incarne l’entreprise et l’a prise en compte pour mettre en place des projets structures pour la dynamique de l’entreprise.
Bien entendu, après avoir subi une cyberattaque massive, ce schéma directeur est tourné vers la sécurité du SI mais il ne faut pas oublier les fondamentaux : réseaux, serveurs, outils à destination des directions métiers, maintenance, support, relations avec les directions, etc. La stratégie qu’a mis en place Sylvain Coquio prend en compte tous ces aspects.
Le podcast pour comprendre comme le métier de DSI est en train de changer. D'un métier technique à un métier orienté business, le DSI est la clef de la transformation de nos entreprises.
Chaque semaine, Bertran ruiz discute avec les CIO et DSI qui se livrent, et vous partagent leurs expériences. Un condensé de savoir et d'apprentissage.