Sogetrel sécurise ses équipes avec LockTransfer et LockPass

Témoignages clients • 12 février 2025

Sogetrel - Emmanuel Meyer - RSSI

Présentation de la société Sogetrel

Bonjour Emmanuel, pouvez-vous nous présenter Sogetrel en quelques mots ?

Le groupe Sogetrel¹est spécialisé dans les services aux infrastructures numériques et équipements connectés.

Nous avons trois missions :

Connecter : à travers la construction des réseaux de communication.
Intégrer des solutions connectées : Smart City, Smart Building, bornes interactives, vidéoprotection.
Exploiter : installation, support et maintenance de ces réseaux et de ces solutions connectées.

Ces différentes missions viennent adresser trois cibles différentes :

Les citoyens : En contribuant à leur qualité de vie grâce à l’IOT et la vidéoprotection par exemple.
Les entreprises : en les accompagnant dans leurs performances grâce à nos offres réseaux.
Les collectivités : en assurant la durabilité des territoires à travers les Smart City.

Nous sommes aujourd’hui 4 000 collaborateurs implantés partout en France ainsi qu’en Belgique et en Allemagne.

Sogetrel, fort de ses 40 ans d’existence dispose d’un fort maillage national avec une centaine de sites en France, essentiel pour nos activités.

En tant que RSSI quel est votre périmètre d'action ?

Le poste de RSSI a été créé à mon arrivée en 2017. J’assure également les missions de DPO (Délégué à la protection des données). Le périmètre de mes missions s’étend à l’ensemble des activités du Groupe.

Comment est organisée la DSI chez Sogetrel ?

La DSI est organisée de manière matricielle et compte 130 collaborateurs.

Nous avons une organisation fonctionnelle par centre de compétences :

Les architectes du système d’information
L’équipe de gestion de projets
La gestion des infrastructures techniques
La gestion des infrastructures réseaux
L'ingénierie de développement
La sécurité des systèmes d’information (dont j’ai la charge en tant que RSSI)

et transverse pour être alignés avec les différentes business units de Sogetrel.

Cette organisation nous permet de répondre très concrètement aux besoins des métiers en collectant les besoins du terrain.

Cela nous permet aussi de faire monter en maturité les métiers, en les rendant responsables de leur SI. Ils ont leurs propres budgets et sont à même de choisir des solutions qui répondent à leurs enjeux tout en respectant les règles de cybersécurité établies. Les métiers ont dès lors une meilleure compréhension des enjeux, des exigences des clients, des prérequis en termes de sécurité par exemple.

Le métier est propriétaire de son S.I sur la partie fonctionnelle mais doit également arbitrer sur des sujets d’obsolescence de son SI que lui remonte la DSI. La DSI a quant à elle la charge de la maîtrise de l’infrastructure du S.I. Cela permet une vraie collaboration entre les métiers et la DSI.

Partage sécurisé de documents avec LockTransfer

Pourquoi avoir fait le choix de déployer LockTransfer, quels étaient vos enjeux autour du partage sécurisé de documents ?

Nous avions besoin d'apporter une solution qui réponde aux enjeux de confidentialité et de traçabilité sur des échanges d'informations sensibles et volumineux.

Sans solution validée en interne à leur disposition, les équipes métiers étaient susceptibles d’utiliser des outils non-sécurisés tels que WeTransfer ou GrosFichiers.com. En termes de politique cyber, ces solutions grand public ne répondent pas aujourd’hui aux enjeux professionnels de sécurité de l’information. Nous devions apporter un outil qui nous donne des garanties en termes de confidentialité, de contrôle et de traçabilité des envois et des téléchargements.

WeTransfer est donc entièrement bloqué pour l’envoi de documents grâce à la solution de filtrage web Netskope².

Désormais nos équipes ont l’équivalent d’un WeTransfer, en termes de simplicité pour l’envoi de fichiers volumineux, mais professionnel et sécurisé qui s’appelle LockTransfer.”

Désormais nos équipes ont l’équivalent d’un WeTransfer, en termes de simplicité pour l’envoi de fichiers volumineux, mais professionnel et sécurisé qui s’appelle LockTransfer.

Au départ l’usage était ciblé pour des collaborateurs très précis, manipulant des documents particulièrement à risque. Aujourd’hui l’utilisation de LockTransfer dans l’entreprise s’est généralisée et l’outil est déployé à toutes les équipes. L’ensemble des échanges en interne et vers l’externe sont ainsi sécurisés et bénéficient d’une traçabilité fine.

L’utilisation de LockTransfer est également devenue un atout commercial, démontrant la maturité cyber de Sogetrel, notamment dans le cadre d’échange de fichiers pour des appels d’offres. L’utilisation d’un outil sécurisé et français pour partager des informations confidentielles avec des partenaires et clients crée un climat de confiance, propice aux affaires.

