Groupe Lagardère : une méthode et un outil pour contrôler la cybersécurité des applications exposées

Pouvez-vous nous rappeler ce qu’est, aujourd’hui, le groupe Lagardère ?

Le groupe représente un ensemble d’environ 400 sociétés générant un chiffre d’affaires annuel de l’ordre de huit milliards d’euros. Nous avons une cinquantaine de systèmes d’information différents.

Le groupe repose sur deux branches prioritaires.

Lagardère Publishing est le troisième éditeur de livres grand public et d’éducation dans le monde et le numéro un en France. Ses 7 479 collaborateurs participent à la création de plus de 15 000 œuvres nouvelles par an et contribuent à leur plus grande diffusion en innovant sur les usages numériques et mobiles de la lecture. Son activité s’étend également à des domaines connexes de l’édition tels que les jeux de société et les jeux sur mobiles.

Lagardère Travel Retail est le cinquième opérateur mondial du commerce en zone de transport et le numéro deux mondial dans les aéroports opérant sur trois segments d’activités : Travel Essentials, Duty Free et Mode ainsi que Restauration. Ses 18 803 collaborateurs s’appuient sur un réseau international de plus de 4 890 magasins implantés dans un millier d’aéroports, de gares et de stations de métro.

Dans le périmètre du groupe figurent également Lagardère News (Paris Match, Le Journal du Dimanche, JDD Magazine, la licence Elle), Lagardère Radio (Europe 1, Europe 2, RFM), Lagardère Live Entertainment (production de concerts et de spectacles, gestion de salles de spectacles) et Lagardère Paris Racing (club de sports).

En tant que Corporate CIO et Group CISO, quel est votre périmètre ?

Je m’occupe de tout l’IT de la holding et des activités diverses ainsi que de la cybersécurité de l’ensemble du groupe. Sur ce dernier point, je suis responsable de la gouvernance, de la stratégie, des moyens de protection et de l’animation du réseau de la cinquantaine de CISO répartis dans le groupe.

Avec votre hétérogénéité de métiers, est-il vraiment possible et pertinent d’avoir une gouvernance et une stratégie uniques ?

Oui, tout à fait. Nous avons un spectre large mais nous pouvons accepter des déclarations de non-pertinence dans telle entité de tel ou tel choix fait au niveau groupe. Par exemple, dès lors qu’il y a du paiement, la certification PCI DSS s’impose. Mais, chez Europe 1, par exemple, cela n’est pas pertinent. De la même façon, il y a une différence entre des entreprises qui génèrent des milliards d’euros de chiffre d’affaires et des sociétés de quelques millions.

L’algorithme de mesure de la maturité défensive tient compte de ces différences dans son rapport, y compris dans le poids du risque selon la taille de l’entreprise.

Par contre, la surveillance d’une petite entité ou d’une grosse utilise la même méthode et le même outil mais l’impact final sur le groupe sera différent. Nous faisons une veille des annonces publiées dans les forums du darkweb et du deepweb ainsi qu’une surveillance de nos équipements connectés, du shadow IT, des failles de nos sites web…

Notre organisation est distribuée et notre cinquantaine de SI reste bien cloisonnée. S’il y a un problème au sein d’une entité, cela n’aura aucune conséquence et ne générera aucun risque pour les autres. Nous gagnons de l’efficacité en surveillant beaucoup mais chaque entité n’a pas forcément les moyens de réaliser tout ce qu’il faudrait, d’où l’intérêt d’une action groupe. Nous contrôlons aussi (mais sans pouvoir corriger nous-mêmes et sans que cela soit dans notre responsabilité) les partenaires sous contrat.

Pourquoi avoir choisi de travailler avec Ziwit pour cette supervision ?

Nous avons beaucoup d’actifs exposés, à commencer par les sites web. Même si, à un instant t, il n’y a pas de faille connue, l’instant d’après peut amener un diagnostic différent. Nous avons donc besoin d’un outil qui permette de surveiller facilement l’ensemble de nos actifs. Cet outil doit, de plus, mettre rapidement à disposition des équipes le diagnostic et permettre de le communiquer rapidement.

Nous travaillons depuis plus de dix ans avec Ziwit. Nous avons une vraie relation partenariale pour faire évoluer l’outil afin qu’il réponde mieux à nos besoins et nous délivre le plus de valeur le plus facilement possible.

Ziwit n’est pas un scanner facilement détectable par un hébergeur qui, s’il fait correctement son travail, va immédiatement le bloquer. C’est un vrai simulateur de session qui va se comporter comme un internaute humain lambda afin de découvrir des failles ou des problèmes divers de cybersécurité. Son module de découverte est pratiquement indétectable.

Il existe de nombreux outils pour mesurer la disponibilité d’un service numérique mais ce calcul de disponibilité ne doit pas s’arrêter à l’interface homme-machine. Il faut vérifier la disponibilité de toute la chaîne technique, ce que Ziwit fait.

Enfin, Ziwit nous propose en ligne un rapport en temps réel et des alertes par mail ou SMS selon le niveau de gravité.

Quels projets et évolutions voyez-vous ?

Nous cherchons toujours à améliorer la dynamique de l’analyse mais celle-ci est en fait d’ores et déjà apportée dès le lancement de l’outil.

Nous voudrions développer les capacités d’intelligence artificielle pour réduire le temps de détection des problèmes.

Enfin, comme avec tous les outils de cybersécurité, il faut tenir compte de l’émergence de risques nouveaux et sans cesse élargir le spectre des fonctionnalités.