IT Radio

n°22 – Février 2016
IT R ADIO
Bonjour et bienvenue dans cette nouvelle édition d’IT radio. Tout de suite, l’actu de la communauté SI !
IT R ADIO , ACTUALITÉS
L’école est finie pour les élèves de la deuxième promotion de l’IS Project Academy !
Le programme de formation s’est achevé en Décembre à Cascais avec la dernière session de cours. Ce 3 février, les élèves ont
passé leur examen, dont la réussite est une des conditions de certification et dont les résultats seront connus en mars. Les certifiés
auront ainsi acquis de nouvelles compétence fonctionnelles et comportementales indispensables à leur activité de chef de projet SI.
Lors de la prochaine promotion, prévue après l’été, l’académie s’élargira en ajoutant un second cursus destiné aux architectes. Nous
souhaitons aux futurs élèves beaucoup de succès dans ce parcours !
Pour toute information, contactez Thierry Dargent.
Le chantier J+1 SI a été lancé mi-Septembre 2015 afin d’accompagner le Projet d’Entreprise dans la mise en place de
la nouvelle organisation du Groupe. Les équipes de la DSI Groupe, de Business Support IT et de la Filière SI ont été
mobilisées sur plusieurs chantiers tels que :




la mise à jour des systèmes d’identité et des applications du Groupe,
la préparation des opérations de déménagement et d’équipement des sites,
la mise en place d’un support utilisateurs adapté,
la mise en ligne du nouvel intranet et l’accompagnement au rebranding du Groupe.
Grâce à la mobilisation des équipes, tout s’est bien passé, le chantier J+1 SI a tenu les objectifs fixés au 1 er janvier,
merci à tous !
IT R ADIO , LE DOSSIER
Dans un monde de plus en plus connecté, la moindre faille de sécurité peut être fatale pour une entreprise. Tout de suite
un extrait de l’interview de Jacques Sibué, Responsable Sécurité des systèmes d’informations, et de Jérôme Cuvilliez,
Consultant sécurité dans l’équipe de Jacques, qui nous expliquent comment les équipes sécurité d’ENGIE nous
protègent au quotidien.
Jacques bonjour…
Bonjour
Avant tout un point de définition, la cyber-sécurité qu’est-ce que c’est ?
Alors la cyber-sécurité c’est l’assemblage de la sécurité sous toutes ses formes. Donc celles qui concernent à la fois la
sécurité des systèmes d’information traditionnels, des systèmes industriels, des systèmes digitaux au sens large. Donc
tous ceux qui concernent la mise en relation des systèmes de l’entreprise avec tout un ensemble de périphériques
disponibles auprès des utilisateurs, par exemple les smartphones.
1
ENGIE a lancé le programme One Security pour répondre aux ambitions du Groupe en matière de cyber-sécurité,
pouvez-vous nous en dire plus ?
Les ambitions du Groupe c’est naturellement de se protéger mais aussi de protéger ses clients, ses fournisseurs, ses
employés. One Security est un programme ambitieux qui va se dérouler sur trois ans et qui a pour objectif d’accélérer la
transformation de la sécurité. Il comprend trois principaux piliers, le premier autour de la protection des données, le
deuxième lié à la supervision et le dernier lié à la protection des infrastructures critiques, notamment industrielles.
Merci Jacques pour ces informations. Bonjour Jérôme !
Bonjour,
Pouvez-vous nous expliquer comment les équipes sécurité travaillent sur le terrain ?
On a trois aspects importants au niveau de la sécurité informatique. D’abord l’animation de la gouvernance de la cybersécurité. Le second aspect c’est la mise en place plutôt opérationnelle des exigences de sécurité. Et enfin le troisième
et qu’on est en train de développer actuellement c’est tout ce qui concerne la surveillance des réseaux, notamment via
le SOC, le Security Operation Center, qui permet effectivement de détecter en temps réel les éventuelles attaques ou
soupçons d’attaques qu’on pourrait avoir sur notre réseau.
