Rencontre avec Arnaud Ageneau, co-gérant d’Ageneau Group, qui nous partage son retour d’expérience sur la mise en place de la solution de gestion des mots de passe LockPass, les bonnes pratiques adoptées pour sécuriser l’entreprise et sensibiliser les collaborateurs aux enjeux de la cybersécurité.
Bonjour Arnaud, pouvez-vous vous présenter et présenter Ageneau Group ?
Ageneau Group1 est une entreprise de 600 salariés, implantée dans les Pays de la Loire avec des agences à Cholet, Tillières, Nantes, Angers, Le Mans, Les Herbiers et Paris.
Notre cœur de métier, c’est le transport de marchandises générales, avec une flotte de 350 camions. Nous transportons aussi bien des produits industriels que de l’alimentaire, ou encore des matériaux.
Nous avons aussi une activité logistique, avec 130 000 m² d’entrepôts de stockage de marchandises très variées.
Et enfin, nous sommes le premier transporteur à avoir été agréé : centre de formation pour les métiers du transport et du BTP. Le but, c’est vraiment de servir la profession et de proposer une formation de qualité.
Aujourd'hui, nous sommes cinq gérants, dont trois issus de la même famille. Deux autres personnes nous ont rejoint, Alexandre Pasquier, avec les transports Pasquier, et Ludovic Brin - qui est dans l'entreprise depuis ses 18 ans - directeur financier. Mon rôle dans l’entreprise, c’est l’amélioration des processus, les achats et tout ce qui touche à l’informatique.
Il y a environ 4-5 ans, j’ai commencé à m’occuper du dossier cyber. Nous nous pensions à l’abri car cela faisait plus de 12 ans que nous étions chez Sigma2 à Nantes, en infogérance, avec l’hébergement de nos données en data center.
Mais lors d’une réunion, notre partenaire Sigma nous a expliqué que les technologies avaient beaucoup évolué et que les attaquants aussi avaient fortement progressé. L'une des failles qui nous paraissait la plus importante et à adresser rapidement, c'est le phishing avec le risque de récupération des identifiants et des mots de passe.
On a beau sensibiliser les collaborateurs, faire des campagnes de phishing, il y aura forcément un jour où quelqu’un va se faire piéger. Donc, si on n’a pas mis en place les protections nécessaires pour se défendre, on est vulnérable.
Qu'est-ce qui fait, selon vous, que le secteur du transport s'équipe de plus en plus sur les thématiques de la cybersécurité ?
La prise de conscience autour des enjeux cyber dans le secteur du transport est progressive. Tous les acteurs ne sont pas encore sensibilisés au même niveau.
Chez Ageneau Group, nous faisons partie d'un groupement national de 70 transporteurs qui s'appelle Tred d'Union3, dans lequel il y a une commission informatique qui milite fortement pour la sensibilisation de nos pairs aux enjeux de la cybersécurité. À chaque assemblée générale et réunion régionale, il y a un rappel pour que les entreprises mettent vraiment la cybersécurité au-dessus de la pile.
Et c’est là que parfois, il reste un travail à faire auprès des dirigeants, qui ont du mal à percevoir la valeur et l’impact direct sur le business de ces projets.
En tant que transporteurs, nous faisons partie du périmètre du règlement NIS2 qui devrait s’appliquer d’ici la fin de l’année, mais nous n’avons pas attendu que l’État nous impose d’être plus vigilants sur notre cybersécurité pour commencer à l’être.
Pour nous, la priorité, c’est vraiment de protéger l’entreprise. Nous savons que nous pouvons être attaqués à tout moment, c’est important de rester vigilant et de garder un temps d’avance pour limiter les risques au maximum. C’est dans cet objectif que nous avons choisi LockSelf pour sécuriser la gestion des mots de passe. Pour les autres volets de notre sécurité (EDR, SIEM, XDR), nous nous appuyons sur Sigma, avec qui nous organisons des réunions mensuelles, qui nous permettent d'avoir un suivi assez efficace sur les éléments de sécurité sur lesquels être vigilant et les nouvelles actions à entreprendre ou à renforcer. L’idée, c’est de rester constamment à l’affût et de réduire le plus possible les risques.
Vous avez donc priorisé la gestion des mots de passe, quelles étaient vos problématiques principales ?
Comme vous le savez, les collaborateurs ont souvent pour habitude, par souci de simplicité, de mettre le même mot de passe partout, parfois identique pour le perso et le pro. Ce qui veut dire que, dès qu’un compte est piraté, les attaquants récupèrent les identifiants et vont ensuite les tester sur tous les sites connus.
Avant le déploiement de LockPass, comment gériez-vous les mots de passe en interne ?
Fichiers Excel, navigateurs (Google), bloc-notes sur les écrans, ou sur des fichiers plus ou moins sécurisés. Une gestion assez classique, sans outil dédié à disposition des collaborateurs. C’est humain, on va au plus simple. Mais ce n'est pas l'idéal quand on rentre dans des problématiques cyber plus poussées. Nous avions besoin d'uniformiser et de sécuriser les pratiques autour des mots de passe tout en restant simple d'utilisation pour nos équipes. LockSelf offre cette simplification et une adhésion rapide à l'outil. Aussi bien la direction que les collaborateurs y ont tout de suite trouvé un vrai intérêt.
