Hakima Kadri-Dahmani (Flowbird) : « moins j’ai de droits d’accès, mieux je me porte »

Flowbird est une entreprise peu connue. Pouvez-vous nous la présenter ?

Flowbird est une entreprise française à l’origine, fondée à Besançon il y a un demi-siècle et qui fabriquait des parcmètres. Aujourd’hui encore, notre usine reste implantée à Besançon, mais nous sommes désormais installés dans 14 pays. Nous développons des solutions de bout en bout (de stationnement, pour le transport public, le mobile, le paiement…)

Notre slogan est « Delivering effortless mobility » que nous traduisons en France par « rendre la mobilité plus fluide et plus accessible » : nous nous définissons en effet comme un acteur de la mobilité urbaine et de la ville intelligente. Nos clients sont les autorités organisatrices de la mobilité : les villes, les collectivités ou les opérateurs de transports publics. Nous travaillons donc en B2B et B2G. Nos solutions sont vendues soit sous notre nom soit en marque blanche, d’où le fait que le nom de Flowbird ne soit pas systématiquement visible du grand public.

Parmi nos 1600 collaborateurs, nous comptons 400 ingénieurs en R&D.

84 % des 50 plus grandes villes du monde utilisent nos solutions :  New York, Hong-Kong, Abu Dhabi, la Ville de Paris… dont certains clients de très longue date. Nous voulons fournir la mobilité en tant que service. Notre projet mené avec le gouvernement princier de Monaco est un bon exemple. Nous avons développé une application de « Mobility as a Service » offrant aux usagers une solution tout-en-un combinant l’ensemble des modes de déplacements possibles et comprenant un système de paiement intégré, ainsi que des services additionnels (achat de places de cinéma, pass pour des activités culturelles…). Nous avons également déployé notre solution d’Open Payment au sein de la principauté.

Comment est organisée votre fonction IT ?

Je suis CISO du groupe : il y a bien une seule équipe cybersécurité. Je suis à ce titre rattachée au DSI groupe, Julien Martin. Nous avons la volonté d’unifier notre IT au niveau mondial en même temps que nous unifions nos processus.

Quelle est votre architecture générale ?

Nous avons en fait deux systèmes d’information. Nous avons une IT externe, sous la responsabilité des Business Unit (activités), destinée à servir nos clients et leurs propres usagers ou clients. Et nous avons bien sûr, une IT interne, pilotée par le DSI groupe. Pour l’heure, les deux sont séparées. En revanche, en tant que CISO groupe, je pilote la cybersécurité des deux IT.

Pour ces deux IT, nous avons une architecture hybride associant nos propres datacenters, du cloud public et du SaaS.

Quels sont vos enjeux de cybersécurité ?

La sécurité de nos clients est évidemment notre priorité absolue. Notre premier enjeu est donc la protection des données des utilisateurs et aussi de nos collaborateurs. Bien entendu, nous avons à garantir la sécurisation des paiements. Nous sommes déjà certifiés PCI-DSS et ISO 27001 sur certains périmètres, l’extension à toutes nos activités étant en cours. D’une manière générale, notre enjeu est la résilience.

Quelles sont votre stratégie et vos approches ?

Nous sommes bien équipés en termes d’outils de cybersécurité. Nous cherchons surtout aujourd’hui à améliorer nos procédures et nos méthodes de travail. Nous sommes ainsi actuellement en train de déployer un SOC 24/7 externalisé qui prendra le relais de l’équipe interne.

Nous veillons à la sensibilisation continue de nos collaborateurs avec plusieurs outils complémentaires. Par exemple, nous utilisons les écrans de veille des postes de travail des collaborateurs pour leur transmettre des messages de cybersécurité (bonnes pratiques, règles…). Les messages sont actualisés régulièrement. Nous menons également des campagnes de faux phishing, de sensibilisation sur différentes thématiques…

Pour les solutions développées en interne, nous mettons en place un programme de bug bounty. C’est le moyen le plus rapide et le plus efficace pour nous assurer de la cybersécurité de nos applications et de nos solutions. Nous assurons également un suivi rigoureux des vulnérabilités publiées et des correctifs à appliquer.

Actuellement, nous sommes en train de renforcer notre plan de gestion de crise pour nous préparer aux risques liés aux Jeux Olympiques.

Pourquoi cette attention portée aux Jeux Olympiques ?

Nous opérons dans les transports. Avec les Jeux Olympiques et l’exposition médiatique mondiale induite, la France va être une cible prioritaire pour les cybercriminels du monde entier. En particulier, les infrastructures les plus visibles sont celles les plus à risques, notamment les transports. Nous renforçons donc notre sécurité pour être prêts.

La principale vulnérabilité reste toujours entre la chaise et le clavier. Comment traitez-vous les failles humaines au-delà de la sensibilisation ?

Je reste convaincue qu’instaurer une culture cybersécurité dans l’entreprise est le meilleur moyen de minimiser ce risque : « une bonne pratique vaut mille outils ».

Mais au-delà de ça, implanter des politiques strictes d’accès aux données, appliquer des protocoles de sécurité robustes, surveiller les activités suspectes… peuvent également contribuer à réduire ce risque. Et c’est ce que nous nous avons mis en place aujourd’hui (ou en cours de déploiement).

Parmi les bonnes pratiques mises en œuvre, même si les utilisateurs finaux peuvent parfois exprimer un certain mécontentement, il y a une stricte limitation des droits. Personne n’a de droit d’administration sur son poste de travail, les ports USB sont bloqués, les droits d’accès aux données sont strictement circonscrits à l’« intérêt d’en connaître »… Même moi, bien que CISO groupe, je ne suis administratrice d’aucun outil ni sur mon propre poste de travail. Moins j’ai de droits d’accès, mieux je me porte car moins je suis facteur de risque comme n’importe quel collaborateur. Notre direction générale apporte un soutien important et permanent à la cybersécurité. Des rappels ont lieu systématiquement lors de différents comités.

En dehors des Jeux Olympiques dont nous avons parlé, quels sont vos défis pour 2024 ?

Comme plusieurs entreprises, nous allons bientôt être confrontés  à la conformité d’un ensemble de réglementation européennes : le Cyber-Résilience Act (CRA) adopté fin 2023 et qui concerne notamment la sécurité des objets connectés (comme les horodateurs) et des produits digitaux (comme les applications mobiles), la NIS2 et probablement DORA. Notre préparation aux Jeux Olympiques devrait nous amener à la conformité assez naturellement.

Dans le même ordre d’idée, nous avons aussi l’extension de la certification ISO 27001 à finaliser.

(Interview revue par le service communication de Flowbird)