En 2021, le fabricant français d'huiles de moteur et de lubrifiants industriels Motul choisit d'intégrer un RSSI senior externe à temps partiel dans son équipe, ainsi qu'un spécialiste cyber junior également externe. Tout a commencé en 2020, à l'arrivée du nouveau DSI, Matthieu Blin. Celui-ci a alors dû s'attaquer à la transformation d'une organisation SI à l'ancienne, ainsi qu'à une dette technique imposante. Qui plus est, l'entreprise avait subi au fil des ans plusieurs attaques de phishing, une attaque en DDoS et une fraude au président via Whatsapp. Pour déployer une politique cyber à la hauteur, avec des compétences limitées en la matière en interne, le DSI s'est donc tourné vers un prestataire.

Motul conçoit des huiles et des lubrifiants par mélange de 3 à 10 ingrédients. Il dispose d'un seul site de production et d'un centre de R&D, indispensable à son activité, à Vaires-sur-Marne (Seine-et-Marne). « Notre catalogue comprend entre 3000 et 4000 références uniques et certains de nos produits ont été conçus dans les années 70 et 80 », raconte Matthieu Blin. « Nous disposons d'huiles pour un marché de voitures anciennes. Nous avons aussi des produits haut-de-gamme pour l'Europe centrale, d'autres plus entrée de gamme pour l'Afrique du Nord, des produits spécifiques pour les climats très froids ou très chauds, etc. Nous travaillons à 80% pour l'automobile et la moto, mais nous avons aussi une entité Motul Tech pour l'industrie avec des huiles de coupe, par exemple. Et dans ce cas, la R&D est fondamentale ».

Dette technique et enjeux cyber

Motul emploie un millier de personnes dans 20 pays et distribue ses produits dans 160 pays. Elle fonctionne sur un mode centralisé auquel n'échappe pas la DSI. « Nous sommes organisés de telle façon que tout le monde, quel que soit le pays, travaille pour la corp, explique Matthieu Blin. La DSI fonctionne donc sur ce même modèle, non localisé. Nous avons un spécialiste de la finance au Brésil, qui travaille néanmoins pour toute l'entreprise ». La DSI est déjà habituée au fonctionnement avec des personnels externes, puisqu'ils représentent environ la moitié de son effectif de 50 personnes. « Nous sommes organisés en trois activités : le service desk, l'architecture - nous sommes en hybride avec du cloud et du datacenter - et les business applications. Pour ces dernières, nous avons des leaders technologiques, comme sur la supply chain par exemple », précise Matthieu Blin.

Matthieu Blin, DSI de Motul. (Photo Motul)

Jusqu'à l'arrivée de Matthieu Blin, le DSI exerçait davantage le rôle de directeur de programme SAP, comme l'explique son successeur. « J'avais donc une équipe purement orientée vers SAP et l'infrastructure », raconte-t-il. « Certes, l'ERP soutient 80% de notre volume d'affaires, mais nous devons aussi travailler sur le CRM, le B2B, etc. ». Dès son arrivée, il entreprend donc de transformer l'organisation de la DSI, mais aussi de faire face à un enjeu majeur, qui concerne encore aujourd'hui aussi bien l'infrastructure SI que la cyber : la dette technique. « Nous travaillons sur le sujet depuis près de 4 ans, insiste Matthieu Blin. Nous avons avancé sur la dette technique système, mais côté cyber, nous devons encore passer les switches, les firewalls, sur une même version. Nous travaillons encore par exemple avec des règles de partage Sharepoint ».

