En 2015, Engie Entreprises et Collectivités, la business unit chargée de la commercialisation des services énergétiques du groupe Engie aux professionnels, a décidé de réinventer son système d’information. A cette occasion, la double vision d’architecte et cybersécurité d’Alain Abenhaïm, son chief security information officer, a permis une transformation en confiance.

| Cet article fait partie du dossier « Sécurité : ceux qui font bouger les lignes »

Alain Abenhaïm, chief security information officer, Engie E&C

Le profil d’Alain Abenhaïm, 46 ans, a de quoi surprendre pour un chief information security officer (Ciso) exerçant au sein d’un groupe de 150 000 personnes comme Engie. Pour la business unit Engie Entreprises et Collectivités, qui commercialise les services énergétiques auprès des professionnels (hors TPE et multinationales), il porte en effet la double casquette de Ciso et d’architecte IT au sein de la DSI. Or, parmi les 25 Ciso du groupe, seuls 3 ont cette double responsabilité ; il est le seul en France. « Je viens du monde du développement et j’ai été amené dans ma vie professionnelle à piloter avant tout des équipes de développeurs. Ce n’est qu’ensuite que j’ai migré vers l’architecture applicative, puis l’architecture système » témoigne-t-il. Et la cybersécurité dans tout cela ? « J’y suis venu tardivement, en prenant cette responsabilité de façon un peu opportuniste, parce que la business unit en avait besoin. Au départ, je n’avais pas du tout conscience des nombreuses implications que cela pouvait avoir. D’ailleurs à part mon intérêt pour les technologies, je n’avais pas d’appétences particulières sur le sujet ! »

Pourtant, il ne regrette pas ce choix, pas plus que ses collègues, car une vraie complémentarité apparait entre ses missions relatives à la sécurité et celle liée à l’architecture du système d’information. « Aucun de nous n’avait à l’origine conscience de la profondeur de cette synergie. Mais très vite, cela a été une sorte de révélation. Et au-delà de mon ressenti personnel, ce sont tous les collaborateurs qui ont perçu cette nouvelle dynamique » se rappelle Alain Abenhaïm. Il poursuit : « Aujourd’hui, tout le monde est convaincu qu’il ne faut plus séparer les sujets d’architectures et ceux de sécurité, car leur complémentarité est trop critique dans la transformation de l’entreprise ».

Profiter de la réinvention complète du SI

Le sujet est d’autant plus important pour Engie E&C car la business unit a complètement réinventé son système d’information depuis trois ans. En 2015 en effet, l’entreprise prend conscience que son SI n’est pas structurellement fait pour assurer la conquête et la reconquête de clients, nécessaires après plus d’une décennie de libéralisation du marché de l’énergie. « Notre outil CRM notamment était obsolescent, et nous avions du mal à nous projeter sur la suite, car nous étions assez peu propriétaire de notre SI, dans un environnement IT très centralisé au niveau du groupe » détaille Alain Abenhaïm.  La rénovation du SI passera certes par un nouvel outil, mais aussi par une réappropriation des activités de développements et des opérations. Derrière, ce sont tous les processus IT, connectant les différents aspects de ce SI en réinvention qu’il faut revoir, pour en faire de véritables API internes. « Avant 2015, nous achetions ce service auprès du groupe. Nous étions dans une logique de flux de A vers B des connecteurs, mais cela ne nous permettait pas d’avoir une vision « écosystème » de notre SI, alors que c’est bien la compréhension de ces influences croisées qui reflètent les processus métiers de l’entreprise… On ne voyait que des fragments de l’activité, sans cohérence globale » décrit l’architecte.

La plateforme d’intégration cloud Dell Boomi est cependant choisi pour répondre à cet enjeu, fin 2015, après une première tentative avortée avec un autre partenaire. A un proof of concept de 15 jours, succède le 1er janvier 2016 les premières formations sur l’outil. Une semaine plus tard, les instances sont en production pour les développeurs. « A 30 personnes, nous avons ensuite développé en 9 mois plus de 250 processus critiques : master data management, contracting, pricing, facturation, customer care… Il ne reste aujourd’hui plus rien des anciens flux IT et nous avons enfin une vue d’ensemble de nos fonctionnements, mais aussi de notre potentiel pour continuer la transformation » explique Alain Abenhaïm.

Redécouvrir ce qui fait la criticité des systèmes

Quel impact un tel changement a-t-il d’un point de vue sécurité ? « En reprenant la maîtrise de notre architecture, nous pouvons beaucoup mieux surveiller les tenants et aboutissants de notre SI. Nous avons littéralement réappris à faire du « bel IT » et cela signifie également redécouvrir ce qui fait la criticité de nos systèmes : quel est notre cœur numérique et qu’est-ce qui doit être priorisé pour le protéger ? ». Autrement dit, la vision de l’architecte s’avère extrêmement structurante en matière de sécurité numérique globale. Et le changement majeur opéré en passant d’un système d’information vieillissante à un système s’appuyant sur une plateforme cloud d’intégration est l’occasion d’allier promesse d’agilité, de maîtrise et de sécurité. « Cela a été l’occasion de mieux détourer le système, sans pour autant se limiter comme souvent aux applicatifs. Avec les processus, on touche aux liens qui donnent sa forme et sa dynamique au SI. »

Une approche qui joue pour finir sur la performance du service numérique délivré aux clients et donc sur la confiance accordée par ceux-ci à l’entreprise. « Nos 300 processus sont exécuté 140 000 fois par jour et près de 2 millions de documents transitent également de façon quotidienne sur la plateforme… Ce n’est pas anodin, nous devons être en capacité d’assurer cette fiabilité, sans que cela soit un gouffre en termes de moyens, note le Ciso d’Engie E&C. Sur ce dernier sujet, le renouveau nous a ainsi permis de diviser nos coûts, alors qu’auparavant la seule maintenance d’un flux/processus nous coûtait 20 000 euros par an, sa gestion intégrale est dorénavant l’affaire d’environ 2 jour/homme. » L’architecte estime que ce parti-pris permet de se préparer à l’avenir : « La plateforme Dell Boomi est certes le cœur de nos API internes, mais elle nous permet également de gérer les API externes. Or, nous travaillons énormément avec des partenaires extérieurs et ouvrir ainsi le système d’information doit se faire en confiance ». Là encore, la double-casquette d’Alain Abenhaïm sera précieuse pour permettre d’affirmer une approche « security by design » dans la plus grande ouverture de l’entreprise sur son écosystème.