Cybersécurité : Pierre Fabre opte pour la centralisation pour protéger toutes ses filiales

“Nous avons environ une suspicion de cyberattaque qui nécessite des investigations pour lever le doute chaque mois. Généralement, ce sont plusieurs points d’accès externes qui sont attaqués simultanément. Il est donc très important de pouvoir apporter une réponse sur tous nos points d’accès immédiatement”, signale Philippe Caille, directeur de la sécurité du système d’information (DSSI) au sein de la Dopsi (direction digital – organisation processus et systèmes d’information) de Pierre Fabre. Pour faire face à ce risque, le groupe a entamé en 2015 un projet de centralisation de la gestion de la sécurité périmétrique de ses systèmes d’informations à travers le monde. “Nous avons fait le constat que nous n’étions pas en mesure de gérer de manière satisfaisante la sécurité périmétrique de toutes nos entités”, ajoute-t-il. Le laboratoire pharmaceutique qui a enregistré un chiffre d’affaires de 2,3 milliards d’euros en 2016 compte 13 000 employés au sein de sa cinquantaine de filiales et bureaux répartis dans 47 pays. Il gère “à peu près 10 000 postes de travail, 8 000 terminaux mobiles et iPad, près de 2 000 serveurs et environ 400 applications différentes servies aux utilisateurs”, selon Philippe Caille. Il indique : “sur ce projet, en plus de la diversité technologique, il a fallu conjuguer avec des niveaux de maturité et de sensibilité sécurité très hétérogènes”.

Obtenir l’adhésion des filiales

“Les filiales sont de différentes tailles. Cela va de 400 personnes à des bureaux de représentation avec quatre personnes. La sécurité corporate émettait des standards, faisait des recommandations et les filiales disposaient”, explique Mounir Laï, responsable de la sécurité des systèmes d’information (RSSI) du groupe qui a conduit le projet. Philippe Caille renchérit : “Nous avions mis en place un ensemble de règles sur les modalités d’accès aux réseaux, à Internet, aux sites externes… En pratique, ça ne fonctionnait pas. De grosses filiales, avec une DSI d’une dizaine de personnes, avaient mis en place des solutions valables mais qui n’étaient pas forcément bien exploitées ou pour lesquelles nous n’avions que très peu de visibilité. Dans certains pays, une personne était en charge de l’IT pour des équipes d’une dizaine de personnes sédentaires”, rappelle le DSSI. L’objectif était donc de “sécuriser l’ensemble des points d’accès (Internet, accès distants…) et de gérer cette sécurité dans le temps de manière cohérente et réactive”, ajoute-t-il. Pour mener ce projet, les équipes de la Dopsi ont dû obtenir l’adhésion des équipes dans les filiales et bureaux. Un des moteurs a été financier. Le groupe a pris en charge le budget d’installation et d’infogérance. “Selon les filiales, cette décision a permis la réduction des coûts mensuels de plusieurs centaines d’euros de leur budget. De plus, les équipes ont été impliquées dans la mise en oeuvre de la solution pour s’assurer d’une bonne prise en compte des besoins métiers locaux”, précise Mounir Laï.

Un prestataire pour le projet et pour l’infogérance

Pierre Fabre a fait appel à la société IMS Networks. L’entreprise, déjà prestataire du laboratoire avec son offre Télécom, mettait en place une offre d’infogérance sur la cybersécurité, selon Mathieu Rigotto, directeur du pôle cybersécurité d’IMS Networks. La société basée à Castres a constitué une équipe d’une quinzaine de personnes (superviseurs de niveau 1) qui fonctionne 24h/24 et 7j/7. “Elle est également composée d’une dizaine d’ingénieurs pour la partie niveau 2 pour traiter les actions de sécurité plus complexes et trois ingénieurs de niveaux 3 pour traiter les incidents majeurs avec une expertise particulière”, précise le directeur du pôle. Pour le projet Pierre Fabre, IMS Networks a commandé les équipements, les a configurés puis les a expédiés au sein des filiales en assurant la gestion des contraintes administratives comme les formalités douanières. Pour chaque filiale, le déploiement a débuté par un kick-off “pour expliquer les enjeux, les menaces, le déroulement du projet et collecter les besoins de communication locale. Deux semaines plus tard, le matériel était livré configuré au correspondant de la filiale. Au total, pour chacune, le projet a été mené en cinq semaines maximum”, indique Mounir Laï. Le déploiement, réalisé en parallèle dans plusieurs filiales, a duré d’août 2015 à mai 2016. En interne, le groupe a mobilisé six hommes/mois, le reste du projet étant porté par IMS Networks.

Des procédures de sécurité homogénéisées

Sur le plan technique, les partenaires ne veulent pas trop dévoiler les choix faits. Néanmoins, Mounir Laï précise que le dispositif repose sur une solution unique déployée dans trois segments d’équipements selon la taille de la filiale. “Avant nous avions jusqu’à 7 ou 8 marques différentes utilisées localement, maintenant nous n’avons plus qu’une seule technologie. Le contrat comprend également le remplacement du matériel pour défaillance ou obsolescence”, précise le RSSI de Pierre Fabre. Pour le firewall, le choix s’est porté sur celui de Fortinet, “pour pouvoir proposer une offre cohérente en termes de qualité et coûts”, souligne Mathieu Rigotto. Outre la partie matérielle, IMS Networks a mis en place des procédures de sécurité en collaboration avec les équipes Pierre Fabre. “L’ensemble des acteurs travaille de la même façon et partage des retours d’expérience”, assure le directeur du pôle cybersécurité. Il signale par ailleurs certaines adaptations en fonction des filiales : “Par exemple, en fonction des pays et des réglementations, le filtre web est différent”. La cellule d’IMS Networks assure également une gestion des évènements de sécurité. “Ce service de supervision permet de réagir dans les deux heures en 24/7”, explique Mounir Laï.

Un contrat de trois ans renouvelable

Côté budget, si le montant reste confidentiel, Mathieu Rigotto précise qu’après des frais d’accès aux services, la société facture des mensualités en fonction des services déployés dans les filiales. Le contrat a été signé pour une durée initiale de trois ans, renouvelable ensuite tous les ans, ajoute le dirigeant d’IMS Networks. Philippe Caille estime par ailleurs que “si nous avions dû le mener en mode projet classique, nous n’aurions pas été capables de le faire aussi vite. Et cela aurait induit des investissements plus conséquents. Enfin, nous aurions dû constituer une équipe dédiée de cinq à six personnes pour être capables d’intervenir en 24/7”. Pour IMS Networks, le projet a permis de définir “un catalogue de services avec des filiales types. Ainsi, si Pierre Fabre ouvre de nouvelles entités, ils pourront passer une commande directement”, détaille Mathieu Rigotto. Le laboratoire pharmaceutique réfléchit maintenant à aller plus loin dans l’analyse des événements. “Nous envisageons de corréler les analyses d’évènements avec le résultat des analyses de risques métiers”, confie Mounir Laï.