Pourquoi le choix de LockPass ? Quels sont, selon vous, ses avantages ?
À l'époque, nous avions d’abord testé KeePass, essentiellement parce qu'il était gratuit. Ensuite, nous avons utilisé la version pro, mais il n'y avait pas de fonctionnalité de partage sécurisé et l'ergonomie n'était pas au rendez-vous.
Nous avons donc testé LockSelf et l'ergonomie nous a tout de suite séduit ! Les échanges avec les équipes ont été constructifs. Le coût nous a également paru correct. Entre les fonctionnalités que nous n’avions pas avant et ce partage de mots de passe qui nous fait gagner du temps : c'est un investissement très pertinent en entreprise.
Nous avons choisi LockPass car c’est une solution française en mode SaaS qui répond à nos exigences et aux normes dont nous avons besoin. Nous privilégions systématiquement des outils français ou européens (à l’exception de Microsoft). Cela fait maintenant trois ans que nous l’utilisons, et nous venons de renouveler pour cinq années supplémentaires.
Comment avez-vous organisé la mise en place, la gestion de LockSelf ainsi que la structuration des accès chez Ageneau Group ?
Nous avons un service informatique, avec une personne dédiée à l’infogérance, qui assure notamment le suivi de LockSelf, en coordination avec Fabien, gestionnaire de projets informatiques.
LockSelf est déployée auprès de nos 160 collaborateurs sédentaires qui disposent d’un poste informatique. Les conducteurs, eux, n’ayant pas accès aux serveurs, ne sont pas concernés.
Les accès sont structurés sur LockSelf en cohérence avec notre organisation existante. Nous avions déjà un serveur de fichiers partagés avec des accès à chaque dossier par rapport au profil des sédentaires et aux accès dont ils ont besoin. Nous avons donc recréé la même nomenclature et structure, dans laquelle un collaborateur de la comptabilité, par exemple, a accès aux dossiers comptables.
Comment avez-vous réussi à faire adopter le plus rapidement possible l'outil par les collaborateurs ?
Comme chaque nouvel outil ou changement à intégrer, certains collaborateurs sont réticents. Mais aujourd’hui, si je leur disais que l'on retire LockSelf, je pense que les équipes s’y opposeraient. Tous ont bien compris que cet outil nous fait gagner du temps et protège l’entreprise. On est vraiment gagnants sur les deux tableaux.
Pour faciliter l’adoption, la première chose en place a été la formation et l'encadrement par LockSelf : expliquer le logiciel, la démarche. Ensuite, pour s’assurer que chacun le prenne en main correctement, Fabien a pris le temps de passer voir les utilisateurs individuellement. C'est cet accompagnement par les équipes de LockSelf et nos équipes internes qui ont facilité l'adoption rapide de LockPass.
Aujourd’hui, la présentation de l’outil fait partie du parcours d’accueil des nouvelles recrues. Dès leur arrivée, on leur présente LockSelf comme un outil obligatoire. Comme les mots de passe sont déjà partagés par équipe, ça leur permet d'avoir tout de suite accès aux mots de passe, et de prendre en main leurs missions très rapidement. Et lorsque des collaborateurs sont en congé, la bonne nomenclature et l’organisation des mots de passe par service permettent à l’équipe de gagner beaucoup de temps.
Nous avons également mis en place une campagne de sensibilisation en continu. LockSelf nous envoie régulièrement des communiqués par mail, et Fabien les réutilise en interne pour continuer à sensibiliser les équipes.
Avez-vous mis en place d'autres bonnes pratiques pour faciliter l'adoption ?
Effectivement. Nous avons installé le plugin directement sur nos serveurs et mis en place le SSO pour l’identification automatique, afin que l’accès ne soit pas perçu comme une contrainte pour les collaborateurs.
Nous avons également installé la MFA obligatoire, principalement pour les dirigeants, car nous savons que nous sommes les premières cibles des attaques.
C’est indispensable, d’autant plus que nous constatons régulièrement des tentatives de phishing, des appels frauduleux pour des virements visant les stagiaires. Classique, mais cela nous rappelle l’importance de la vigilance et de la formation.
Ce qui est bien avec LockSelf, c’est qu’il y a des tableaux de bord qui nous permettent de voir qui utilise le logiciel et qui ne l’utilise pas. Cela nous aide à relancer les collaborateurs, à rappeler que son utilisation est obligatoire, et que le stockage des mots de passe dans les navigateurs comme Google est interdit.
Quelles sont les prochaines étapes pour renforcer votre sécurité ?
Même si nous avons déjà élevé notre niveau de sécurité, il faut toujours prévoir le pire. Maintenant, nous passons à l’étape suivante : renforcer la sensibilisation et avancer sur le Plan de Continuité d’Activité (PCA). Dans NIS24, on a toute une notion de continuité des activités et d'assurer un minimum de continuité vitale sur notre secteur. Voilà, nos deux gros sujets à venir.
D’ailleurs, même pour les personnes qui ne seraient pas réglementées, ça vaut le coup de jeter un petit coup d'œil parce que ça donne effectivement plein de bonnes pratiques et un sens des priorités sur ce qu'il est bon de mettre en place pour protéger nos entreprises respectives par rapport à ces nouvelles menaces cyber qui, avec l'intelligence artificielle, montent en puissance assez rapidement.
_____
Merci Arnaud !
Sources :