Un RSSI externe en charge de la roadmap cyber

Dans un premier temps, faute de compétences en cyber, le DSI s'attèle lui-même à la tâche. Puis, Motul fait une première tentative d'externalisation avec Axians, en commençant par la définition d'une PSSI (Politique de sécurité du système d'information). Mais le fabricant d'huiles ne réussit pas à s'accorder avec son prestataire sur la configuration d'un duo RSSI senior et RSSI junior qu'il souhaitait. Au bout d'un an, la société se tourne donc vers i-Tracing, prestataire rencontré par l'intermédiaire du Cesin (Club des experts de la sécurité de l'information et du numérique), qui lui fournit le binôme correspondant à ses besoins. « Pour commencer, j'avais seulement besoin d'un temps partiel, car nous n'avons pas de B2C et peu de données sensibles, détaille Matthieu Blin. Et j'ai opté pour 2 jours par semaine d'un senior, et 2 jours d'un junior ». Le RSSI senior, Nicolas Pauty, a la charge de la roadmap cyber et s'occupe du choix des produits. « Je lui ai par exemple confié le renouvellement de notre EDR [Endpoint detection and response] », précise Matthieu Blin.

« Et nous avons déployé une solution de protection des emails ». Il a également travaillé sur la sélection d'environnements Sase (Secure access service edge) et DLP (Data Loss Prevention). « Nous avions Fortinet, mais le renouvellement des licences nous serait revenu aussi cher que le déploiement d'un Sase. Avec mon RSSI, nous avons opté pour Prisma Access de Palo Alto. La mise en jambe est un peu longue, mais nous ne regrettons absolument pas. Maintenant, nous nous attaquons au nettoyage de l'Active Directory ». Bonus selon le DSI, le RSSI externe a accès aux ressources de i-Tracing, quand il a besoin d'une réponse à une question particulière.

Le RSSI junior, de son côté, s'occupe de tâches de gestion cyber quotidiennes comme le suivi des logs, par exemple. « De plus, je conserve une position de CISO, ajoute Matthieu Blin, avec la définition et la maîtrise de la stratégie globale. Je chapeaute le DPO, la conformité à NIS2 ou au RGPD, la cyberassurance, etc. ».

Motul a également sollicité i-Tracing pour sa cartographie des risques cyber, qu'il avait entamée avec Axians. Alors que ce dernier avait réalisé une analyse assez globale, le RSSI externe a appliqué une méthodologie plus détaillée, sur la base du guide d'hygiène informatique de l'ANSSI. I-Tracing fournit aussi à l'industriel un ensemble d'outils d'acculturation des équipes de l'entreprise à la cybersécurité, avec des campagnes de phishing, des modules de formation, etc. Plus de la moitié des employés ont ainsi suivie une formation au sujet, avec un très bon niveau de satisfaction.

Pas de recrutement interne... pour l'instant

S'il travaille à distance, le RSSI senior participe à de nombreuses réunions, dont le point trimestriel sur la feuille de route cyber pour évoquer la criticité, la charge estimée, les budgets, etc. Aujourd'hui, Matthieu Blin estime avoir géré les chantiers cyber majeurs et se réjouit d'avoir réussi à positionner son RSSI dans l'équipe DSI. « Son profil y est pour beaucoup. Il vient de l'Active Directory et est monté en puissance sur la cyber, ce qui lui donne une vision holistique. Cela a permis de diffuser la culture cyber dans les équipes », insiste le DSI. « Pour cela, nous ne voulions surtout pas d'un ayatollah de la cyber, d'un RSSI avec 20 ans de carrière dans le domaine, mais de quelqu'un qui connaisse l'opérationnel ».

Aujourd'hui, Matthieu Blin n'envisage d'ailleurs pas de revenir sur son organisation et de recruter un RSSI en interne. Il craint, pour commencer, les niveaux élevés de salaires de ces profils qu'il juge injustifiés, mais il considère aussi sa DSI encore insuffisamment mature. « Cette organisation ne sera peut-être pas pérenne éternellement, concède-t-il, mais nous nous devions d'abord de faire monter les équipes en compétences sur la cyber. Cependant, nous lançons un appel d'offres début 2025 pour un SOC. D'ici un an, nous devrions avoir à la fois une maturité suffisante et ce SOC, pour envisager dans un premier temps au moins un doublon entre un profil RSSI interne et un externe. Après 6 à 8 mois de SOC, je regarderai de nouveau la situation... ».