Jean-François Tesseraud (Systra) : « je dois protéger notre seul vrai actif, de l’information »

Pouvez-vous nous présenter Systra ?

Issu de la fusion des bureaux d’études de la RATP et de la SNCF, Systra est est l’un des premiers groupes mondiaux d’ingénierie et de conseil spécialisés dans les transports publics et les solutions de mobilité.

Il conçoit tout ce qui relève des infrastructures de la mobilité, ferroviaires essentiellement : tramways, métros, LGV, trains… Nous faisons de la conception et du suivi de chantier voire du contrôle d’infrastructures mais nous ne fabriquons pas. Nous avons une très forte expertise reconnue en soutenabilité (respect des contraintes en empreinte environnementale).

Nous sommes présents dans 80 pays. Sur nos près de 11 000 collaborateurs, 2400 sont en France. 80 % de notre chiffre d’affaires de 1,25 milliard d’euros sont réalisés à l’international. Nous connaissons une forte croissance et les perspectives sont tout à fait positives. Notre objectif est d’atteindre les deux milliards d’euros d’ici 2030.

Comment êtes-vous organisés ?

En tant que CISO, je n’ai pas de lien hiérarchique avec l’IT afin d’éviter d’être juge et partie.

Je définis la stratégie, je vérifie qu’elle est appliquée au travers d’audits et je mène les actions correctives nécessaires. Je dois protéger notre seul vrai actif, de l’information, c’est à dire nos études d’ingénierie. Ni trop, ni trop peu. Le travail est nécessairement collaboratif et, si je protège trop, j’empêche les gens de travailler.

L’IT est centralisée avec des relais locaux. La cybersécurité est par contre totalement centralisée. SOC et CERT me rapportent. J’ai cependant quelques relais locaux au sein de l’IT. Au niveau IT, les pays peuvent avoir une certaine autonomie pour couvrir des besoins particuliers mais la plupart du SI est mutualisé au niveau groupe et la politique est unifiée.

Quels sont vos grands choix d’architecture ?

Notre système d’informatique est très hybride. Certains outils ne sont plus disponibles qu’en SaaS (notamment la CFAO). Notre bureautique est Microsoft Office 365. Côté ERP, nous avons des instances d’IFS en cours de consolidation et d’évolution.

Quels sont vos grands enjeux de cybersécurité ?

Mon premier enjeu, je l’ai dit, c’est donc la protection de l’information, le vrai actif de Systra.

Cela passe d’abord par la création de procédures obligatoires. Côté métier, il faut en premier lieu définir le niveau de protection nécessaire. C’est le métier seul qui est capable de dire quelle est la valeur réelle d’une information et quelles sont les obligations réglementaires ou contractuelles particulières. Ensuite, en fonction de cette définition de la sécurité nécessaire, il faut mettre en œuvre les outils nécessaires. Enfin, il faut contrôler que les outils réalisent bien la sécurité attendue.

Le client peut exiger des précautions particulières sur les informations relatives à son projet. Ces précautions peuvent aller jusqu’au secret total sur les infrastructures. Je peux donc être amené à accompagner le business sur la négociation et la mise en œuvre du contrat.

Quelles sont vos approches ?

Pragmatisme ! Pragmatisme ! Pragmatisme !

D’abord, je dois expliquer. Ce sont les métiers qui connaissent la valeur des informations et qui prennent les risques. Moi, je ne peux que les aider à identifier les risques et à les traiter.

En deuxième lieu, je dois analyser les risques IT et en faire le reporting.

Je dois également vérifier la bonne exécution des processus. Par exemple, les vulnérabilités doivent être traitées. Il doit y avoir, régulièrement, un rapprochement entre le SIRH et l’active directory afin d’éviter qu’un collaborateur ayant quitté l’entreprise ait toujours des droits inappropriés.

Pour chaque système, nous suivons le niveau de criticité et nous appliquons les mesures adéquates.

Enfin, nous réalisons une sensibilisation régulière des utilisateurs en nous appuyant sur Riot. Nous avons donc des communications pédagogiques via Teams, des tests de phishing, etc.

Du coup, quels sont vos défis ?

Le premier reste la protection de l’information au quotidien.

Ensuite, notre défi actuel est la certification ISO 27001 compte tenu des difficultés associées aux multiples implantations locales. Nous ne sommes pas, pour nous-mêmes, concernés par NIS2 mais nous pouvons avoir des obligations en lien avec nos clients qui, eux, peuvent être soumis à NIS2. Dans ce cas, cependant, en général, nos équipes travaillent dans les locaux du client avec le matériel du client. L’avantage de la certification ISO 27001 est d’entraîner la conformité NIS2 dans notre domaine.