Michael Perrino (Sonepar) : « nous devons pouvoir agir partout en temps réel »

Pouvez-vous nous rappeler ce qu’est Sonepar ?

Sonepar est un distributeur B2B de matériel électrique implanté dans 40 pays. Il s’appuie sur l’expertise de ses 50 000 collaborateurs pour réaliser un chiffre d’affaires de 33,3 milliards d’euros.

Comment sont organisées votre IT et votre cybersécurité ?

Jusqu’à présent, chaque pays ou entité chez Sonepar gérait de manière autonome son propre environnement IT, avec un total de 42 infrastructures distinctes. Cela impliquait une gestion indépendante des budgets et des ressources, sans harmonisation à l’échelle du groupe. La cybersécurité, de son côté, souffrait de la même fragmentation, avec des investissements disparates selon les capacités et priorités locales, créant ainsi des niveaux de sécurité inégaux au sein du groupe.

Lors de mon expérience chez CMA CGM, la situation était similaire. En l’espace de trois ans, j’ai mis en place une sécurité des systèmes d’information complète à l’échelle du groupe. Reconnu pour mon rôle de « CISO transformateur », j’ai été sollicité par Sonepar, qui partageait cette même ambition de structurer une cybersécurité unifiée. Le principe est désormais clair : « un anneau pour tous les gouverner ». Nous avons instauré une stratégie unique et une gouvernance centralisée en cybersécurité, même si l’IT reste décentralisée. Toutes les ressources cybersécurité du groupe me sont désormais rattachées, et aucun contrat ne se signe sans l’approbation de la direction groupe, renforçant ainsi le contrôle global et l’efficacité de notre approche.

En ce qui concerne l’organisation des équipes, nous avons structuré nos efforts autour d’une gouvernance claire. Nous comptons un CISO par région (trois dans le monde) et des responsables pour chaque fonction globale (CERT, SOC, etc.), avec des entités locales spécialisées jouant un rôle global. Aujourd’hui les fonctions de cybersécurité comptent seulement 47 collaborateurs, ce qui pose un réel défi en termes de ressources humaines pour accompagner cette transformation ambitieuse.

Du coup, quelle est l’architecture de votre IT et de votre cybersécurité ?

Historiquement, il n’y avait pas de logique groupe sur l’architecture et les choix de solutions. L’objectif est de mettre en œuvre une infrastructure globale, sous l’égide d’Olivier Guilleminot, directeur des infrastructures groupe. Nous avons donc établi des contrats globaux avec Zscaler pour la sécurisation des accès et avec Microsoft pour l’EDR (Endpoint Detection and Response). Cette centralisation des solutions, couplée à la consolidation des équipes, nous permet d’améliorer significativement notre capacité à détecter, réagir et prévenir les menaces en temps réel, sur l’ensemble de notre périmètre mondial. Ceci afin d’assurer une protection rigoureuse de bout en bout, quel que soit le point d’accès ou la localisation.

Sonepar dispose de nombreuses agences dans de multiples pays. Comment faites-vous, justement, pour assurer la cybersécurité partout ?

Précisément, nous modifions l’organisation avec des relais régionaux et la mise en place d’une vraie communication au sein du groupe. Nous déployons des outils communs, gérés globalement, ce qui simplifie les choses par rapport au passé. Les agences sont encore gérées par l’IT locale, mais chaque agence est une porte d’entrée pour l’entreprise, ce qui exige une visibilité totale sur notre parc informatique, notamment grâce des outils de gestion des actifs.

D’ici la fin du premier trimestre 2025, nous adopterons une approche « Secure by design ». Pour renforcer cette dynamique, nous mettons en place un cadre de gouvernance rigoureux, et des échanges continus entre les équipes IT et cybersécurité. Ce processus garantira que chaque projet, depuis sa conception, intègre les meilleures pratiques en matière de sécurité.

D’ici fin 2025, nous aurons mis en place un socle de base comprenant un outil de GIA (gestion des identités et des accès) avec authentification multifacteur, généralisé à toutes les applications du groupe, ainsi que le déploiement de Zscaler. Bien sûr, nous devons prioriser, en nous concentrant sur les applications les plus critiques, notamment celles exposées à Internet. Zscaler nous aide à réduire notre exposition.

