Marc Tournier (Eramet) : « la cybersécurité, c’est ‘People Process Tools’ dans le bon ordre »

Pouvez-vous nous présenter Eramet ?

Eramet est un groupe minier, spécialisé dans l’extraction et le traitement des minerais. Nous nous revendiquons comme acteur mondial de la valorisation responsable des métaux tels que le manganèse, le nickel, le lithium, les sables minéralisés (zirconium, cobalt…), etc. . Le monde a besoin de métaux mais issus de mines responsables. Par exemple, une décision stratégique forte a été de refuser de travailler sur des mines sous-marines. Nous travaillons à la remise en l’état de sites exploités https://www.republik-it.fr/decideurs-it/cas-usage/pratiques/eramet-rehabilite-un-site-minier-en-s-appuyant-sur-l-ia.html , à la récupération ou à la compensation du CO² généré…

Notre responsabilité n’est pas seulement environnementale. Nous sommes particulièrement fiers de notre TF2 (taux de fréquence n° 2) de 0,97. Il s’agit du nombre d’accidents du travail par million d’heures travaillées, salariés et sous-traitants inclus (TF1 : avec arrêt, TF2 : avec ou sans arrêt). Nous avons également un taux de femmes managers de 28,1 % dont notre PDG, Christel Bories.

Nous comptons aujourd’hui 10 160 collaborateurs et nous sommes présents dans 16 pays. Notre chiffre d’affaires et notre marge sont extrêmement variables d’une année sur l’autre puisqu’ils dépendent de nombreux facteurs exogènes tels que les cours des métaux. L’an dernier, notre chiffre d’affaires était de 3,4 milliards d’euros.

Quelle est votre organisation IT ? Etes-vous rattaché à la DSI ?

La DSI est en effet groupe et j’y suis rattaché. La cybersécurité est une fonction uniquement groupe.

Les entités IT de filiales sont en charge des particularités métiers (l’extraction du manganèse n’a pas besoin des mêmes outils que la collecte du lithium par exemple) et des services de proximité. Nous avons des particularités à prendre en compte. Par exemple, il faut savoir qu’aucun disque dur mécanique ne fonctionne à 4000 mètres d’altitude.

Par contre, les applications standards transverses (ERP, SIRH…) sont mutualisées.

La cybersécurité est tout à fait transverse : IT, OT et « DSI étendue ». Cette dernière intègre tous les outils que nous ne maîtrisons pas directement comme ceux des partenaires avec qui nous échangeons, les SaaS, etc.

Quels sont vos enjeux spécifiques de cybersécurité ?

Notre risque majeur est la destruction du système d’information. Sur un site de production, ce serait catastrophique car tout est piloté informatiquement et, souvent, un arrêt de production est inenvisageable car ce serait destructeur pour les installations. La logistique repose également sur l’informatique. Parmi nos activités, nous gérons le train Transgabonais qui opère du transport de manganèse mais aussi d’autres types de fret et du trafic passagers.

Au niveau informatique groupe, ce serait également problématique. Comme tout le monde, nous avons des paiements, de la gestion des ressources humaines, etc. Partout dans le groupe, l’IT et l’OT sont interconnectés et une corruption sur l’un pourrait contaminer l’autre.

En impact, les autres risques sont moindres. Notre sujet prioritaire est donc clairement la cyberdéfense contre, bien sûr, les cybermalveillants classiques (y compris militants) mais aussi ceux plus ou moins sponsorisés par des états.

Quelles approches développez-vous ?

J’ai une formule habituelle, un véritable mantra : pour moi, la cybersécurité, c’est ‘People Process Tools’ dans le bon ordre.

D’abord, c’est « People ». Il faut que les équipes soient en place. Seulement ensuite, c’est « Process ». Il faut mettre en place les procédures. Alors, et seulement alors, on peut se préoccuper des outils (« Tools »), les choisir et les mettre en oeuvre. Enfin, il faut avoir une démarche d’amélioration continue.

Nous avons, au niveau groupe, des techniques et des stratégies qui s’appliquent partout et à tous. Par exemple, il y a un EDR déployé sur tous les terminaux, Windows comme Linux. Et nous avons évidemment une sécurité périmétrique classique.

Nous contrôlons de manière systématique les vulnérabilités. Il n’y a rien d’extraordinaire à cela mais il faut juste que cela soit fait et bien fait. Et s’en assurer.

Nous avons aussi développé une approche particulière. Comme chacun sait, la conformité n’est pas de la sécurité et se contenter de veiller au respect des règles est insuffisant. Nous avons donc étudié les techniques des attaquants. Tous les fournisseurs annoncent qu’ils découvrent toutes les attaques : « nous avons vu ceci. Nous avons vu cela. » Mais si on le voit, l’attaquant est déjà là. Donc c’est trop tard. Nous avons donc choisi de développer une stratégie de leurre (« honeypot »). Cette approche permet de s’assurer qu’un événement est bien une attaque. Sur un leurre bien fait, il n’y a aucun faux positif. Bien sûr, cette approche a un coût mais celui-ci est moindre que bien d’autres et est très efficace.

Vous avez des sites dispersés à travers le monde, souvent isolés donc pas ou mal connectés. Quelles sont les conséquences ?

Contrairement à ce que l’on pourrait peut-être croire, tous les sites sont connectés ! Celui qui dit « mon site n’est pas connecté » se trompe.

D’abord, un mainteneur quelconque va nécessairement se connecter au réseau local avec une machine externe. Il y a toujours un réseau local et il y a toujours quelqu’un qui a mis en place une connexion Internet. Si vous êtes persuadé qu’il n’y a pas de lien, vous allez juste le rater. Même au Pérou, à 4000 mètres d’altitude, nous avons une connexion Internet qui utilise la fibre déployée le long de la route. Le Transgabonais, au milieu de la jungle, possède un réseau fibre le long des voies. Le satellite est en général disponible en back-up.

Pour terminer, quels sont les défis que vous avez encore à relever ?

Nous en avons déjà relevé beaucoup !

Notre premier défi, c’est de garder le rythme maintenant que l’essentiel est fait ! Nous devons encore faire les 20 % qui restent mais qui représentent 80 % des difficultés.

Un autre grand défi concerne tout ce qui touche à la mobilité en post-Covid. Nous devons tout sécuriser sans aucun retour en arrière au niveau des usages.