Robert Amatu (Veolia) : « notre approche est à la fois mutualisée et locale »

Pouvez-vous nous présenter Veolia ?

Lorsque vous avez interviewé Didier Bove, il vous a détaillé notre organisation et notre raison d’être : « la transformation écologique ». Rappelons simplement que notre Groupe conçoit et déploie des solutions utiles et concrètes pour la gestion de l’eau, des déchets et de l’énergie.. Il réalise un chiffre d’affaires de plus de 40 milliards d’euros et emploie plus de 200 000 personnes dans le monde.

Bien entendu, les outils numériques sont largement utilisés dans chacune de nos unités dans le monde. Et ces outils doivent être sécurisés. Pour y parvenir, nous avons 80 équipes dédiées à la cybersécurité dans le monde.

Un point très important est que nous fournissons des services essentiels, vitaux, qui sont locaux par nature. Nous devons donc apporter une réponse locale.

Dans ce contexte, notre approche est celle du « copy and adapt » (copier et adapter). Nous gardons ainsi l’agilité locale tout en fédérant autant que possible pour gagner en effet de levier.

Comment, dans ce contexte, est gérée la cybersécurité ?

Précisément, notre approche est à la fois mutualisée et adaptée localement. Chaque site industriel étant unique, il est indispensable d’avoir une gestion locale de sa cybersécurité. En fédérant au niveau groupe, nous bénéficions d’effets de levier, et échangeons sur les meilleures pratiques, ce qui permet de nous enrichir mutuellement.

Dans le groupe, 150 personnes sont totalement dédiées à la cybersécurité dont une vingtaine au siège. CERT et SOC sont des équipes internes qui montent actuellement en puissance. Il s’agit autant de sécuriser le Legacy que nos nouveaux systèmes.

Le CIO est rattaché à la direction financière. En tant que directeur de la cybersécurité groupe (CISO), je suis rattaché à la direction de la sûreté qui est elle-même rattachée au Secrétaire Général du groupe. La répartition de nos responsabilités rend le contrôle plus aisé.

Vous avez beaucoup d’installations industrielles, nécessairement connectées, à sécuriser. Comment assurez-vous la cybersécurité de l’OT ?

La cybersécurité industrielle est assurée localement pour couvrir nos besoins spécifiques avec les systèmes SCADA, en s’appuyant sur une expertise et des lignes de conduite de la direction cybersécurité groupe.

Plus largement, quelle est votre approche de la cybersécurité dans le cadre de la stratégie technologique présentée dans l’interview de Didier Bove ? 

Stratégiquement, nous avons fait le choix de cloudifier le SI avec une approche de pay-as-you-use (paiement à l’usage) et un partenaire majeur, Google.

Côté avantages, nous évitons ainsi le cauchemar du suivi du recensement du parc et du déploiement des patches de sécurité. Aucune entreprise “on premise” n’a une connaissance exhaustive de son parc. Et une faiblesse quelque part, c’est une faiblesse pour l’ensemble du SI. La cloudification est donc en elle-même un gage de cybersécurité.

Google, selon nous, est un partenaire solide notamment face à des menaces telles que le phishing. Ses solutions de machine learning (apprentissage machine) sont les plus efficaces.

L’informatique centrale et locale tend à être sur le cloud à plus de 70 %, toujours en progression. Le restant est le plus souvent issu de rachats plus ou moins récents et est simplement en cours de migration. L’OT est exclusivement locale et amenée à le rester.

Au niveau groupe, nous utilisons les outils SIEM et SOAR de Google. Et l’action du Global SOC est complétée par des SOC historiques locaux ou des MSSP.

Bien sûr, nous opérons des audits réguliers d’abord en interne mais aussi via des entreprises externes. Nous sollicitons aussi des hackers éthiques pour des pentests. Chaque année, il y a au moins un audit externe partout. Et nous changeons de prestataire d’une année sur l’autre. Cela nous permet de mesurer les progressions et d’identifier, le cas échéant, les besoins d’actions. Actuellement, nous sommes d’ailleurs en train de déployer l’EDR de Crowdstrike.

L’erreur humaine est souvent pointée dans les cyber-incidents. De ce fait quelle est votre approche dans la sensibilisation des personnels ?

