Philippe Caille, Chief Security Officer des laboratoires pharmaceutiques Pierre Fabre revient sur sa prise de fonction et ses missions. Il nous explique pourquoi il lui a paru obligatoire de s’appuyer sur une approche externalisée de sa SSI, et décrit ce qui l’a motivé à faire appel à son prestataire actuel pour y parvenir. 

Alliancy. Pourquoi le groupe Pierre Fabre a-t-il souhaité externaliser une partie de sa SSI ?

Philippe Caille. Pierre Fabre est un groupe mondial qui compte plus de cinquante points de présence dans 45 pays. Au niveau de l’organisation de son système d’information, l’entreprise repose sur des SI locaux dans une dizaine de pays, en plus de notre structure française. Nous venons d’un univers où tout a toujours été très contrôlé et maîtrisé, mais depuis quelques années les nouveaux usages connectés se sont installés massivement à tous les niveaux de l’entreprise. C’est une accélération généralisée qui transforme nos façons de travailler, notre SI… toute notre activité. Nos utilisateurs accèdent dorénavant de partout au WAN (réseau étendu) et à Internet, ce qui n’est pas sans conséquence. D’un point de vue sécurité, il a donc fallu s’adapter complètement. Dans le cadre de notre défense périmétrique historique, nous déployions des solutions sur chacune de nos filiales, au cas par cas, sans réel moyen de vérifier la cohérence des politiques locales et leur supervision. Cela représentait une certaine complexité que les nouveaux usages (applications SaaS, cloud, mobilité..) ont démultipliée… Pour gérer cette nouvelle complexité efficacement et ne pas nuire à notre productivité, nous avons décidé de faire appel à un prestataire pour changer notre approche de sécurité. Nous avons retenu IMS Networks dans cette optique.

Que peut changer la coopération avec un prestataire externe ?

Philippe Caille. Il va pouvoir tout assurer de bout en bout, alors que de notre côté nous ne sommes tout simplement pas dimensionnés pour cela, à la fois pour des raisons financières et de compétences. Même quand on a une personne en poste au niveau local, il y a une vraie problématique à appliquer de façon cohérente et homogène notre stratégie de sécurité par rapport aux multiples situations et solutions déployées dans chaque pays. Quand j’ai pris mon poste, j’ai rapidement vu que faire appel à un prestataire était le meilleur moyen pour mener cette harmonisation auprès de filiales très autonomes dont la sécurité de l’information n’était à l’évidence pas une priorité.

Est-ce le seul avantage ?

Philippe Caille. Il y a d’autres points positifs : nous profitons bien plus des avantages de la mutualisation que si l’on essayait de capitaliser par nous-mêmes sur autant de sources et de technologies différentes. C’est une expertise particulière et il faut le reconnaître : en la matière, notre prestataire a un fonctionnement qui fait qu’il peut être beaucoup plus efficace que nous. Un autre aspect, c’est qu’en règle générale, lorsque Pierre Fabre est attaqué, plusieurs de ses filiales sont visées. Il faut donc pouvoir amener des réactions en chaînes très rapides. Or, l’un des avantages de la mutualisation qu’applique un prestataire c’est qu’il peut ainsi améliorer sa proactivité. Nous l’avons clairement vu pour des attaques de type « ransomware » comme Wannacry et NotPetya il y a quelques mois : les premières entreprises et filiales touchées ont permis aux autres de mieux se protéger, par le biais des mises à jour et des reconfigurations proposées par les éditeurs et les prestataires de sécurité. Nous voulions profiter de cela également…

>> Cette interview est extraite du Carnet d’Expériences Alliancy « Infogérance de la sécurité des systèmes d’information : quels impacts organisationnels et managériaux ? ».