Skip to content

📰 Vu dans la presse : “On peut chiffrer le coût de manière assez simple” : comment le groupe Essor a décidé d’investir dans la sécurité informatique

STRATÉGIE
MARDI 30 JANVIER 2024
Par Léo Vidal-Giraud

Le groupe Essor est la cible de « 50.000 à 60.000 tentatives d’intrusion par mois »

Spécialisé dans l’immobilier tertiaire, le groupe palois Essor a récemment pris la décision d’investir dans la sécurité informatique. À l’origine de ce choix, la croissance de l’entreprise, mais aussi une cyberattaque déjouée. Comment estimer le coût du risque de sécurité, quel format donner à son investissement dans la sécurité, comment éduquer ses équipes à ces enjeux…

Retour sur ces questions avec Elodie Lalanne-Larrieu, directrice générale déléguée en charge des fonctions support, et Maxime Chardin, responsable de la sécurité informatique.

Qu’est-ce qui a motivé le groupe Essor à investir dans la sécurité informatique ?
Elodie Lalanne-Larrieu, directrice générale déléguée : En toute logique, ça ne devrait être ni le fait d’atteindre une certaine taille, ni celui d’être ciblé par une tentative d’intrusion – réussie ou échouée -, qui devrait faire s’intéresser
l’entreprise à la sécurité de la donnée. Malheureusement, dans la vraie vie, c’est souvent le cas… Pour nous, ç’a été les deux : il y a quatre mois, nous avons subi une attaque partielle, que nous avons pu maîtriser. Et la direction
générale avait pris la décision de poser une politique de gestion des risques. Or, en gestion des risques, une cyberattaque réussie, c’est un cygne noir : elle a peu de chances de réussir, mais si elle réussit c’est une catastrophe, et pour
certaines entreprises, c’est potentiellement mortel.

Comment estimer le coût potentiel d’une cyber-attaque ?
ELL : En fait, on peut chiffrer le coût de manière assez simple. Vous simulez une attaque, vous imaginez 100 personnes à l’arrêt pendant dix jours : c’est une perte de temps et d’argent monstrueuse : le coût temps-homme, plus le coût de la perte de la donnée, le coût de la remise en route… et enfin, le coût en termes de confiance. Celui-là, c’est du temps long. On peut avoir des clients qui ont des données sensibles, des industriels par exemple, c’est une obligation pour nous d’assurer la sécurité. Nous avons aussi des engagements vis-à-vis de l’ensemble de nos parties prenantes, nos partenaires bancaires et financiers, les actionnaires du groupe, les salariés… C’est aussi pourquoi ceux qui ont subi une attaque massive ont intérêt à réfléchir sur leur communication de crise : il faut gérer en équipe, créer une cellule de crise étanche, travailler à ce que l’on va faire heure par heure. C’est une situation très anxiogène.

100.000 euros sur trois ans
Comment Essor a-t-il choisi de gérer ce risque ?
Maxime Chardin, responsable des systèmes d’information : Le choix que nous avons fait était dans une optique de protéger nos données. On a fait des audits en interne : pour une entreprise de notre taille, il aurait fallu embaucher trois ou quatre personnes de plus, dont un analyste et une personne spécialisée dans la sécurité. Mais en plus de ce coût, il y avait celui de la mise à jour de leurs connaissances, ce sont des postes qui doivent toujours être en formation pour pouvoir rester dans la course technologique. Nous avons donc décidé d’externaliser cette surveillance chez un fournisseur tiers, qui se charge d’analyser toutes nos transactions de sécurité.
ELL : C’est ce choix que l’on a fait de prendre une société tierce, qui nous garantit d’avoir des ingénieurs toujours formés up-to-date. Nous avons aussi débloqué une ligne budgétaire pour renforcer la surveillance des outils de travail, des serveurs et de notre cloud, avec des antivirus de troisième génération [embarquant une intelligence artificielle et capables de déconnecter immédiatement du réseau un ordinateur infecté, ndlr]. En résumé, c’est un investissement que nous avons décidé de faire au vu de notre structure, notre environnement, notre niveau de maturité… Il faut aussi prendre en compte le fait que la sécurité, c’est plus facile si l’on n’a qu’un seul site. Nous sommes présents sur plusieurs sites en France, un peu en Espagne également… Si nous étions une entreprise monde, ça serait encore différent.

