Thomas Dégardin (Bouygues) : « nous échangeons et prenons modèle les uns sur les autres »
Par Bertrand Lemaire | Le | Gouvernance
Le groupe Bouygues a plusieurs métiers. IT et cybersécurité restent propres à chaque entité mais une coordination groupe existe. Thomas Dégardin, coordinateur cybersécurité du groupe Bouygues, en explique le fonctionnement.
Pouvez-vous nous présenter le groupe Bouygues ?
Le groupe exerce dans quatre pôles d’activité : la construction (le BTP avec Bouygues Construction, les infrastructures de transport avec Colas et le promoteur Bouygues Immobilier), les énergies et services (Equans), les médias (TF1) et les télécoms (Bouygues Telecom). La maison mère Bouygues S.A. coordonne et pilote les six Métiers.
Dans le cadre général, chaque filiale est autonome. Par exemple, il n’y a aucune obligation de choisir les mêmes outils, les mêmes fournisseurs…
Et, dans ce cas, comment est organisée l’IT ?
Chaque Métier du groupe possède son DSI, son RSSI, son CSIRT… Il n’y a pas de DSI groupe. Les réseaux sont indépendants, ce qui a un avantage considérable : s’il y a une cyber-attaque sur une filiale, il n’y a pas de contamination au reste du Groupe.
Il y a dans chaque Métier une direction du digital au périmètre variable selon le Métier mais le RSSI en fait toujours partie. Sur nos six RSSI, il y a trois hommes et trois femmes. Une telle parité est rare !
Sous l’égide de la direction générale du groupe, nous nous assurons que les risques sont bien identifiés et traités dans la feuille de route de chaque Métier. Mais les risques et les enjeux sont évidemment très différents entre la construction et les télécommunications ! Chaque RSSI cartographie donc ses propres risques.
Cependant, certains sujets peuvent être transverses (Partage d’informations techniques, équipe d’intervention rapide en cybersécurité, etc.) et nous échangeons pour apprendre les uns des autres.
Au niveau du groupe, j’anime la communauté cybersécurité, ce qui représente environ trois cents personnes. Outre le fait de conserver des liens, il s’agit bien d’échanger des bonnes pratiques.
Retrouvez Thomas Dégardin à la Cyber Night
Thomas Dégardin est membre du jury des Trophées de la Cyber Night. Il assistera donc aux présentations des candidats le 16 octobre 2024 et à la cérémonie le 25 novembre 2024.
Quelles sont les grandes lignes de votre architecture ?
Nous avons six Métiers donc six architectures avec six familles de choix, différents clouds providers… Toutes les combinaisons sont possibles.
Comment contribuez-vous, du fait de cette organisation, à la cybersécurité du groupe ?
J’ai une fonction transverse qui permet d’aller voir tous les Métiers. J’interviens en deuxième ligne de défense en discutant au quotidien avec les RSSI du groupe. Je suis accompagné d’un partenaire expert en cybersécurité pour profiter de sa propre connaissance de la menace cyber.
Nous nous assurons que les risques majeurs sont bien identifiés par chaque RSSI. Puis nous vérifions que les projets adaptés sont lancés pour couvrir ces risques. Enfin, nous nous assurons que ces projets sont bien menés, avec les moyens et le suivi nécessaires.
Le groupe dispose aussi d’une troisième ligne de défense au sein de la direction de l’audit, rattachée directement à la direction générale groupe. Il y a plusieurs audits cyber par an et par Métier dont un avec red team. Bien sûr, ces audits sont indépendants de l’équipe de deuxième ligne.
Nous avons également un comité sécurité groupe mensuel avec les RSSI de chaque filiale, un représentant de l’audit, un représentant de la sûreté groupe et moi pour suivre l’avancée de nos chantiers transverses et échanger entre pairs.
Partagez-vous vos opérations de sensibilisation des collaborateurs ?
Il y a une communauté des responsables de la sensibilisation où nous échangeons nos expériences et prenons modèle les uns sur les autres.
Nous avons des opérations de sensibilisation très variées : du test de phishing, du serious game, des formations présentielles (y compris avec des intervenants d’État pour les managers)… Pour certains profils (techs, managers, etc.), nous avons mis en place des cursus spécialisés.
Bien évidemment, des red teams peuvent faire du phishing dans le cadre de leurs missions.
Lorsque nous surveillons la maturité d’une entreprise du groupe en matière de sécurité du système d’information, nous évaluons évidemment la sensibilisation des collaborateurs.
La guerre des talents est-elle un sujet ?
Oui, bien évidemment, c’est un sujet dans tous les Métiers. Certains sont plus attractifs que d’autres. Et ce alors qu’il y a de beaux projets partout ! Quand on explique les missions, tous les Métiers sont attractifs.
Nous avons une communauté de toutes les équipes IT du groupe (3 200 personnes environ), baptisée ByTech, avec une sous-communauté cybersécurité ByTechCyber. Quelqu’un qui a passé quelques années dans un Métier peut basculer sur un autre Métier pour voir un environnement très différent. Nous pouvons ainsi répondre au désir de voir autre chose tout en assurant la rétention des talents dans le groupe.
Nous misons également sur la formation. Nous avons ainsi formé des profils généralistes IT que nous avons montés en compétence en cybersécurité. Nous formons aussi parfois des profils différents. Il ne faut pas toujours chercher des ingénieurs experts en cybersécurité avec quinze ans d’expérience…
Quels vont être vos défis en 2025 ?
Pour ce qui me concerne, je dois toujours renforcer la coordination et les échanges entre Métiers.
A l’échelle du groupe, la gestion des tiers est un de nos défis.
Le cloud, tout comme la cybersécurité industrielle, constituent également des défis car c’est une surface d’attaque importante même si elle est variable selon les Métiers.