Bernard Duverneuil (CDIO d'Elior) : « la cybersécurité est l'affaire de tous »


IT et Business : le mariage inévitable
A force de parler de la place de l'IT dans l'entreprise, on en oublierait presque que, aujourd'hui, l'IT est consubstantielle aux process d'entreprises. L'IT nourrit le process et vice-versa. Les entreprises qui témoignent ici démontrent cette réalité : le business et l'IT n'y sont plus qu'un.
DécouvrirDevenu Group Chief Digital and Information Officer du groupe Elior en Mars 2018, Bernard Duverneuil accompagne la transformation numérique de ce groupe mondial de restauration collective et de services connexes. Si la digitalisation y est bien évidemment un sujet constant, comme dans toutes les entreprises, visant à l'amélioration de l'expérience autant des clients que des employés, la cybersécurité est aussi un sujet mis en avant.
PublicitéCIO : Pouvez-vous tout d'abord nous présenter le groupe Elior dont vous êtes Group Chief Digital and Information Officer ?
Bernard Duverneuil : Elior est avant tout un groupe de restauration collective présent dans six pays : la France, le Royaume-Uni, l'Espagne, l'Italie, les États-Unis et un peu en Inde. En France et nettement moins ailleurs, nous y ajoutons des services connexes comme l'hôtellerie de santé et le ménage ou la conciergerie pour une clientèle d'entreprises. La restauration collective, c'est bien sûr avant tout les restaurants d'entreprises et les restaurants inter-entreprises mais aussi la restauration dans les hôpitaux, les établissements scolaires ou les parcs d'attraction et autres centres de loisirs. Aux États-Unis surtout, nous y ajoutons la restauration dans les prisons et pour les réceptions et les événements.
En tout, nous avons donc environ 23 500 établissements. Une singularité de notre métier réside en cela : peu d'entreprises ont autant de sites. Chaque restaurant a quatre besoins constants : s'approvisionner (donc commander auprès des fournisseurs, gérer les livraisons et les règlements), suivre ses ressources (notamment ses ressources humaines), suivre l'activité (donc facturer et encaisser) et enfin piloter le business à partir d'indicateurs clés de performance (KPI).
CIO : Vu votre grand nombre d'établissements, votre système d'information est-il centralisé ou non ?
Bernard Duverneuil : Les deux ! C'est une vraie problématique pour l'architecture de notre SI, ce que l'on fait en central ou en local. Le problème numéro 1 est d'ailleurs la capacité à se connecter à Internet, ce qui n'a rien d'évident, par exemple dans des écoles rurales. Dans ces cas là, un routeur 4G peut être plus approprié que l'ADSL.
Pour couvrir les quatre besoins que j'évoquais, nous répartissons donc entre le central et le local de manière pragmatique. Par exemple, pour les approvisionnements, s'il existe un système central par pays et un référencement des fournisseurs également national, les achats sont locaux. L'encaissement, qui ne doit jamais s'arrêter en cours de service, peut être local afin de ne pas être soumis aux problèmes réseau. Mais les sites les plus importants sont déjà tous connectés et nous avons un programme de modernisation des caisses afin que toutes soient connectées. L'objectif est de remonter en central les informations d'encaissement soit en temps réel quand c'est possible, soit au plus tôt sinon.
Pour la bureautique, la messagerie, etc., nous avons recours à Office 365. Après quelques expérimentations très prometteuses, nous sommes en train de déployer un réseau social d'entreprise (sous Yammer) car nous avons besoin d'améliorer l'animation de ce réseau de 23 500 établissements. L'idée est de faciliter l'animation par les directeurs de région ou les responsables de zones (responsables de secteurs...) au-delà de relations point-à-point ou de réunions physiques.
Si les outils généraux, comme Office 365, sont choisis mondialement, il reste une certaine autonomie aux établissements pour des outils locaux. D'autant que, sur nos 100 000 employés, tous n'ont pas forcément un compte car, autre particularité de notre métier, il y a un important turn-over.
PublicitéCIO : Du coup, comment digitalisez-vous l'expérience employés si tous n'ont pas un compte ?
Bernard Duverneuil : De fait, en dehors des populations de gérants et de responsables de secteurs (soit 30 000 comptes), cette digitalisation est n'est pas terminée. Le portail SIRH en self -care est opérationnel pour ces populations. La réflexion est en cours pour les 70 000 autres comptes, notamment avec le déploiement de Yammer sur les appareils personnels des collaborateurs
En Espagne, la question a été tranchée et tout le monde est connecté, aussi bien pour recevoir les informations descendantes que pour opérer des démarches telles que les demandes de congés.