À combien s’élève cet investissement ?
Maxime Chardin : Le dispositif de surveillance externalisé, c’est 100.000 euros sur trois ans. C’est beaucoup moins que d’internaliser trois ingénieurs sécurité, qui aujourd’hui sont chassés par les entreprises pour des montants mirobolants. Ensuite, il faut être constamment proactif : tous les ans, il faut en remettre une couche, s’améliorer en continu. On ne peut pas se permettre de ne plus investir, on ne peut pas s’arrêter quand on est bien protégé à un instant T. À cela s’ajoute le coût humain pour déployer le système et le temps pour la gestion de projet, ainsi que le coût matériel. Tout le monde n’était pas équipé de smartphones, on a dû en fournir à tous nos employés pour permettre de mettre en place un système de double authentification. Et il y a d’ailleurs toute la question de l’acceptation…

L’enjeu de l’acceptabilité

Justement, l’acceptation est-elle un enjeu ? Comment les équipes réagissent-elles ?
ELL : Nos collaborateurs étaient déjà un peu sensibilisés, la question de la sécurité est ancrée dans l’ADN d’Essor. C’est aussi lié avec le profil de notre fondateur David Pouyanne, qui est banquier et connaît donc ces enjeux. Après, on s’y est pris en communiquant, en expliquant. On informe, on sensibilise, on prévient : attention, en ce moment il y a une vague de spams, ne cliquez pas sur les liens suspects… Et une fois par mois en codir, on informe sur le nombre de tentatives d’attaque subies le mois précédent.
MC : Et elles ne vont pas en diminuant ! On prend entre 50 et 60.000 tentatives d’intrusion par mois, que ce soit sur les boîtes mail ou les liaisons internet des sites. Et l’émergence des IA rend les attaques plus dangereuses et
imprévisibles.
ELL : C’est beaucoup de pédagogie et de rappel des règles de bon sens, en particulier sur le matériel : faire attention à son ordinateur, ne pas le laisser sur le siège de sa voiture, le verrouiller dans le train. La double authentification crée aussi des routines : si vous ne déverrouillez pas, vous ne pouvez pas bosser !

Retour aux actualités

Autres actualités :

REVUE DE PROJETS SANTÉ ET LIFE SCIENCES

Essor vous propose de découvrir ses projets en cours de

Revue de Projets Parcs d’Activités

Essor vous propose de découvrir ses projets en cours de

Boulevard de la Paix à Pau, une nouvelle maison pour les entreprises à succès – Biotope I et II

La Politique Santé & Sécurité au Travail Essor

Le Groupe Essor a toujours fait de la Santé et

🥇 Essor AMO & Conseil est fier d’avoir participé à la réhabilitation d’Europa, le campus français de WPP à Levallois-Perret, qui a reçu l’Austrian Green Planet Building® Award 2024 !

Essor AMO & Conseil a été aux côtés de le

Lundi 29 avril 2024 a eu lieu la pose de la 1ère pierre d’Eko-Vallée, le futur village d’entreprises dans la ZAC des Monts du Val-d’Oise à Groslay.

Le village d’entreprises de 34 000 m2 accueillera à partir

Visite de chantier et découverte du projet de réhabilitation David D’Angers aux côtés des étudiants d’Ecopia, école RSE et développement durable. 👷‍♀️ 👷‍♂️

Notre projet a pour objectif de rénover intégralement le bâtiment en

Mercredi 17 avril a eu lieu l’inauguration du campus de l’Aqueduc à Gentilly (94) pour lequel le pole Ingénierie Bâtiment et Process d’Essor a été missionné comme OPC. 🎉

Cette opération de requalification urbaine de 40 000m2 comprend un ensemble immobilier

Visite du chantier du Nouveau Grand Palais (Paris) par le chef de l’Etat Emmanuel Macron

A 100 jours des JO, le chef de l’Etat Emmanuel

👏Livraison du nouveau Bloc Opératoire du CH de Béthune Beuvry sur lequel a travaillé l’équipe lilloise d’Essor AMO & Conseil.

Le bloc opératoire du Centre Hospitalier de Béthune Beuvry sur

A propos

Infos

Suivez-nous

Linkedin Facebook-f Youtube

© Tous droits réservés ESSOR 2022

Fait avec par Happiness

©2022 – Groupe Essor

Presse     Mentions légales     Sitemap