Et quelles sont vos dernières réalisations en matière de cyber-sécurité ?
Alors, on a travaillé dernièrement sur deux sujets connexes. Le premier étant la redéfinition de la politique Groupe de
protection du patrimoine qui définit les niveaux de classification des informations qui peuvent être traitées au sein
d’ENGIE. Donc on a contribué à ce document afin de définir les règles de protection associées à chacun des niveaux
de classification des informations. Ce qui nous a permis également de travailler sur la mise en place du réseau social
d’entreprise Yammer et de la sécurité qui l’accompagne. Afin que les utilisateurs puissent échanger des informations a
minima de niveau interne sur ce réseau social.
Merci Jérôme pour ces précisions.
Rendez-vous sur le player IT radio pour écouter l’intégralité de cette interview.
IT R ADIO , AGENDA
Les 10, 11 et 12 février se tiendront les Cyber Security Days à l’auditorium de T1 [T un] à la Défense.
Les participants, principalement des DSI, des RSSI, des experts et des responsables en sécurité des systèmes
industriels, sont attendus les deux premiers jours pour examiner les évolutions de nos politiques et de nos dispositifs de
sécurité.
Le 12 février se tiendra la session plénière ouverte à l’ensemble des acteurs du Groupe qui concourent à la cybersécurité, où nos experts présenteront les enjeux 2016 de la cyber-sécurité et les plans d’actions ENGIE pour y faire face.
La journée et les cyber-security days se concluront par la remise des awards récompensant les meilleures actions de
cyber-sécurité menées en 2015 !
C’est la fin d’IT Radio : merci pour votre écoute. Rendez-vous le 4 mars pour la prochaine édition. À très vite !
2
IT R ADIO , LE DOSSIER
Dans un monde de plus en plus connecté, la moindre faille de sécurité peut être fatale pour une entreprise. Tout de suite
un extrait de l’interview de Jacques Sibué, Responsable Sécurité des systèmes d’informations, et de Jérôme Cuvilliez,
Consultant sécurité dans l’équipe de Jacques, qui nous expliquent comment les équipes sécurité d’ENGIE nous
protègent au quotidien.
Jacques bonjour…
Bonjour
Avant tout un point de définition, la cyber-sécurité qu’est-ce que c’est ?
Alors la cyber-sécurité c’est l’assemblage de la sécurité sous toutes ses formes. Donc celles qui concernent à la fois la
sécurité des systèmes d’information traditionnels, dits de gestion. Mais aussi la sécurité des systèmes industriels, et puis
la sécurité des systèmes digitaux au sens large. Donc tous ceux qui concernent la mise en relation des systèmes de
l’entreprise avec tout un ensemble de périphériques disponibles auprès des utilisateurs, par exemple les smartphones.
Ce qu’on appelle plus communément, l’internet des choses. Donc la cyber-sécurité c’est tout ça. Et puis d’une manière
générale c’est la sécurité qui déborde de l’entreprise et qui s’intéresse aussi bien à ses clients, ses fournisseurs, les
Etats etc…
ENGIE a lancé le programme One Security pour répondre aux ambitions du Groupe en matière de cyber-sécurité,
pouvez-vous nous en dire plus ?
Les ambitions du groupe c’est naturellement de se protéger mais aussi de protéger ses clients, ses fournisseurs, ses
employés. Et puis de respecter les règlementations liées à la cyber-sécurité… qui deviennent de plus en plus larges et
se multiplient de par le monde. Parce que l’Etat considère que les entreprises doivent protéger, pas simplement leurs
actifs, mais aussi les populations, les dispositifs d’infrastructure critique qui aujourd’hui sont tous interconnectés.
Vous travaillez sur le programme One Security, qu’est-ce que c’est exactement ?
