Sofiane Herida (Lafarge) : « RSSI et DPO, je ne suis pas juge et partie »

Pouvez-vous nous présenter Lafarge France ?

Lafarge France est une filiale à 100 % du groupe suisses Holcim depuis 2015, année où les groupes Lafrage et Holcim ont fusionné. Il s’agissait d’acteurs de tailles équivalentes mais aux marchés complémentaires.

Nous avons plusieurs activités. La première concerne les matériaux de construction (ciment et granulats). Nous avons une autre activité baptisée « solutions constructives » avec le béton et des produits connexes comme l’isolation, le revêtement… Elles ont en commun d’être pleinement engagées dans la décarbonation de leurs process et de leur produits. C’est notre responsabilité comme leader sur nos marchés.

Nous avons deux grands objectifs : baisser de 50 % nos émissions carbone en 2030 par rapport à 2015 et atteindre le Net Zero, soit la quasi-neutralité en 2050. Cela passe bien sûr par la production de ciments et de bétons bas carbone mais aussi par le retraitement des sites d’extraction après épuisement des matériaux, l’utilisation de combustibles les moins toxiques possible et le recyclage des déblais de destruction des bâtiments en béton.

Holcim a opéré en juin 2025 une scission de ses activités en Amérique du Nord. Le groupe est aujourd’hui présent dans une cinquantaine de pays, les activités étant plus moins étendues selon les pays. Le groupe Holcim représente 48 000 collaborateurs pour un chiffre d’affaires de 16 milliards de francs suisses (environ 17 milliards d’euros). Lafarge France réunit 4500 collaborateurs sur plus de 400 sites de production sur tout le territoire et constitue le plus important pays dans le nouveau périmètre du groupe.

Comment est organisée votre IT ?

Nous avons une organisation IT en trois niveaux : groupe, région et pays.

La DSI groupe est située à Zoug, en Suisse. Elle pilote l’informatique, la transformation digitale et nos ambitions en matière d’IA. Il y a des centres de services régionaux (à Madrid pour l’EMEA) et il y a un CISO par région. Le DSI pays n’est pas hiérarchiquement rattaché au DSI groupe : le DSI France est rattaché au CFO France, membre du ComEx. Le DSI du pays est en charge des applications et infrastructures pour le pays ainsi que du support de proximité. Il y a des outils groupe, fournis par le groupe, mais opérés localement avec, si nécessaire, des adaptations et des localisations (par exemple l’ERP SAP, Google Cloud Platform…). Actuellement, nous menons un grand projet de transformation pour remplacer nos outils historiques et obsolètes par SAP sur nos activités Bétons et Granulats.

Les DSI pays comprennent également des Business Relationship Managers (BRM) qui sont des interfaces DSI/métiers au sein de la DSI. Il y a un BRM par ligne métier et un pour les fonctions transverses.

Nous avons encore beaucoup d’informatique avec des infrastructures locales dans les usines. Notre service support couvre nos 400 sites répartis sur tout le territoire grâce à nos antennes locales basées à Paris, Lyon, Nantes, Avignon et Toulouse.

Pour ma fonction de RSSI, je suis rattaché au DSI France.

Quelles sont les grandes lignes de votre architecture ?

Nous avons une architecture hybride. Nos outils collaboratifs sont sous Google et nous tendons à supprimer les outils Microsoft. Sur Google Cloud Platform, nous utilisons notamment l’IA Gemini et le Mobile Device Management. Notre SAP est hébergé chez AWS. Nous avons un CRM SaaS, Salesforce. Nous conservons quelques outils on premise, notamment des logiciels métiers ainsi que les outils de gestion en usines (OT, laboratoires…).

Vous êtes à la fois RSSI (donc en charge de la cybersécurité) et DPO (conformité réglementaire). Cette association rare n’est-elle problématique même si vous n’êtes pas seul dans ce cas ?

En tant que DPO, je suis rattaché au responsable des traitements, c’est à dire notre PDG France, et je travaille avec chaque responsable d’activité. Mais le DPO rend ses avis en toute indépendance. En tant que RSSI, je suis hiérarchiquement rattaché au DSI. Et je travaille étroitement, évidemment, avec la direction juridique et le contrôle interne.

Selon les sociétés, il y a deux profils de RSSI. Il y a les RSSI opérationnels, très techniques. Et il y a les RSSI gouvernance, qui analysent les risques, fixent les orientations… Je suis plutôt dans ce deuxième cas.

RSSI et DPO, je ne suis pas juge et partie. Mes deux fonctions sont au contraire complémentaires. Je vois plus de sujets cybersécurité en tant que DPO qu’en tant que RSSI ! La sensibilité croissante des gens à la sécurité des données personnelles amène à se préoccuper davantage de la cybersécurité.

Quels sont vos enjeux propres en cybersécurité ?

Nos enjeux sont surtout en relation avec l’obsolescence et la dette technique.

Quand on installe une informatique industrielle, c’est pour vingt ans ! Dans certains cas, nous avons encore du Windows Server 2003. Changer le système d’exploitation supposerait de redévelopper les applications qui sont basées sur des technologies qui n’existent plus. Nous ne redéveloppons que si nous y sommes obligés parce que cela a évidemment un coût.

Il nous faut donc gérer la cybersécurité de cette informatique industrielle, notamment par l’isolation. Nous limitons la surface d’attaque mais nous connaissons nos vulnérabilités et nous les traitons.

De même, le patch management demeure, chez nous, compliqué.

Nous devons également maîtriser et contrôler les outils utilisant tous types d’IA.

Pour l’IAG, nous avons une instance privée de Google Gemini. Et, pour l’instant, nous ne bloquons pas ChatGPT. Mais nous travaillons en parallèle à une charte d’usage opposable.

Nous utilisons l’IA pour optimiser nos process industriels et logistiques. Nous commençons également à travailler sur des cas d’usage en Finance. Mais l’IA est en mouvement perpétuel et nous sommes encore en phase d’apprentissage. Mais, même si nous y réfléchissons, nous n’avons par pour l’instant de cas d’usage industriel. Pour l’heure, nous sommes encore en phase d’apprentissage. L’IA est un vrai sujet. L’IAG est une première marche, la charte sera une deuxième et l’optimisation industrielle viendra après.

Bien sûr, nous avons une problématique de sécurisation du Cloud. Plus nous externalisons, plus nous devons garantir la cybersécurité des données hébergées sur des infrastructures qui ne nous appartiennent pas.

Pour y parvenir, quelles sont vos approches ?

Nous appliquons une démarche classique de Zero Trust et de moindre privilège nécessaire. Sur ces fondations, nous bâtissons des briques comme l’IAM, le SSO, la MFA… Nous bloquons les flux de données s’il n’y a pas la cybersécurité nécessaire sur les accès concernés (SSO/MFA…).

Bien entendu, nous avons aussi une sécurité périmétrique classique.

Ma méthode est d’identifier des chemins d’attaques puis les maillons faibles de ce chemin.

Enfin, nous souscrivons des contrats auprès de spécialistes de la veille sur les cyber-menaces, qu’elles soient générales ou en lien avec nos systèmes.

Quels défis vous reste-t-il à relever ?

Nos défis sont plutôt autour de la conformité. Nous devons analyser les risques en cas de non-conformité à un grand nombre de réglementations. Nous avons l’obligation de réviser en permanence nos processus. Je constate que je fais de plus en plus de la conformité et de moins en moins de la cybersécurité pure.