Comment menez-vous la sensibilisation de vos collaborateurs à la cybersécurité ?

Jusqu’ici, la sensibilisation à la cybersécurité était très décentralisée et hétérogène, chaque entité menant ses propres initiatives avec des niveaux de maturité et d’engagement variables. Désormais, nous passons à une approche unifiée et centralisée à l’échelle du Groupe, avec pour objectif d’établir un socle solide commun de sensibilisation et de montée en compétences.

Pour initier cette transformation, nous avons lancé une première formation digitale Groupe à l’occasion du Mois de la Cybersécurité, permettant un suivi centralisé du niveau de sensibilisation des collaborateurs. Mais nous voulons aller plus loin. Nous travaillons sur des approches innovantes qui connectent davantage la cybersécurité à la vie quotidienne des collaborateurs, pour qu’ils réalisent que ces enjeux touchent autant leur sécurité personnelle que celle de l’entreprise. Notre objectif étant de créer une véritable « culture cybersécurité » à l’échelle du groupe.

Sonepar se veut « centré clients ». Qu’est-ce que cela implique pour la cybersécurité ?

En cybersécurité, nous avons deux types de clients. D’un côté, nos clients internes, les métiers, pour lesquels nous devons garantir un environnement de travail sécurisé, en protégeant leurs outils, leurs données et leurs opérations. De l’autre, nos clients et partenaires externes, dont nous devons garantir la protection lors des échanges de données et des interactions avec nos systèmes. Dans le cadre de nos obligations légales, en cas de compromission, nous devons être en mesure d’identifier précisément les clients et entités concernés pour les notifier rapidement. Cela nécessite une gestion rigoureuse des identités et des accès, avec une traçabilité complète des connexions et des interactions au sein de notre infrastructure.

Mon expérience chez CMA CGM m’a démontré que la cybersécurité, en tant qu’élément stratégique, a un impact direct sur la relation client. En renforçant nos mesures de sécurité, nous avons pu conclure des contrats avec des clients stratégiques, notamment dans des secteurs hautement régulés comme la Défense. Une approche orientée client en cybersécurité est essentielle, c’est un atout stratégique qui stimule le développement commercial et renforce la confiance de nos partenaires.

La facturation électronique obligatoire entraîne une croissance importante des volumes d’échanges électroniques. Avez-vous des craintes ou des mesures particulières prévues ?

Cela va naturellement entraîner une hausse significative des volumes d’échanges électroniques, ce qui renforce notre vigilance en matière de sécurité.

Nous allons également revoir les informations incluses dans les factures pour nous assurer que seules les données strictement nécessaires à l’émission et au paiement soient transmises, limitant ainsi toute exposition inutile. Cela fait partie de notre stratégie de réduction de la surface d’attaque potentielle. En cas d’incident, nous avons mis en place des processus qui nous permettent d’intervenir rapidement et d’informer immédiatement les parties concernées. Cette transparence est essentielle pour préserver la confiance de nos partenaires.

Pour terminer, quels sont vos enjeux actuels et défis pour 2025 ?

Ma feuille de route est claire pour les trois prochaines années, avec des objectifs ambitieux pour le groupe. Le premier pilier, c’est l’adoption du Zero Trust à tous les niveaux. En collaboration avec Olivier Guilleminot, nous allons non seulement simplifier le système d’information mais aussi renforcer sa sécurité, en agissant directement sur l’infrastructure. Nous devons également améliorer la sécurité de chaque équipement et renforcer la gestion des identités et des accès au sein du groupe. Enfin, un grand chantier nous attend sur l’OT des entrepôts, un enjeu crucial pour protéger nos opérations.

Mon ambition est simple : faire de la cybersécurité un atout stratégique et un moteur de confiance pour l’ensemble du groupe, tout en créant un environnement encore plus résilient et sécurisé. Nous ne nous contentons pas de protéger, nous préparons l’avenir.