Entretien et retours d’expérience avec Emmanuel Meyer, Responsable Sécurité des Systèmes d'Information chez Sogetrel, acteur français majeur sur les solutions télécoms, que LockSelf accompagne depuis 3 ans via son module LockTransfer.
Sogetrel est une ETI française indépendante qui, en plus de 35 années de conquête, est devenue un acteur national et reconnu sur le marché des télécoms, de la sûreté IP et des solutions digitales.
Riche de femmes et d’hommes partageant une même culture entrepreneuriale, Sogetrel a réussi à anticiper et accompagner les différentes révolutions technologiques et à en faire autant de leviers de croissance rentable.
Sogetrel intervient pour des clients publics et privés, locaux et nationaux, notamment pour le compte des opérateurs télécoms, des collectivités territoriales, des grands comptes et multisites, principalement dans les secteurs des télécommunications, de la défense, des transports, de l’industrie, du retail et de la banque.
Nous avons su tisser des relations durables et de confiance avec une clientèle toujours plus diversifiée.
Fort de plus de 4 000 collaborateurs et avec 95 implantations, le Groupe Sogetrel possède un maillage dense sur le territoire national, en Suisse et en Belgique pour être au plus près de ses clients. En 2019 le Groupe Sogetrel a réalisé un chiffre d’affaires de 640M d’euros.
En tant que RSSI, j’adresse deux sujets principaux :
Premièrement, la protection des données de l'entreprise, c'est-à-dire aider l'entreprise à protéger son capital informationnel.
J'ai une deuxième casquette concernant la protection des données personnelles, que ce soit celles de nos collaborateurs mais également celles que nos clients nous confient, en particulier celles de leurs abonnés puisque nous en avons besoin dans le cadre de nos prestations.
Cela se traduit tout d’abord par la mise en place d’une politique de sécurité de notre SI (PSSI) avec un engagement fort de la direction.
C’est le COMEX qui a impulsé la démarche au sein de Sogetrel au travers de la mise en place d’une équipe dédiée que j’encadre.
Cela se traduit également par la mise en place de bonnes pratiques périmétriques et de réseau. La DSI travaille notamment beaucoup sur des nouvelles solutions (sécurisation du réseau, SD-WAN) avec de la veille continue sur les solutions du marché.
L'objectif est d'avoir un système d'information à un niveau plus élevé que les standards de sécurité.
En termes d’outils, c'est finalement la combinaison d’une suite de solutions de sécurité, d’un arsenal de solutions complémentaires dont fait partie la solution LockTransfer sur la partie échange sécurisé de documents vers des tiers.
On se rend compte qu’en interne 95% des données transitent par des processus métiers qui sont sécurisés.
En revanche, comme dans tout process industriel, il y a des données qui ne rentrent pas dans les processus standards et bien souvent cela sort par les médias type mail ou transfert de fichiers et à ce niveau-là nous faisons face à l'imagination débordante des utilisateurs avec des échanges via clé USB, ou des solutions de partage « grand public » …
Si on ne donne pas de solution à l'utilisateur, il va les trouver lui-même et cela présente un risque fort pour nous.
Nous avons donc une politique en termes de filtrage puisque toutes les solutions de « files sharing » sont bloquées en standard. Ceci présente l’avantage de ne pas avoir trop d’informations qui partent sur des médias non sécurisés.
Nous ne pouvons pas bloquer les solutions qui ne nous conviennent pas sans proposer d’alternatives répondant à nos besoins de sécurité. Nous avons donc mis en place une solution de transfert de fichiers sécurisés, à savoir LockTransfer.
Notre politique est de ne pas utiliser de solutions grands publics, ne répondant pas aux attentes professionnelles.
En plus de la partie sécurité, l’autre besoin est la disponibilité puisqu’il arrive régulièrement que certaines de ces solutions grands publics soient victimes d’attaques, indisponibles pendant 12h, 24h, 48h et cela pose problème si ces solutions sont utilisées sur des process qui nécessitent justement de la disponibilité.
Au-delà des besoins, il y a aussi les enjeux liés à la protection des données personnelles. Je parle bien évidemment du RGPD qui se traduit concrètement pour nous par une augmentation des exigences de nos clients vis-à-vis des données qui nous sont confiées.
Le point de départ c’est la réglementation qui fait que Sogetrel, directement, doit se mettre à niveau sur ses propres données afin de nous assurer de leur protection. Mais l’essentiel des données que nous manipulons sont celles de nos clients, et là c’est au travers des exigences contractuelles que l’on remarque une vraie prise de conscience.
Il y a donc aujourd’hui des risques de sanctions si la mise en conformité du RGPD n’est pas respectée, avec un risque financier conséquent pour l’écosystème. Mais je crois que la notion de confiance numérique est également centrale, avec une balance entre défiance et confiance des utilisateurs vis-à-vis des solutions, et c’est à nous de placer le curseur sur la confiance avec des outils adaptés à leurs usages.
Je vais commencer par le périmètre le plus proche de mes fonctions, c’est-à-dire les équipes sécurité et la DSI.
Nous sommes amenés à manipuler des données sensibles puisque nous faisons des contrôles, des audits sur des configurations, des infrastructures de notre SI et nous devons assurer leur confidentialité.
Lorsque nous réalisons des tests externes d’intrusion par exemple, le partage de ces résultats avec nos tiers sont sensibles par nature, et passe par LockTransfer.
Deuxièmement, dans nos métiers de la sûreté, nous sommes amenés à échanger avec des clients et lorsque ces derniers n’ont pas de solutions à nous proposer, nous sommes force de proposition pour du partage sécurisé via LockTransfer. Ces échanges se font pendant ou post-projet.
Autre cas d’usage, au niveau de nos équipes commerciales, c’est l’utilisation des boîtes de dépôts cloisonnées dans le cadre d’appels d’offres. La solution nous permet de mettre à disposition les éléments du cahier des charges et de réceptionner de manière cloisonnée et sécurisée les offres des différents partenaires.
Le premier point est le volet ergonomie avec un « Look & Field » attractif et une facilité de prise en main.
Quand je présente la solution en interne, en 1min30 les collaborateurs sont autonomes sur l’outil.
L’autre dimension, c’est le fait d’avoir une solution 100% française avec la garantie d’un hébergement des données en France (Hébergeur : 3DS Outscale).
Enfin, c’est évidemment votre certification ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Sur des solutions de ce type, le fait d’avoir un hébergement en France avec une certification ANSSI sont deux axes très importants.
La sécurisation des échanges est donc à la fois le fruit d’une prise de conscience des DSI quant aux risques portant sur leur patrimoine informationnel, mais également d’un nouveau cadre réglementaire qui, par ruissellement, augmente le niveau d’exigence de l’ensemble de l’écosystème.
Face à ces enjeux, les organisations doivent embarquer leurs collaborateurs en proposant des outils adaptés à leurs usages.
Transfert avec protection par mot de passe, création d’espace d’échange sécurisé et cloisonné, intégration directe sur les clients Office et Gmail, LockTransfer permet de mettre en place des bonnes pratiques simplement tout en maintenant un niveau de sécurité élevé.