Alors, One Security est un programme ambitieux qui va se dérouler sur trois ans et qui a pour objectif d’accélérer la
transformation de la sécurité, pour faire face aux enjeux de la cyber. Il comprend trois principaux piliers, le premier autour
de la protection des données, le deuxième lié à la supervision puisqu’en fait en matière de cyber-sécurité on part du
principe qu’on sera attaqué, qu’on devra faire face à des attaques donc il faut être capable de les détecter et de réagir
au plus vite. Et le dernier lié à la protection des infrastructures critiques, notamment industrielles.
On va commencer à déployer les premiers outils à partir de cette année sur la protection des emails et la protection des
données dans le Cloud, notamment celui de Microsoft avec Office 365. En parallèle nous allons étendre la supervision
sécurité avec des détections qui seront capables d’agir au niveau mondial, que ce soit vers Internet ou au niveau
industriel. Et puis naturellement renforcer les premiers systèmes d’infrastructures critiques. Que ce soient vis-à-vis
d’Internet, vis-à-vis de la gestion de nos accès, de ce qu’on appelle les Active Directories, ou vis-à-vis des
communications entre les systèmes de gestion et les systèmes industriels.
Donc pour 2016, quelles sont vos priorités ?
C’est d’abord naturellement de livrer les premiers sujets de One Security, tout en continuant à s’adapter en permanence
aux évolutions qui animent le groupe. Que ce soient des nouveaux projets pilotés par le groupe ou des évolutions de la
technologie.
Merci Jacques pour ces informations. Bonjour Jérôme !
Bonjour,
Pouvez-vous nous expliquer comment les équipes sécurité travaillent sur le terrain ?
On a trois aspects importants au niveau de la sécurité informatique. D’abord l’animation de la gouvernance de la cybersécurité. Ça c’est le travail qu’on effectue avec l’équipe de Jacques Sibue le RSSI Groupe. Le second aspect c’est la
mise en place plutôt opérationnelle des exigences de sécurité. Donc là c’est par les équipes projet, les administrateurs
des systèmes etc… Et enfin le troisième et qu’on est en train de développer actuellement c’est tout ce qui concerne la
surveillance des réseaux, notamment via le SOC, le Security Operation Center, qui permet effectivement de détecter en
temps réel les éventuelles attaques ou soupçons d’attaques qu’on pourrait avoir sur notre réseau.
Et sur quels chantiers est-ce que vous travaillez en ce moment ?
3
On a beaucoup travaillé effectivement sur la refonte de nos politiques de sécurité notamment par l’arrivée de nouvelles
technologies et surtout de nouveaux besoins pour les utilisateurs. Par exemple l’utilisation des services Cloud que tout
le monde utilise maintenant assez régulièrement, que ce soit dans la vie personnelle ou dans la vie professionnelle. Mais
aussi tous les usages mobiles avec l’apparition évidemment dans l’environnement de travail des smartphones et des
tablettes. Donc on a beaucoup travaillé sur les aspects sécurisation de ces équipements notamment. Et puis également,
suite à la réorganisation du groupe qui est survenue au 1er janvier, on est en train de travailler à la transformation de la
gouvernance cyber-sécurité au sein du groupe pour prendre en compte les 29 nouvelles BU qui sont directement en
face de nous.
Et quelles sont vos dernières réalisations en matière de cyber-sécurité ?
Alors, on a travaillé dernièrement sur deux sujets connexes. Le premier étant la redéfinition de la politique Groupe de
protection du patrimoine qui définit les niveaux de classification des informations qui peuvent être traitées au sein
d’ENGIE. Donc on a contribué à ce document afin de définir les règles de protection associées à chacun des niveaux
de classification des informations. Ce qui nous a permis également de travailler sur la mise en place du réseau social
d’entreprise Yammer et de la sécurité qui l’accompagne. Afin que les utilisateurs puissent échanger des informations a
minima de niveau interne sur ce réseau social. Le but étant dans un futur proche de donner de nouveaux outils
collaboratifs qui permettront également d’échanger des informations au niveau restreint et confidentiel. C’est quelque
chose qui devrait arriver avant la fin du premier semestre 2016.
Merci Jérôme pour ces précisions.
4