CIO : Et qu'en est-il de la digitalisation de la relation clients et de la relation convives ?
Bernard Duverneuil : Clients et convives sont deux concepts différents. Nous contractons en effet généralement avec un client entreprise ou établissement public mais ce sont des individus qui mangent dans nos restaurants.
La digitalisation de la relation client est bien avancée car nous avons besoin d'un canal de communication pour envoyer des informations. Mais nous avons également une relation avec les convives. Nous devons leur adresser une information sur notre offre, nos menus ainsi que sur leur compte (pour le paiement de leur part). Parfois, c'est aussi un lien avec la famille : si des enfants sont nos convives dans une école, nous aurons une relation avec leurs parents. Parfois, le compte est familial.
Le besoin de fournir de l'information va croissant : ingrédients, provenances, qualité bio et/ou locale, allergènes... Cela passe notamment par notre application mobile Time Chef qui permet aussi de remettre de l'argent sur le compte.
CIO : Est-ce que la dispersion des établissements constitue un vrai problème de sécurité ?
Bernard Duverneuil : Certes et nous y répondons par trois attitudes. Tout d'abord, la standardisation. Ensuite, l'interconnexion : que le système soit cloud ou non, il y a toujours au moins une supervision, une gestion ou une surveillance à distance des équipements, notamment des caisses, avec distribution des correctifs. Enfin, bien entendu, il y a la sensibilisation autant de nos propres employés que de nos convives.
CIO : Le Cigref a mené une campagne orientée vers le grand public, celle de la Hack Academy, ce qui peut se comprendre pour une association. Mais pourquoi Elior, qui est une entreprise dont ce n'est aucunement le métier, s'adresse-t-elle au public sur le sujet de la cybersécurité ?
Bernard Duverneuil : La cybersécurité est l'affaire de tous. Nous servons cinq millions de repas par jour. Nous avons de ce fait une responsabilité dans la diffusion des bonnes pratiques, en l'occurrence de cybersécurité en nous appuyant sur les recommandations de l'ANSSI. Bien entendu, cela sert notre image d'entreprise citoyenne, ce qui correspond aux attentes de nos convives.
Mais ce n'est pas tout. Nous avons des systèmes interconnectés, souvent en lien avec les réseaux de nos clients. Du coup, ce point est important dans notre positionnement. La cybersécurité fait partie de plus en plus souvent de l'appel d'offres des clients. Ceux-ci sont directement concernés si nous sommes connectés à leur réseau. Et ils le sont aussi si, suite à un incident de sécurité, l'encaissement ne fonctionne plus, ce qui bloque leur restaurant d'entreprise.
En ce moment, la dimension sécurité des appels d'offres est également très importante sur le RGPD.
CIO : Où en êtes-vous, du coup, en matière de RGPD ?
Bernard Duverneuil : La réglementation est claire. Depuis un certain temps, nous avons examiné toutes nos applications pour recenser toutes les données personnelles traitées et contrôler ce qui était le plus sensible. Nous avons ensuite communiqué auprès du personnel et installé des correspondants aux données personnelles un peu partout. Nous ne sommes pas une entreprise plus exposée que la moyenne. Par exemple, en général, les systèmes d'encaissement ne traitent que des numéros de badge, pas des noms et des prénoms.
CIO : Pour sensibiliser autant à la cybersécurité au sens strict qu'aux nécessités liées au RGPD, comment avez-vous pratiqué ?
Bernard Duverneuil : Bien entendu, nous avons mené en collaboration avec la direction de la communication un programme de sensibilisation, la campagne « Hacking Diner », primée aux Grands Prix Stratégies de communication cette année. En co-pilotage RSSI/DSI, ce programme a intégré des opérations présentielles sur les plus grands sites et, bien évidemment, des messages sur l'intranet, des vidéos, etc.
CIO : Le RSSI vous est-il rattaché ?
Bernard Duverneuil : Sur la sécurité du SI, le RSSI m'est effectivement rattaché opérationnellement mais il a aussi une casquette sécurité plus globale pour laquelle il rapporte directement à la direction générale.
