Arrivé en janvier 2017 au poste de Chief Information and Security Officer chez Lyreco, Cédric Voisin s’emploie à mettre de la cohérence dans la stratégie de cybersécurité du groupe, à la fois sur le plan technique et pratique. Alliancy s’est entretenu avec lui pour savoir où en sont ses principaux chantiers de transformation.

Alliancy, le mag : Quels incidents de cybersécurité avez-vous eu affaire depuis votre arrivée chez Lyreco ?

Cédric Voisin : En 2017, il y a eu la gestion de crise préventive en réaction aux campagnes de malwares PETYA. Mais il faut avouer que le secteur du B2B est un peu moins exposé que celui du B2C sur ces menaces. Aujourd’hui, les menaces classiques sont relativement bien gérées par notre système de sécurité mais nous avons encore à faire sur les menaces de phishing. Sur ce sujet, la sensibilisation est ce qui fonctionne le mieux. C’est pourquoi un investissement très fort est mis en oeuvre pour favoriser l’acculturation des métiers sur ces menaces.  

Quelle est votre propre stratégie de gestion du risque ?

Il y a tout d’abord l’aspect technique à mettre en oeuvre et ensuite des pratiques. La gestion des patchs mais aussi la formation des équipes, l’exercice de réponse aux incidents… ce sont des basiques que nous avons insérés dès mon arrivée dans la stratégie de Lyreco. C’était d’ailleurs l’objet de mon recrutement. Comme d’autres structures qui opèrent dans ce marché du retail, Lyreco n’était historiquement pas très sensible à la cybersécurité. En deux ans, nous avons réussi à obtenir un niveau de sécurité très acceptable. Dans notre service de cybersurveillance, qui surveille l’empreinte du groupe sur internet et les failles, nous avons noté une nette baisse de l’exposition aux risques. Mais attention, ce n’est pas parce que nous avons sensibilisé tout le monde que nous sommes à l’abri du risque. Cette stratégie est définie en lien avec le comex pour s’assurer que l’écosystème reste sain. Même si nous n’échangeons pas de manière systématique – notamment parce que la première roadmap n’est pas encore terminée – le comex fait aujourd’hui preuve d’une très grande sensibilité sur la stratégie de cybersécurité du groupe.

 A découvrir sur Alliancy : le « Cahier spécial : le futur du Retail » 

Quelles sont les spécificités en matière de sécurité propres à votre marché ?

Dans notre activité, le plus important c’est l’écosystème de partenaires avec lequel nous travaillons. Nous avons un métier très lié à la logistique et donc nous avons plus de progrès à faire vis à vis de la confiance numérique. C’est très difficile à garantir dans un écosystème de partenaires qui changent régulièrement. Je dirais que c’est le plus gros du travail des RSSI dans le monde du retail. Pour Lyreco par exemple, il y a une très forte interconnexion avec les systèmes d’information de nos clients et les SI de nos fournisseurs. Nous représentons un tiers de confiance dans la chaîne. Il est donc primordial de s’assurer que les fournisseurs que nous connectons avec notre SI aient un niveau de sécurité acceptable pour ne pas mettre nos clients en danger. Nous utilisons trois critères de sélection selon la qualité du service ou produit (norme ISO9001), l’empreinte environnementale et la “sustainabilité” du business des fournisseurs (norme ISO14001) et le niveau de sécurité (norme ISO27001). Au total nous avons une liste de 240 points de contrôle que nous validons avec un partenaire avant de l’intégrer à notre écosystème.

Sur quels grands chantiers travaillez-vous en ce moment ?

Avant que j’arrive à Lyreco, il y avait déjà un chantier avec Fortinet (ndlr : éditeur de logiciels, équipements et services de cybersécurité) sur le renouvellement des protections périmétriques pour l’ensemble des filiales. Et en ce moment le nouveau chantier concerne le déploiement du SD-WAN (Software-Defined Wide Area Network) : une couche logicielle rajoutée dans les équipements réseau qui permet de faire un maillage logique des flux sortants.

C’est surtout utilisé avec le cloud pour assurer le renouvellement des paramètres de sécurité et s’adapter aux nouveaux usages. Par exemple, nous avions des liens dédiés pour connecter le siège avec ses filiales. Progressivement nous essayons de supprimer ces points dédiés en trouvant la meilleure solution pour connecter deux sites géographiques. Cela peut être des liens internet classiques via la fibre ou encore des liens 5G. Nous pouvons choisir le lien le plus à même de transporter nos flux en fonction de l’application utilisée.

Quelles sont les prochaines pistes ? 

Parmi les acteurs de l’industrie nous voyons énormément de transformation des métiers technologiques, même si leur coeur de métier n’est pas lié. C’est d’autant plus important dans un contexte de montée en puissance du cloud. Cet effort implique pas mal d’investissement en R&D. De notre côté, nous visons le “security by design & by default” et nous cherchons à l’automatiser dans la chaîne de développement pour arriver au stade de “DevSecOps”. En parallèle, nous avons développé nous-même un projet de “Software-defined network” (SDN), avec une chaîne de développement logiciel en DevOps. Cela est mené depuis 2 ans pour soutenir la transformation digitale. Le “SDN” permet de garder de la vélocité dans la mise en oeuvre de logiciels et c’est un très bon complément d’une approche “DevSecOps”. Il permet d’automatiser tout ce qui est ingénierie réseau de la sécurité.