Joy-Alexandra Denis (Arquus) : « la sécurité par conception est, pour nous, une obligation »

Pouvez-vous nous rappeler ce qu’est Arquus ?

Arquus est un constructeur de véhicules blindés à roues destinées aux armées. L’entreprise est un fournisseur essentiel de l’armée de Terre, avec 25.000 véhicules de tous types en service, dont des véhicules iconiques comme le VAB ou le VBL. Nous participons actuellement au renouvellement des capacités de l’armée de Terre avec les blindés Griffon et Jaguar, conçus et produits en partenariat avec Nexter et Thales. Nous comptons environ 1.500 salariés répartis sur quatre sites de production et deux sites tertiaires en France

Notre nom date de 2018. Nous sommes issus de la fusion de Renault Trucks Defense, ACMAT et de Panhard.Nous sommes une filiale à 100 % de Renault Trucks et la business unit Défense du Groupe AB Volvo (qui est distinct du groupe automobile).

Comment sont organisées l’IT et la sécurité du système d’information ?

La direction digital et IT est rattachée à la direction finances. Elle comprend cinq grands départements : architecture, support, infrastructures, applications et sécurité. La fonction de cybersécurité est donc rattachée à la DSI. Mais elle doit répondre à différentes autorités internes et externes pour garantir la conformité à diverses règles et réglementations.

Nous avons une particularité qui nous distingue des constructeurs de véhicules civils : nous devons assurer sur plusieurs décennies le suivi de configuration et la maintenance de nos véhicules, qui sont utilisés en opérations extérieures dans les conditions les plus éprouvantes. Nous avons par conséquent un lien constant avec les utilisateurs finaux 

Etant donné votre secteur d’activité, avez-vous des contraintes particulières en matière de cybersécurité ?

Bien évidemment, nous avons des contraintes fortes en matière de protection des données. Nous avons à garantir un stockage souverain dans un certain nombre de cas. Au delà de la sécurité des systèmes, nous avons surtout des contraintes sur la protection et la confidentialité, par exemple sur la conception des véhicules. Sur certaines données, l’usage du cloud public est formellement exclu. Nous devons avoir une parfaite maîtrise de nos systèmes car, comme chacun sait, on ne sécurise bien que ce que l’on connaît bien.

Du coup, comment procédez-vous pour garantir votre cybersécurité ?

Notre stratégie est sur plusieurs axes. D’abord, la sécurité par conception (security by design) est, pour nous, une obligation stricte bien au-delà de simples bonnes pratiques. Vu notre besoin de continuité, nous devons toujours chercher à accroître notre résilience.

En cas de collaboration, y compris avec nos partenaires et fournisseurs, la sécurité doit être un sujet commun. Tout le monde doit se sentir impliqué car nos véhicules sont là pour assurer la sécurité de nos soldats. Le secteur de la Défense est particulier à bien des égards et la compréhension de cet impératif est naturel.

Quels sont les défis que vous devez relever ?

Nous devons surtout accompagner la montée en puissance des nouvelles technologies et des nouveaux usages comme les équipements innovants embarqués sur nos véhicules. Et cela, bien sûr, en continuant le garantir le même niveau de sécurité qui demeure exigé. L’approche par les risques reste la clé pour y parvenir.