LockTransfer nous permet de répondre à deux cas d’usages :

1. Envoyer des fichiers de façon sécurisée, en assurant la traçabilité des actions.
Les équipes utilisent aussi beaucoup le plug-in Outlook de LockTransfer pour chiffrer des pièces jointes à la volée directement dans leur messagerie.

2. Réceptionner des documents de la part de nos partenaires ou clients, en garantissant également la sécurité et la traçabilité des données échangées grâce à la fonctionnalité “Boîte de dépôts”.

Ces “Boîtes de dépôts” nous permettent de mettre à disposition de nos partenaires et clients des espaces dédiés pour qu’ils puissent nous partager eux aussi des fichiers en toute sécurité. Très utile dans le cadre de projets longs termes ou nécessitant un volume important d’échange de documents.

Chaque mois, nos équipes utilisent une centaine de boîtes de dépôt sécurisées, facilitant ainsi une collaboration fiable et confidentielle avec nos diverses parties prenantes. Ce système robuste garantit un échange d'informations fluide et protégé, renforçant la confiance et l'efficacité dans nos partenariats professionnels.

Traçabilité-boîte-de-dépôts

De LastPass à LockPass

Avant la mise en place de LockPass vous utilisiez LastPass : pourquoi ce changement ?

La mise en place de LastPass est venue d’un cas d’usage métier, avec un besoin identifié de mettre en place un gestionnaire de mots de passe. L’idée était également de réaliser un déploiement plus large pour permettre à chaque collaborateur de sécuriser ses mots de passe professionnels.

Dans un premier temps nous avons donc choisi LastPass sur un engagement de trois ans, avec l’intégralité des fonctionnalités proposées par l’outil.

Malgré cela, nous n’avons pas réussi à couvrir le besoin métier. La mise à disposition de ce gestionnaire de mots de passe à l’ensemble de nos utilisateurs a également connu un très faible taux d’usage. Il n'y a pas eu d'adhésion de la part de nos utilisateurs à la solution.

Le rapport bénéfice / prix pour Sogetrel n’était ainsi pas satisfaisant, le coût de LastPass étant trop élevé par rapport à l’usage que nous en avions.

Il y a 4 ans nous avons ainsi rechallenger le besoin et les solutions existantes.

Entre-temps LockSelf avait développé son gestionnaire de mots de passe LockPass.

LockTransfer étant déjà déployé auprès de nos utilisateurs, utiliser LockPass pour la gestion des mots de passe nous est apparu comme une opportunité pour faciliter le déploiement.

Nous avions déjà une très bonne adhésion de l’ensemble de nos utilisateurs sur l’outil LockTransfer proposé par LockSelf, et nous avons ainsi saisi l’opportunité de bénéficier de cette adhésion déjà forte pour le déploiement de notre coffre-fort de mots de passe.

Comme pour les fichiers, LockSelf propose une approche simple du coffre-fort de mots de passe, permettant une adhésion métier rapide et durable. Nous n’avons pas tardé à avoir un très fort taux d’usage.

LockPass est ainsi venu répondre à nos besoins; tant sur le plan sécuritaire, avec le chiffrement des accès, la gestion fine des droits, l’historisation des logs, le tout certifié CSPN par l’ANSSI; que sur la simplicité d’usage pour nos collaborateurs.

Au niveau du prix également, LockSelf nous a permis d’avoir un ratio prix/usage cohérent et adapté à nos besoins, nous permettant d’équiper dans un premier temps 400 collaborateurs.

Nous avons ensuite réalisé un déploiement progressif pour équiper l’ensemble de nos collaborateurs, qui, de par les formations régulières sur la cybersécurité ont été sensibilisés à l’enjeu d’une bonne gestion de leurs accès.

Plus on accompagne et on fait croître la maturité des utilisateurs sur les enjeux cyber, plus ils sont enclins à s’intéresser à ce type de solution qui les aide et qui nous aide à maintenir la sécurité des accès.”

Qu'avez-vous mis en place pour accompagner vos utilisateurs vers l'adoption des bonnes pratiques autour de la gestion des accès ?

Nous avons engagé des actions de communication autour du déploiement et de la mise en place de l’outil. À l’aide de vidéos très concrètes nous avons accompagné les utilisateurs dans leur onboarding : comment se connecter à LockSelf, enregistrer un nouveau mot de passe, les utiliser etc… Cet effort de mise à disposition de bases de connaissances pour accompagner nos utilisateurs dans la prise en main opérationnelle de LockPass a facilité l’appropriation générale de l’outil.