CIO : Lorsque l'on parle RGPD, on parle de données personnelles. Quels traitements faites-vous de celles-ci ?
Bernard Duverneuil : En matière de suivi de la consommation, nous n'utilisons pas à grande échelle de données individuelles. L'étude de l'évolution de la consommation s'effectue par un suivi global, par exemple pour constater des tendances telles que le développement de la demande de plats végétariens ou spéciaux (sans gluten...).
Bien entendu, nous avons une vision détaillée de ce que mange chaque convive et nous sauvegardons le détail du ticket. Ces données pourront être utilisées pour améliorer la relation client et développer des recommandations. Actuellement, nous ne générons pas d'alertes individuelles sur notre application Time Chef concernant la présence d'allergènes signalés par l'utilisateur comme lui déclenchant des réactions indésirables dans tel ou tel plat du menu. Pour les allergènes, nous nous reposons sur la communication classique sur place, via un affichage à côté des plats.
Nous développons par contre de la reconnaissance visuelle automatique des plats par caméra sur les plateaux pour savoir ce qui a été consommé.
CIO : Nous avons peu parlé infrastructures en dehors des réseaux. Quels sont vos choix en la matière ?
Bernard Duverneuil : La question de l'hébergement avait été posée avant mon arrivée. Il y a une volonté d'aller vers le cloud public mais pas d'y mettre la totalité de notre SI. Parfois, nous mettons en place de l'hébergement local, notamment avec de l'hyperconvergence qui peut être intéressante financièrement. Même si, aujourd'hui, on peut dire que tout est cher, l'hyperconvergence locale peut être moins onéreuse que du cloud public ou même du serveur traditionnel sur le long terme.
Comme nous disons au Cigref, nous sommes entrés dans l'âge de raison du numérique. Il faut, d'une manière générale, prendre un vrai recul sur les technologies. Elles ne sont pas forcément la panacée.
Concernant le cloud public, nous avons fait le choix d'une pluralité de fournisseurs [non-cités, NDLR]. Il en faut toujours au moins deux. Nous avons aussi un datacenter traditionnel au goût du jour en matière d'exploitation.
CIO : Votre datacenter est architecturé en cloud privé je présume ?
Bernard Duverneuil : Je n'aime pas le terme de cloud privé car il ne veut pas dire grand'chose pour moi. Il est vrai que Oracle nous parle même de « cloud on premise », ce qui est un peu un oxymore, non ?
Mais, après la ruée sur le Cloud, on passe juste au post-Cloud.
CIO : Autre question que nous n'avons pas abordé, celle des moyens de paiement. Même si vous n'avez pas de touristes chinois dans vos restaurants, cette question constitue-t-elle une difficulté aujourd'hui ?
Bernard Duverneuil : La grosse tendance du moment est ce que l'on appelle le « cash-less » : paiement électronique, sans contact, etc. D'une manière générale, nous évitons de gérer du cash, même s'il en reste évidemment. Pour recharger son badge, on passe le plus souvent par l'application mobile Time Chef. Des portefeuilles de type ApplePay ne constituent pas une demande en France mais, aux États-Unis, surtout dans l'événementiel, cela peut arriver.
CIO : Aujourd'hui, quel est votre principal défi pour les années à venir ?
Bernard Duverneuil : Dans notre métier, notre principal défi est de nous adapter aux nouveaux modes de consommation. Le SI est un outil pour atteindre cet objectif.
Par exemple, le développement des nouvelles habitudes alimentaires impose de donner toujours plus d'informations aux consommateurs. Cela implique de disposer de ces informations et donc de les obtenir auprès de nos fournisseurs lors des approvisionnements. Or les carottes peuvent être bio un jour, locales le lendemain et ni l'un ni l'autre un troisième jour. Nous avons donc besoin de récupérer l'information automatiquement et en temps réel : c'est un grand enjeu dans notre secteur.
Les cahiers des charges émis par nos clients sont de plus en plus stricts sur les caractéristiques de type bio/local. Notre volonté est non seulement de satisfaire ces demandes mais aussi de les devancer.
Les données que nous utilisons pour produire les rapports demandés sont de plus en plus vastes. Nous utilisons donc des outils classiques pour réaliser ces rapports mais avec des architectures modernes.
J'insiste sur l'objectif de tous ces efforts : il s'agit de développer une relation de confiance avec le convive qui doit être certain de ce qu'il mange, de la qualité de son alimentation.
Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire