Jean-Christophe Mathieu (SNCF) : « notre défi, c’est réagir plus vite à une menace qui évolue »
Par Bertrand Lemaire | Le | Gouvernance
Cet article est référencé dans notre dossier : Cyber Night 2024 : la quatrième célébration de l'innovation et du succès en cybersécurité
Directeur de la sécurité du numérique du groupe SNCF, Jean-Christophe Mathieu explique son rôle et ses approches. Groupe industriel, la SNCF est une « usine de 30 000 kilomètres » où sécurité physique et sécurité numérique convergent largement.
Même si votre groupe est connu, sa structure l’est moins. Pouvez-vous nous rappeler ce qu’est le Groupe SNCF ?
Comme Julien Nicolas, directeur numérique groupe de la SNCF, l’a indiqué dans sa propre interview, le groupe a réalisé 41,8 milliards d’euros de chiffre d’affaires en 2023 dont près de 40 % à l’international grâce à 276 000 collaborateurs, dont près de 212 000 en France et plus de la moitié sur le ferroviaire, son cœur de métier historique. Nous transportons cinq millions de voyageurs par jour en France (dont 3,5 en Ile-de-France) grâce à 15 000 trains par jour.
Aujourd’hui, le groupe est piloté par SNCF Holding, qui détient cinq sociétés : SNCF Réseau (gestion, exploitation et maintenance du réseau ferroviaire français) avec sa filiale SNCF Gares & Connexions (conception, exploitation et commercialisation des gares), SNCF Voyageurs (Transilien, TER et Intercités, TGV InOUI, OUIGO, Eurostar-Thalys, Alleo, Lyria et la distribution avec SNCF Connect), Rail Logistics Europe (transport ferroviaire de marchandises), Keolis (opérateur de transports publics urbains, périurbains et régionaux en France et dans le monde) et Geodis (solutions logistiques et transport de marchandises).
En tant que directeur de la sécurité du numérique du groupe SNCF, quel est votre périmètre et votre rattachement ?
Je suis rattaché à Julien Nicolas, ma fonction est transverse à l’ensemble du Groupe. Mon rôle est de garantir la sécurité autant du numérique traditionnel que des systèmes ayant des actions sur des grandeurs physiques.
Je suis en charge de la gouvernance et du pilotage de la filière cybersécurité.
Mes objectifs sont de protéger en premier lieu les clients puis les collaborateurs et les matériels. Cela repose en premier sur l’analyse du risque. Cette tâche est un acquis historique du groupe mais il convenait de la mettre à jour formellement pour traiter de la conformité réglementaire (NIS2…). Un CTO Cybersécurité m’est rattaché pour vérifier la pertinence technologique et la cohérence des choix faits . L’homogénéité facilite évidemment la coordination des efforts.
Le DPO groupe en charge de la protection des données au sens large (personnelles et savoir-faire) m’est également rattaché.
Évidemment, j’ai aussi en charge la sensibilisation des collaborateurs à la cybersécurité, celle-ci est un des piliers fondamentaux de la sécurité globale de l’entreprise. La formation à la sécurité de tous les collaborateurs fait partie des standards du groupe, tous y sont habitués, et rattacher un volet cyber a été facile.
La direction de la sécurité du numérique du groupe définit les règles et les processus à appliquer, y compris de gestion de crise, dans tout le groupe SNCF, toutes activités et filiales confondues.
Pour délivrer les services numériques, le groupe dispose d’entités telles que e-SNCF Solutions (entité de la holding) ou SNCF Connect & Tech (filiale de SNCF Voyageurs). Nous avons au sein d’e-SNCF Solutions, une direction de la cybersécurité en charge d’une partie des services de protection du Groupe. D’une manière générale, chaque entité délivrant du service numérique ayant une certaine taille dispose d’un service s’occupant de la cybersécurité. Dans le cadre de son rôle, chaque RSSI, dans son entité s’appuie sur les règles que nous avons définies.
Retrouvez Jean-Christophe Mathieu à la Cyber Night
Jean-Christophe Mathieu est membre du jury des Trophées de la Cyber Night. Il a donc assisté aux présentations des candidats le 16 octobre 2024 et interviendra à la cérémonie le 25 novembre 2024.
Comment voyez-vous l’architecture générale de l’IT SNCF de votre point de vue ?
Nous sommes un groupe industriel mais très réparti puisque notre production repose sur le réseau ferré. En quelque sorte, nous sommes une « usine de 30 000 kilomètres » pour reprendre une expression courante chez nous. Une telle configuration est rare. Nous avons de nombreux sites avec un accueil aisé de nombreuses personnes à des actifs informatiques (comme les bornes d’achats de billets) qui sont par nature très exposés. Les terminaux des agents de service commercial train (les « contrôleurs ») peuvent également être volés.
