Sylvain Coquio (Manutan) : « nous cherchons à tirer des opportunités de chaque crise »
Par Bertrand Lemaire | Le | Cas d’usage
Distributeur B2B, Manutan a subi une cyber-attaque le 21 février 2021. Sylvain Coquio, DSI du groupe, revient sur les leçons tirées. Du pire peut jaillir l’opportunité d’une remise à plat et de davantage de performance, comme ce cas le montre.
Pouvez-vous nous présenter Manutan ?
Manutan est un distributeur B2B avec une place de leader en Europe. Nous sommes présents dans 17 pays au travers de 27 filiales avec 700 000 références-produits distribuées par nos 12 plates-formes logistiques (dont 3 en France). Nos 2200 collaborateurs (dont 1200 en France) nous permettent de générer un chiffre d’affaires de 906 millions d’euros en servant plus d’un million de clients (dont plus de 125 000 en France).
Nous avons trois segments de clientèles : les entreprises (matériel de bureau, équipement professionnel…), les collectivités locales et établissements publics (surtout en France, avec une filiale « écoles » et une autre « équipements sportifs ») et enfin les artisans (surtout en Grande-Bretagne, pour l’électricité, la quincaillerie, etc.). Mis à part quelques magasins pour les artisans, nous servons nos clients en livraison directe à partir de nos entrepôts.
Historiquement, nos ventes se faisaient sur catalogue. Aujourd’hui, s’il reste un catalogue, ce canal est très marginal. L’essentiel de nos ventes s’opère par e-commerce et e-procurement. Outre notre boutique en ligne, nous sommes présents sur des places de marché internes ou externes à de grands groupes avec prises de commandes transmises par EDI.
Comment est organisée la DSI ?
En théorie, il n’existe qu’une seule DSI à l’échelle du groupe. Cependant, certaines entreprises rachetées récemment ne sont pas encore totalement intégrées. En particulier, l’activité « artisans » a un SI très spécifique. Les WMS sont en cours d’homogénéisation. Au final, l’IT groupe représente en fait environ 80 % de l’IT, le solde étant géré par des DSI locales. La DSI rassemble 200 collaborateurs.
Quels sont les grands principes d’architecture de votre SI ?
D’après notre recensement, nous avons 280 applications dont 80 en SaaS. Au fil des années, le shadow IT a proliféré et nous sommes en train de rationaliser tout cela. Nous disposons de quatre datacenters hébergés sur Equinix, en fait deux paires en réplication : deux anciens et deux nouveaux en cours de migration.
Nous n’avons pas de démarche « moove to cloud » systématique. Nous faisons en effet attention à ne pas tout migrer sur des clouds américains. Nous voulons également maîtriser nos coûts. Donc nous jugeons au coup par coup, avec pragmatisme. Pour du débordement, en cas de besoin, nous pouvons recourir à du IaaS sur Microsoft Azure.
Que s’est-il passé le dimanche 21 février 2021 ?
J’étais en vacances et j’ai été prévenu avant dix heures qu’il y avait un gros problème. Vers huit heures du matin, un de nos collaborateurs a voulu accéder à nos locaux mais le système de gestion d’accès était en panne. Il a réussi à rentrer en utilisant la procédure manuelle et il a pu constater que tout le système d’information était bloqué par un ransomware.
Nous payions le prix d’une politique d’investissements insuffisants pour assurer la maîtrise de nos infrastructures les années passées. Nous avions beaucoup de serveurs obsolètes.
A l’occasion de cette crise, l’entreprise a pris conscience de l’importance du SI et de son infrastructure. Nous avons donc pu lancer un chantier de remise à niveau des technologies et déployer de nouvelles solutions de cybersécurité (comme un SIEM).
Du coup, en août 2022, nous avons pu stopper aussitôt une attaque par phishing utilisant un partage de fichiers Teams : aujourd’hui, nous avons les outils. Un seul poste a été infecté. Les pirates ont pu récupérer le carnet d’adresses et envoyer un mail de phishing que nous avons donc aussitôt bloqué.
Comment a été gérée la crise de février 2021 ?
Dans la sérénité ! Nous avons été aidé par un cabinet missionné par notre cyber-assureur. Celui-ci nous a permis de mieux gérer la communication interne/externe, la crise, la relation avec les pirates, la relation avec les autorités (notamment la CNIL)… et enquêter sur le déroulé des faits.
Face à la cyber-attaque, nous avons choisi de communiquer plutôt que de tenter de cacher le problème. Nous avons donc monté des cellules de communication par communautés : clients, fournisseurs, partenaires (transporteurs…)… Autant que possible, nous avons tenté de rediriger vers une foire-aux-questions en ligne.
