Adrien Lillo (Sonepar) : « la culture cyber est sur le chemin critique de notre transformation »

Pouvez-vous nous rappeler ce qu’est Sonepar ?

Nous sommes un distributeur B2B de matériel électrique et de services connexes. Nos clients peuvent autant être des artisans que des constructeurs-promoteurs ou des industriels. En France, nous agissons sous l’enseigne Sonepar mais nous avons d’autres marques à l’étranger, souvent en lien avec un rachat local.

Nos produits ont une très grande variété de taille et de poids : interrupteurs électriques domestiques, prises électriques, câbles, radiateurs, climatisations, panneaux solaires… En France, nous disposons de plus de deux millions de références.

Nous revendiquons la première place mondiale dans notre domaine. Nous sommes présents dans une quarantaine de pays avec 44 000 collaborateurs et 2400 agences pour générer un chiffre d’affaires de 32,4 milliards d’euros. En France, nous générons 2,8 milliards d’euros de chiffre d’affaires grâce à 5500 collaborateurs, environ 500 agences et 6 plates-formes logistiques. Nous sommes un groupe familial français, non-coté.

Notre ambition est d’offrir à tous nos clients l’excellence dans leur expérience, ce qui implique une expérience omnicanale numérisée et synchronisée. N’importe quel client doit pouvoir commencer sa relation sur un canal, passer un autre et éventuellement revenir sur le premier sans rupture, en toute transparence et avec le même niveau de qualité et de service.

Quelles sont les grandes lignes de votre organisation IT ?

Nous restons une société qui fédère ses différentes entités nationales même si nous cherchons de manière de plus en plus volontariste à mutualiser et centraliser. Le sens de l’histoire est clairement de multiplier les outils communs. Notre plate-forme omnicanale, au coeur de notre valeur ajoutée, est un développement spécifique qui nous permet d’optimiser l’expérience client dans le digital.

Nous avons Microsoft Office 365 et nous démarrons l’usage du Cloud avec Azure. Mais il faut être clair : en général le cloud est plus cher que le on premise à technologie similaire. Le choix du Cloud dépend donc de notre besoin. Bref, le Cloud, oui, mais pour faire quoi ?

Dans ce contexte, comment assurez-vous les bases de votre cybersécurité ?

Sans grande originalité, nous déployons un ensemble d’outils et de process. Nous nous challengeons régulièrement.

Côté approche technique, nous avons fait le choix du Security by Design, du multi-factor authentification (MFA), etc. Bien évidemment, nous disposons d’un EDR. Les mails reçus sont vérifiés et nous travaillons sur un projet d’authentification des messages envoyés via le protocole DMARC. Et, bien sûr, nous avons un SOC. Enfin, nous menons des pentests régulièrement.

Souvent, on prétend que le principal problème de cybersécurité est entre la chaise et le clavier. Est-ce aussi votre opinion ?

Nous tentons en tous cas de minimiser ce risque ! Nous menons des campagnes régulières de sensibilisation avec des mails d’information, de l’affichage, des faux phishings, des clés USB abandonnées… Tous les nouveaux collaborateurs reçoivent un carnet avec les bonnes pratiques à suivre.

Nous devons tenir compte du fait que certains clients, partenaires ou fournisseurs sont potentiellement moins bien sensibilisés que nos collaborateurs.

Avec des agences dispersées partout dans le monde, n’est-ce pas difficile d’assurer le respect des bonnes pratiques ?

Les agences suivent les mêmes procédures de sensibilisation que le siège. Elles sont évidemment au coeur de notre chaîne de valeur. Leurs postes de travail sont sécurisés comme ceux du siège. Et nous avons des outils pour détecter la présence de terminaux non-enregsitrés sur notre réseau.

Mais c’est une population en effet particulière sur laquelle nous menons des efforts spécifiques.

Disposez-vous de connexions directes avec les SI de vos clients ?

Les modes « normaux » de commandes restent bien sûr les agences et notre site e-commerce. Mais certains clients disposent de catalogues négociés à l’avance. Les utilisateurs internes peuvent alors disposer d’une plate-forme dédiée et d’une application web pour leurs propres commandes que nous leur fournissons.

Les gros clients peuvent aussi commander par EDI.

Prochainement (la date a été repoussée), les entreprises auront l’obligation de dématérialiser leur facturation et de déposer leurs factures sur une plate-forme d’État. Est-ce que, vus vos volumes de factures, cette nouvelle obligation entraîne des risques spécifiques ?

Il n’y a pas de risque nouveau mais, vue la croissance des volumes de données échangées, la probabilité d’un incident va augmenter. Il faut donc, comme pour tout projet, assurer sa conduite. Nous devons rappeler nos exigences aux fournisseurs de solutions et contrôler leur respect.

Il y a cependant un risque évident lié à la mutualisation nationale et à la centralisation. Ce point de centralisation est critique. Mais, du point de vue d’une entreprise comme la nôtre, il n’y a rien d’intrinsèquement différent. Le risque est lié à la croissance des flux.

Ce que je crains, c’est que le nouveau calendrier (pas encore connu) ne fasse basculer tout le monde en même temps afin de rattraper le retard au lieu d’étaler dans le temps comme c’est actuellement prévu et comme cela s’est fait avec la facturation au secteur public. Etre prêt serait dès lors compliqué, surtout pour les plus petits.

Vous affichez une volonté d’adopter une orientation centrée sur le client. Qu’est-ce que cela implique pour la cybersécurité ?

Nous menons une transformation opérationnelle en profondeur qui va nous amener, par exemple, à une supply-chain fortement automatisée. La culture de cybersécurité est sur le chemin critique de notre transformation. Sans adoption des bonnes pratiques et des bonnes approches, cela deviendra très compliqué. La cybersécurité ne fait pas gagner d’argent mais un défaut peut en coûter très vite beaucoup, vraiment beaucoup, voire tuer l’entreprise.

La cybersécurité doit être proche de la donnée, proche du terminal et proche de l’humain.

Du coup, quels sont vos défis actuels ?

L’omnicanalité est le défi principal pour toute l’entreprise car elle entraîne un changement à la fois technologique et de culture. Les transformations doivent être bien accompagnées pour être bien comprises par tous. De la même façon, même si l’expertise ne peut pas être remplacée, devenir centré clients avec une forte automatisation des processus implique aussi des questions en cybersécurité.

A titre personnel, je pense que nous devons être des acteurs participant au recyclage des équipements électroniques, à la mise en avant des offres plus écoresponsables. A terme, je pense que nous ne parlerons plus seulement en euros mais aussi en CO². Cela a des conséquences sur les outils informatiques à déployer et donc sur la cybersécurité.

Nous avons nous aussi à affronter les défis habituels : le cloud, les exigences croissantes de la réglementation, la pénurie de talents…

Mais le point par lequel je voudrais conclure est sur la relation avec le business. La cybersécurité doit être au plus proche du business. Nous devons garantir le bon niveau de cybersécurité, avec un coût et des contraintes pour les utilisateurs appropriés. Comme je le disais, la cybersécurité ne fait pas gagner d’argent mais, si elle est prise en défaut, elle peut en faire perdre beaucoup, en particulier en annulant des ventes auprès de clients qui ne voudront plus avoir de relations avec nous. Nous devons donc, au moment de défendre notre budget et dans notre relation avec la direction générale, avoir le bon niveau de langage, apporter les bonnes informations.