Ce sujet est spécifiquement confié à Jean-François Jacqueton, qui m’est directement rattaché. C’est en effet un sujet majeur. Bien entendu, nous adaptons nos exercices aux besoins de nos collaborateurs et managers dans les activités industrielles et tertiaires. La « faille humaine » relève en général plus de la négligence ou de l’ignorance que de la malveillance. On peut en limiter les conséquences avec un EDR.

Dans le cadre du Cyber-Mois (Octobre), nous organisons un événement pour 1300 collaborateurs. Et, toujours avec la logique « copy and adapt », les Etats-Unis veulent réaliser quelque chose de similaire. Pour vérifier la maturité de chaque direction, nous réalisons aussi régulièrement des campagnes de faux-phishing pilotées en central.

Pour nous entraîner à réagir, nous organisons régulièrement des exercices de cyber-crise. Ces exercices sont réalisés avec nos Business Units et les comités de direction ainsi que le ComEx. Nous simulons des attaques et nous travaillons sur la réaction de chacun, y compris en termes de gestion du stress. Nous traitons bien sûr les soucis techniques et opérationnels, en vérifiant que chacun applique bien les procédures, mais aussi les points liés au juridique, à la communication, etc. Nous avons organisé un tel exercice en juillet à Marseille et en septembre à Milan. D’autres sont déjà planifiés. Nous avons pu constater que les participants avaient un bon niveau, sans doute grâce à leur culture industrielle, et nous avons eu d’excellents retours. Les participants apprécient aussi l’aspect « team building ».

Au niveau du ComEx, où j’ai constaté une vraie appétence, nous avons mis en place des ateliers.

Les nouveaux embauchés suivent un parcours « Passeport cybersécurité » mis en place avec la DRH. Il est destiné, à terme, à tous les collaborateurs. Son but est de les former à des bases comme l’identité numérique, le bon usage des clés USB, la prévention des ransomwares, etc. Nous visons une amélioration continue sur le sujet. Par exemple, nous allons créer une version simplifiée pour les opérateurs industriels.

Sur les sites industriels, nous avons mis en place des stations de contrôle de périphériques USB. A ce jour, nous n’avons eu qu’une seule alerte avec un problème d’origine domestique. Nous avons plus de 1000 sites industriels avec des obligations locales. Avec l’approche « copy and adapt », nous pouvons garder un niveau standard de cybersécurité avec des informatiques variables selon les sites.

Les cyber-menaces passent de cyber-risques à cyber-certitudes et l’AMRAE a pointé des difficultés en matière de couverture assurantielle. Du coup, comment traitez-vous la question de la cyberassurance ?

En 2022, les grands assureurs hésitaient à maintenir une offre de contrat pour couvrir les cyber-risques. Et le marché était alors particulièrement instable.

Du coup, Veolia a participé à une initiative ayant abouti à la création d’une société d’assurance mutuelle dénommée Miris (Mutual Insurance and Reinsurance for Information Systems). Celle-ci fonctionne comme une coopérative réunissant une douzaine de « bons élèves » avec une cagnotte mutualisée.

Nous nous réunissons aussi pour échanger sur les bonnes pratiques et pour nous challenger les uns les autres. Nous sélectionnons les membres par cooptation après avoir vérifié que chaque nouveau membre respecte bien les règles.

Quels sont vos défis actuels ?

Le premier, bien sûr, est de recruter les talents dont nous avons besoin. Au niveau groupe, j’ai fait le choix d’un objectif de parité. La moyenne du marché est de 11 % de femmes, nous en sommes, nous, à 45 %. Nous souhaitons être « parité by design ». Et j’ai pu constater que c’était très positif, notamment parce que le sens du collectif est davantage développé et la vision plus large. Je peux même affirmer que nos meilleurs ingénieurs sont des femmes ! Le challenge, c’est bien sûr de donner envie aux femmes de se lancer dans la cybersécurité, en particulier celle de l’OT. Dans les éléments qui motivent les talents pour nous rejoindre, il y a le fait que nos ingénieurs en cybersécurité ont une certaine autonomie et ne subissent pas une organisation taylorienne. Ici aussi, l’adaptation est notre maître-mot.

Un autre défi, même si c’est du « business as usual », est de terminer le déploiement de l’EDR de Crowdstrike et la mise en place du Global SOC. Ce n’est pas le genre de projet qui soulève l’enthousiasme des foules mais il faut pourtant bien le faire !

Enfin, il nous faut toujours mieux connaître les cyber-risques associés à l’OT.

Sur le même sujet

- Didier Bove (Veolia) : « le numérique accompagne notre transformation écologique ».