Marjorie Huet (Dekra) : « les métiers doivent prendre conscience des enjeux de sécurité »

Pouvez-vous nous présenter Dekra ?

Dekra a été fondée en 1925 pour assurer la sécurité routière. Au fil des années, son activité s’est étendue à la sécurité en général (automobile et mobilités au sens large, bien sûr, mais aussi d’autres domaines comme l’industrie) et à la responsabilité environnementale.

Notre expertise est centrée autour de ce que nous nommons « TIC » : tests, inspections et certifications. Si nous sommes surtout connus par le grand public pour nos plus de 6,5 millions de contrôles techniques automobiles par an, la plus grosse business unit en chiffre d’affaires en France est Dekra Industrial, spécialisé en prévention des risques techniques et humains afin de garantir la sécurité et la durabilité.

Nous avons aujourd’hui plus de 48 000 collaborateurs dans le monde dont environ 5000 en France (7800 sur la zone France-Portugal-Espagne-Maroc) et nous avons généré en 2023 un chiffre d’affaires de 4,1 milliards d’euros.

Quelle est votre organisation IT et cybersécurité ?

La sécurité de l’information a été séparée de l’IT il y a trois ans. Ma direction est dédiée à la sécurité de l’information au sens large, ce qui intègre, bien sûr, la cybersécurité mais aussi, par exemple, la sécurité des documents papier.

Au niveau global, le CISO s’occupe de cyberdéfense (monitoring, veille…) et définit la stratégie ainsi que la politique générale de sécurité de l’information. Dans chaque région, il y a un RISO (dont moi) rattaché hiérarchiquement à l’Executive Vice President région. Enfin il y a un Local Information Officer (LISO) par entité, rattaché au directeur général de celle-ci.

Comme vous pouvez le constater, chaque responsable de la sécurité de l’information est au plus près du business. La mise en œuvre d’une politique de sécurité de l’information est à chaque fois sous la responsabilité du directeur général d’entité qui s’appuie, pour cela, sur son LISO.

Au niveau IT, il y a une organisation hybride avec d’une part une IT globale qui s’occupe des infrastructures et des applications communes et, d’autre part, une IT locale pour les applicatifs métiers.

Quelles sont les grandes lignes de votre architecture IT ?

Notre SI est très hybride. Certaines solutions sont dans le Cloud, d’autres au contraire en local. Dans ma région, j’ai 24 entités et chacune est particulière. Il peut y avoir du SaaS comme du On Premise mais nous n’avons nulle part d’approche full cloud.

Comment assurez-vous la cybersécurité ?

D’un point de vue opérationnel, l’implémentation technique des outils relève de l’IT Security, intégrée à la DSI. La sécurité de l’information (CISO, RISO, LISO) travaille avec les métiers pour sécuriser leurs process. Quand je dis « métiers », j’intègre aussi les fonctions support. L’objectif est que la sécurité soit bien intégrée dans tous les projets et de toujours responsabiliser les métiers en matière de sécurité. Il faut leur faire prendre conscience des enjeux de sécurité dans la résilience de l’entreprise.

De ce fait, la sensibilisation doit être fondamentale dans votre approche. Comment l’assurez-vous ?

En premier lieu, il y a l’information délivrée au niveau global par des articles sur l’intranet, des formations en e-learning, etc. Selon les entités, il peut y avoir, dans certains cas, des formations rendues obligatoires par des certifications type ISO 27001 ou TISAX.

Au niveau local, nous déclinons les formations globales. Mais ce n’est pas ce que l’on peut appeler sensibilisation.

La sensibilisation, ce sont des formats courts qui permettent d’informer sur un risque précis. Les campagnes de sensibilisation, sur l’intranet ou par un mail mensuel avec des liens vers des vidéos de deux minutes sur le thème du mois, sont accompagnées d’un quizz pour vérifier que le collaborateur a bien compris le message. Il n’y a cependant pas de renvoi direct vers l’e-learning. Nous avons récemment lancé un concours entre entités pour voir qui aura le meilleur taux de suivi des campagnes. La première année de campagnes nous satisfait.

Bien sûr, nous réalisons des campagnes de faux-phishing. Les outils sont au niveau groupe mais les campagnes sont réalisées localement par le LISO.

On ne peut pas sensibiliser un utilisateur dans une langue autre que la sienne. Nous déclinons donc tous nos dispositifs dans la langue locale. Les contenus sont traduits, éventuellement adaptés par des collaborateurs du pays visé (les traductions automatiques ne sont pas adaptées et il est indispensable de prévoir au minimum une révision par un locuteur natif de la langue concerné).

La guerre des talents est-elle, pour ce qui vous concerne, un problème ?

Il est actuellement très difficile de recruter. Les postes restent parfois ouverts longtemps. Il est difficile de trouver les bons profils en termes de formation et d’expérience. Les jeunes diplômés se vendent trop cher.

Chez Dekra, j’ai fait évoluer des profils internes, par exemple issus du support applicatif ou des experts en audit qualité, avec des expériences et des formations très différentes.

Enfin, quels vont être vos défis en 2025 ?

Les défis ne s’arrêteront pas en 2025 !

D’abord, nous devons renforcer notre protection et la résilience de nos activités. Nous avons des projets en matière de conformité réglementaire (nous ne sommes pas concernés par NIS2 pour l’instant).

Nous devons accroître l’information sur les menaces tant vis-à-vis des collaborateurs ordinaires que vis-à-vis du ComEx.

Le recours à l’IAG pour des attaques par ingénierie sociale constitue sans doute un défi important. Il y a déjà eu des tentatives, jusqu’à présent toujours détectées à temps. Nous avons veillé à sensibiliser fortement les décideurs et à mettre en place des process de contrôles internes formalisés.

Enfin, ce qui me tient à coeur, c’est de remonter la sécurité au niveau stratégique. Notre organisation le permet. La prise en compte des risques sur l’information est stratégique car ces risques menacent la résilience même de l’entreprise. Ce n’est pas seulement une question d’IT.