Aujourd’hui, dans nos activités de sensibilisation et de formation à la cybersécurité, la thématique de la gestion des accès revient très régulièrement. Nous faisons des campagnes d'audit sur la robustesse des mots de passe. Nous partageons ensuite les résultats à nos collaborateurs et continuons de les sensibiliser sur les bonnes pratiques à adopter. Grâce à LockPass nous pouvons aller plus loin, en rappelant également qu’une solution de coffre-fort de mots de passe est à leur disposition, permettant de mettre en œuvre ces bonnes pratiques : mots de passe différents, complexes, non-devinables, etc…

Comment intégrez-vous LockPass dans votre politique de gestion des accès ?

LockPass répond notamment à l’enjeu de partage sécurisé de mots de passe entre les membres d’une même équipe. Sa mise en place nous offre la possibilité de mettre en œuvre une gestion partagée à travers une solution robuste de coffre-fort de mots de passe. Même si le partage de mots de passe est une pratique que nous essayons de limiter au maximum, cela reste un besoin existant notamment dans les activités opérationnelles des collaborateurs (activités de maintenance pour la DSI, outil de création graphique pour l’équipe marketing etc…). Il y a forcément des mots de passe à conserver et à partager dans les équipes, qu’il faut sécuriser le mieux possible, et c’est ce que nous permet de faire LockPass.

Le Dashboard intégré à la suite LockSelf révèle l'utilité concrète de LockPass :

Plus de 20 000 authentifications mensuelles enregistrées,
Facilitant le partage sécurisé d'environ 2 500 accès entre collaborateurs ayant droits,
Et permettant la création de 500 nouveaux mots de passe robustes en moyenne chaque mois.

Création-de-mots-de-passe-par-mois

Nous avons fait évoluer notre politique de gestion des mots de passe en s’appuyant sur les recommandations de l’ANSSI³ en 2021, basée sur trois niveaux de droits :

Pour les accès standards, des mots de passe de 12 caractères minimum.
Pour les accès privilégiés, des mots de passe de 16 caractères minimum.
Pour les comptes de services (partagés), des mots de passe de plus de 20 caractères.

L’avantage avec LockPass c’est de pouvoir paramétrer ces politiques directement dans l’outil, obligeant les utilisateurs concernés à utiliser des mots de passe qui correspondent à la politique en place.

Grâce à LockPass ils ont l’outil à disposition pour générer des mots de passe robustes très facilement.

Souveraineté et réglementations

La souveraineté des données et le choix d'un éditeur 100% français était-il un prérequis pour vous ?

Chez Sogetrel nous sommes très sensibles à la souveraineté de nos données. Que ce soit au niveau de la DSI ou bien du service juridique, nous utilisons et privilégions systématiquement l’usage de solutions souveraines. Cette souveraineté est aussi une demande de nos clients et nous permet de répondre aux exigences réglementaires auxquelles nous sommes soumis.

Tous les aspects sont importants dans le choix d’un outil comme LockPass : les fonctionnalités, le coût, la sécurité etc… Mais la souveraineté est un élément qui a largement son poids.

Si l’outil répond au besoin cœur identifié, aux enjeux juridiques, à notre politique de cybersécurité, et qu’il est souverain, nous privilégierons cet outil plutôt qu’un autre outil qui aurait un peu plus de fonctionnalité mais ne répondrait pas aux autres enjeux.

NIS2 entrera bientôt en vigueur en France, quel impact cette directive va-t-elle avoir sur le SSI de Sogetrel ?

Nous ne savons pas encore précisément si nous serons considérés comme une entité importante ou essentielle, mais nous serons concernés que cela soit directement ou indirectement par le biais de nos clients.

NIS2⁴ est une réglementation à prendre en compte et à intégrer dans notre cybersécurité.

Ce passage à NIS2 est également un levier et une confirmation que tout ce que nous avons mis en place depuis plusieurs années allait dans le bon sens. Cette mise à jour de NIS vient valider et éclairer notre dynamique cyber.

Dans NIS2 il y a une vingtaine d’objectifs de sécurité. Chaque objectif de sécurité s’accompagne de mesures de sécurité à mettre en place. En préambule de ces objectifs, il est indiqué qu’une certification ISO 27001 vaut pour conformité aux exigences ou à l'atteinte de l'objectif. Chez Sogetrel nous sommes certifiés ISO 27001 depuis 2020 ce qui nous permet de répondre déjà à un grand nombre de mesures de cybersécurité imposées par NIS2.

Cette réglementation nous donne l’opportunité de faire passer des messages et mettre en lumière les bonnes pratiques qui sont devenues des obligations réglementaires.

_____

Merci Emmanuel !

Sources :

^{1. https://www.sogetrel.fr/}

^{2. https://www.netskope.com/fr/}

^{3.https://cyber.gouv.fr/publications/recommandations-relatives-lauthentification-multifacteur-et-aux-mots-de-passe}

^4.^{https://monespacenis2.cyber.gouv.fr/}