Côté infrastructures, notre migration Cloud est quasiment achevée. Nous avons donc aujourd’hui une très bonne flexibilité qui a démontré toute son utilité au moment des Jeux Olympiques et Paralympiques Paris 2024.
Mais nous conservons un SI industriel avec une haute protection de nos actifs qui se situent dans nos emprises.
Comment assurez-vous la cybersécurité dans ce contexte pour le moins compliqué ?
La réponse de base est la même pour les équipements en gare ou mobiles des contrôleurs : les accès sont strictement limités au nécessaire et les identifications sont basés sur du MFA systématique.
Pour les accès les plus sensibles, le MFA repose sur trois facteurs d’authentification, en intégrant par exemple une authentification par empreinte digitale.
Nous travaillons en étroite collaboration avec, entre autres, nos collègues de la Direction de la Sûreté pour contribuer à la sécurité globale de l’entreprise. En effet, une attaque physique (contre une borne, un poste d’aiguillage, …) peut avoir des répercussions numériques et l’inverse est aussi vrai. L’incident du 26 juillet 2024 était un exemple d’attaque hybride ayant entraîné le blocage de 800 000 clients dont 700 000 ont finalement pu voyager malgré trois lignes à grande vitesse neutralisées. Le SI a été sur-sollicité pour réaffecter voyageurs, trains et personnel. Mais il a tenu, preuve que la préparation a été effectuée avec efficacité.
Moi qui suis récent dans le groupe, je suis toujours étonné de l’incroyable cohésion de l’entreprise quand un incident survient.
En matière de menaces nouvelles, comment traitez-vous les risques liés à l’IA ?
L’arrivée de l’IA est générale mais notre groupe est plutôt en avance avec, notamment, notre SNCF-GPT. Nous avons bien identifié et traité les risques dès le départ, qu’il s’agisse de l’intoxication des données sources ou de la fuite de données internes. Une équipe est chargée de vérifier la fiabilité des données utilisées.
Nous avons évoqué la sensibilisation à la cybersécurité mais pouvez-vous détailler vos actions ?
L’ADN de la SNCF, c’est la sécurité. La cybersécurité n’est qu’un sujet au sein de l’ensemble, même si, comme pour toutes les entreprises, elle constitue un risque majeur. En la matière, il ne faut jamais oublier de garder l’humain au centre.
Evidemment, nous recourons à de l’e-learning, à des campagnes de faux-phishing ciblées… Nous avons aussi mis en place un jeu de cartes pour discuter autour de la cybersécurité et destiné aux équipes de terrain. Nous avons mis en route la création d’un serious game. Et un projet de module de formation en réalité virtuelle est en cours d’achèvement. Nos équipes travaillent en 3/8 et les actions de sensibilisation sont aussi menées en 3/8.
La guerre des talents est-elle un sujet pour vous ?
Evidemment et cette guerre n’est pas prête d’être terminée. Mais la SNCF est un groupe séduisant, même si nous avons toujours besoin de plus de talents.
Beaucoup de collaborateurs veulent évoluer vers la cybersécurité. Former quelqu’un qui connait déjà l’entreprise est une réelle valeur ajoutée. Notre DRH a une volonté forte de permettre à chacun d’évoluer. Nous attendons également beaucoup de la chaire créée avec Polytechnique.
Quels sont vos grands défis pour 2025 ?
Bien évidemment, en premier lieu, l’IA… nous avons un grand nombre de projets autour de ce sujet.
Mais notre défi principal, c’est réagir plus vite à une menace qui évolue sans cesse. Avec les Jeux Olympiques et Paralympiques, nous avons traité un niveau de menace élevé, notamment de menaces hybrides. L’enjeu stratégique, c’est de savoir entretenir les bonnes pratiques mises en place sans baisser la garde.
Bien sûr nous devons aussi nous adapter aux évolutions réglementaires. Pour cela, nous mettons en place non seulement une politique de cybersécurité groupe mais aussi des indicateurs clés.
Si l’ère du rançongiciel et des fuites de données n’est pas terminée, la nouvelle menace est aujourd’hui la désinformation.
Enfin, nous contribuons à l’ambition de l’entreprise qui est d’être le champion de la mobilité durable.
Podcast - Sécuriser une « usine de 30 000 kilomètres »
La SNCF est un opérateur de transport associant la gestion des infrastructures et de matériels, le transport de voyageurs et celui de fret avec une implantation internationale. Jean-Christophe Mathieu est directeur de la sécurité du numérique du groupe SNCF. Il présente d’abord ce groupe et son rôle avant de revenir sur les approches de la SNCF en matière de sécurité des installations réparties géographiquement.