La gestion de crise devait aboutir à la remise en route intégrale. Mais elle incluait un ordre de remise en route et des procédures à appliquer.
Contrairement à la plupart des cyber-attaques, dans votre cas, les sauvegardes en ligne ont été préservées. Pourquoi cette particularité ?
Nous avons recours à des appliances (Rubrik en l’occurrence) avec un OS spécifique que les pirates n’ont pas réussi à pénétrer. La restauration a pu être réalisée sans problème : tout a très bien fonctionné.
Quelles leçons avez-vous tirées ?
Déjà, nous nous sommes dotés de nouveaux outils, comme un SIEM par exemple.
Et nous avons surtout lancé un programme, baptisé Horizon, de création de nouvelles infrastructures. Nous ne migrons pas les applications : nous recréons l’infrastructure et nous réinstallons les applications, avec une règle d’APIsation systématique, en migrant les données. Si l’application n’est pas apte à être installée sur la nouvelle infrastructure, nous la maintenons dans l’ancienne en la sanctuarisant et en la considérant comme non-sure, en attendant de la remplacer.
Nous avons fait le choix d’internaliser nos infrastructures en mode cloud privé gérées avec des équipes internes. Nous avons mis en œuvre de nouvelles manières de travailler en déployant des méthodes agiles à l’échelle.
Pour le SOC, nous avons par contre choisi de recourir à un service externe. En l’occurrence, c’est iTracing qui a gagné l’appel d’offres. Mais tous les outils sont à nous. Nous pouvons donc changer de SOC quand nous le voulons.
En fait, ça serait presque un mal pour un bien : l’incident nous a permis de préparer la nouvelle phase de digitalisation de l’entreprise et sa transformation pour les quinze prochaines années.
Avez-vous adopté le télétravail et, si oui, quelles précautions prenez-vous en matière de cybersécurité ?
Je suis arrivé pour gérer la crise sanitaire Covid-19 ! Les décisions de confinements ont été variables selon les pays et le télétravail a donc pu se mettre en place progressivement dans le groupe. Nous avons dû distribuer massivement des PC portables. Comme nous avons passé rapidement les commandes, nous avons eu la chance d’être servis vite. Nous avons ensuite distribué les postes en mode usine dans le gymnase.
Aujourd’hui, la règle est entre deux et trois jours de télétravail dans tous les bureaux. Sans être en flex-office intégral, nous avons dimensionné nos bureaux pour que tout le monde ne soit pas là en même temps. Mais nous avons fait en sorte que nos bureaux soient agréables et facilitent la collaboration pour les personnels en présentiel. Cela dit, nous mettons beaucoup d’emphase sur les formations en cybersécurité. Pour qu’un collaborateur ait le droit de télétravailler, il faut d’ailleurs qu’il réussisse une série de tests. Nous veillons aussi à organiser régulièrement des ateliers pour partager les bonnes pratiques.
Pour nos propres salariés, nous avons fourni du matériel pour leurs domiciles (sièges, tables…). Cette expérience nous a amené à développer des offres d’équipement « télétravail » pour nos clients.
Nous nous voulons entreprise agile et nous cherchons à tirer des opportunités de chaque crise.
Vous êtes un distributeur B2B et la France va rendre la dématérialisation des factures B2B obligatoire. Pour vous, est-ce un sujet ?
Toute l’Europe est en train d’adopter cette approche. L’Italie, c’est déjà fait. Le prochain pays sera sans doute la Pologne. Nous avons une démarche où nous digitalisons beaucoup et nous cherchons à supprimer tout le papier. Ce chantier est donc dans la continuité de notre stratégie.
Nous avons, il y a deux semaines, choisi un prestataire pour la dématérialisation des factures et leur archivage légal. Le démarrage de leur prestation est prévu début janvier.
Quels sont vos prochains défis ?
Dans le cadre de la refonte en cours, la finalisation du schéma directeur est le défi le plus immédiat.
Bien entendu, la gestion des talents est, comme pour tout le monde, un autre défi. Aujourd’hui, recruter sur la data est presque plus dur que sur la cybersécurité. Nous avons recours à beaucoup de freelances et nous mettons en avant notre pratique du télétravail.
Enfin, peut-être que le plus important défi est l’émergence de l’économie circulaire et la place prise par la RSE. Cela mène à un virage stratégique pour Manutan. Mettre en place une reprise du matériel, avec de la reverse-logistique et du traitement des équipements collectés, implique d’adapter l’IT à ces nouveaux processus métiers avec, parfois, des intégrations à des places de marché. Certains clients ont des obligations en tonnes d’achats responsables et nous devons nous adapter à leurs demandes d’information.