Accueil / Dossiers / Transversal / À la rencontre de responsables cybersécurité

Transversal

À la rencontre de responsables cybersécurité

24.05.2019 • 09h49
|
par Charlotte COUSIN
D_2

2. Loïs Samain, responsable sécurité des systèmes d'information (RSSI) adjoint EDF Renouvelables

Pour EDF Renouvelables, s'assurer de la sécurité tout au long de sa supply chain, du donneur d'ordres jusqu'au dernier sous-traitant, est impératif. Loïs Samain, son RSSI adjoint, développe la stratégie de la société en matière de cybersécurité.

Quels sont les cyber-risques en mesure d'impacter la supply chain d'EDF Renouvelables ?

Les attaques sur la supply chain ont un double impact, à la fois sur la société elle-même qui est contaminée avec ses données chiffrées, mais aussi sur ses clients. EDF Renouvelables fait appel à divers prestataires. Il s'agit donc d'un vrai risque pour nous puisque les attaquants ont une vision assez simple consistant à dire « si j'attaque un endroit de la supply chain, cela va se répercuter sur beaucoup d'entreprises ».

 

Comment, en tant que grand groupe, EDF Renouvelables prend-il en charge la sécurité de sa chaîne logistique constituée de multiples sous-traitants ?

Nous avons un peu changé notre spectre de vision chez EDF Renouvelables : tandis que nous nous concentrions auparavant davantage sur l'entreprise elle-même, nous prenons maintenant toute la chaîne en compte. On pense souvent à un niveau N-1 mais parfois le fournisseur a aussi un sous-traitant qui a lui-même un sous-traitant… Aujourd'hui, nous incluons des annexes cybersécurité dans nos contrats où nous demandons à nos sous-traitants de bien prendre en compte ces problématiques et de mettre en place les bonnes pratiques. Ils doivent également se porter eux-mêmes garants de la sécurité de leurs sous-traitants car nous sommes co-responsables comme l'indique le RGPD. Nous réalisons également auprès d'eux des audits pour nous assurer de leur prise en compte de ces aspects. Reste le cas un peu spécifique des start-up. En tant que grand groupe, nous avons besoin de travailler avec elles mais celles-ci ne priorisent souvent pas la cybersécurité. C'est aussi notre rôle de les accompagner et de les sensibiliser.

 

En tant que RSSI, comment gérez-vous les risques cyber au sein de l'entreprise ?

Nous faisons déjà une analyse de risques pour chaque nouveau projet en s'assurant qu'il met en place les bonnes pratiques : cela peut passer par un audit de sécurité du sous-traitant ou de la solution. Nous pouvons également demander au sous-traitant de faire évoluer la solution. En tant que RSSI, je suis de plus en plus mis à contribution dans les délibérations de choix de solution de notre directeur des systèmes d'information (DSI) où un vrai critère sécurité existe. Au quotidien, il s'agit également de communiquer avec les différentes directions de l'entreprise pour qu'elles prennent en compte ces risques-là. Enfin, sur la partie supply chain, la cybersécurité consiste principalement en de bonnes pratiques, majoritairement de la gouvernance, des process et des outils.

SUIVEZ-NOUS
NEWSLETTER
Pour rester informé chaque semaine