Grands groupes : aligner stratégie globale et dynamiques métiers

Selon le « Cyber Benchmark 2024 » de Wavestone, les grands groupes (chiffre d’affaires supérieur à 1 milliard de dollars) montrent un niveau de maturité relativement élevé en cybersécurité (53 % en moyenne). Mais l’étude souligne le besoin de structurer la gouvernance cyber à l’échelle du groupe et de ses filiales, pour mutualiser les ressources, renforcer la gestion des sous-traitants, améliorer la réactivité face aux incidents et faciliter la mise en conformité.

Au sein du groupe RATP, la politique de cybersécurité s’articule autour d’un socle composé de trois piliers principaux. Le premier est la réglementation. L’enjeu est d’identifier une base commune à l’ensemble du groupe et de ses filiales, comme c’est le cas, par exemple, avec la directive NIS2. Le deuxième pilier concerne la menace, à savoir l’identification des scénarios de risque pertinents pour tous les métiers. Enfin, le troisième est la stratégie de l’entreprise. Cette dernière permet d’aligner le plan de cybersécurité sur les objectifs globaux du groupe, assurant ainsi une cohérence d’ensemble.

« L’objectif est de donner à la stratégie de cybersécurité une base homogène à laquelle toutes les filiales peuvent se référer. Cela permet à tout le monde de travailler dans une seule et même direction et de mutualiser les efforts au niveau du groupe », déclare François Bidondo, Directeur Cybersécurité de RATP Group et administrateur du CESIN. En complément, des discussions ont lieu avec chaque filiale pour comprendre ses besoins spécifiques, ses métiers et ses enjeux propres, ainsi que les menaces particulières auxquelles elle pourrait être confrontée compte tenu de sa zone géographique, de son activité et de son contexte réglementaire.

Au sein du Groupe Caisse des Dépôts, le mécanisme est sensiblement le même. « Nous définissons une politique de cybersécurité groupe qui se décline en un canevas de points à adresser. Ce framework est souvent lié à des normes, comme ISO 27001 ou le NIST. Ensuite, lors d’une deuxième phase, nous pouvons être amenés à aider les filiales à s’outiller pour être conformes. Enfin, une troisième étape consiste à mesurer régulièrement si les ambitions sont atteintes », explique Arnaud Martin, Directeur des risques opérationnels du groupe.

Harmoniser sans uniformiser

Pour déployer les stratégies définies au niveau du siège, différentes approches existent. Elles dépendent en grande partie de la structure du groupe : intégré ou non-intégré. « Dans les groupes intégrés, où les systèmes d’information sont fortement interconnectés, la politique de sécurité est très stricte, avec des objectifs de résultat précis. À l’inverse, dans les groupes décentralisés, l’objectif est d’aligner les moyens et les exigences de sécurité sur les enjeux business et réglementaires, sans pour autant qu’une intrusion au sein d’une filiale ne fasse peser un risque majeur sur la maison mère », note Arnaud Martin.

Dans un groupe décentralisé comme la RATP, l’implémentation et la mise en œuvre de la politique de cybersécurité reviennent à chaque filiale. « Nous définissons la philosophie et les objectifs de sécurité globaux, sans imposer de produits spécifiques. Par exemple, si nous décidons que chaque poste de travail doit être protégé par un EDR, une filiale peut choisir un produit Aet une autre un produit B. Le point important est que ces solutions répondent aux exigences de sécurité. Il arrive par ailleurs que nous lancions des programmes d’acquisition mutualisés pour l’ensemble du groupe, lorsque la maturité des filiales est encore faible », commente François Bidondo.

Une déclinaison structurée en plusieurs phases

Au sein de la Caisse des Dépôts, quand les thématiques relèvent du système d’information de la filiale, le groupe définit des niveaux d’exigence (par exemple, effectuer des sauvegardes avec tel ou tel niveau de séparation) sans fournir de solutions. En revanche, pour certaines solutions plus agnostiques du SI et plus faciles à déployer de manière globale, comme les plateformes CTI (Cyber Threat Intelligence) ou de gestion des vulnérabilités, une mutualisation peut avoir lieu. 

« Au sein de notre CERT interne, tous les outils dont il dispose sont considérés comme des investissements ‘groupe’ qui profitent à l’ensemble des filiales », note Arnaud Martin. Même logique à la RATP où le CERT et la veille sur la menace sont mutualisés. « Ces outils sont d’autant plus efficaces qu’ils ont une vue complète de ce qui se passe dans l’ensemble du groupe. Leur centralisation leur donne plus de valeur que s’ils étaient installés dans chaque filiale », ajoute François Bidondo.

Un autre aspect de la mutualisation porte sur le partage des compétences. Des experts peuvent ainsi être déployés depuis le siège pour soutenir des projets importants dans les filiales. Cela peut concerner une acquisition, la réponse à un appel d’offres, un audit très pointu techniquement (red team) ou une réponse à incident dans le cadre d’une cybercrise. Cette mise à disposition de compétences rares évite aux filiales de devoir recruter des profils hautement spécialisés qu’elles ne pourraient employer à temps plein.

Parfois, la mutualisation fonctionne en sens inverse, une entité pouvant développer une expertise très pointue qui profite à l’ensemble de l’organisation. Au sein de la RATP, une filiale spécialisée dans le développement logiciel possède ainsi en interne des experts en cybersécurité pour le développement d’applications, qui servent de pôle de compétence pour toutes les autres entités.

Le plan de contrôle : un audit régulier

Pour s’assurer de l’application des standards et de l’atteinte des objectifs fixés, ainsi que de la montée en maturité des filiales, un plan de contrôle doit être mis en place. Au sein de la Caisse des Dépôts, il est mené une fois par an. Cette évaluation permet de consolider une vision globale du niveau de cybersécurité à l’échelle du groupe et de la présenter à la gouvernance. 

« Notre campagne de contrôle s’applique à la maison mère puis à ses filiales. Je commence par la maison mère au premier semestre et j’enchaine avec les filiales au second semestre. Cela leur laisse le temps de réaliser un certain nombre de contrôles de leur côté puis de consolider les données pour le siège », conclut Arnaud Martin.