Projets

Le RSSI du PMU ne vit pas en chambre close

Le RSSI du PMU ne vit pas en chambre close
Farid Illikoud est à la fois RSSI et chargé de la compliance au sein du PMU
Retrouvez cet article dans le CIO FOCUS n°113 !
Cybersécurité : faire face aux nouvelles menaces contre le système d'information

Cybersécurité : faire face aux nouvelles menaces contre le système d'information

Les systèmes d'information n'ont jamais été autant menacés. Et pourtant, les isoler dans des forteresses est toujours moins envisageable. Comment malgré tout assurer leur sécurité ? Le sujet a été largement débattu au cours de la Matinée stratégique CIO du 16 février 2016 sur le thème...

Découvrir

Le PMU, c'est non seulement des systèmes centraux mais aussi plus de 12 000 points de vente à surveiller et administrer comme l'explique Farid Illikoud, son RSSI. Il s'est exprimé sur la Matinée Stratégique CIO du 16 février 2016 consacrée à la cybersécurité.

PublicitéInvité de la Matinée Stratégique CIO du 16 février 2016 consacrée à la cybersécurité comme grand témoin, le RSSI du PMU, Farid Illikoud, a donné un aperçu non seulement des risques affrontés par son entreprise, mais aussi de son propre rôle en interne, Farid Illikoud étant parallèlement responsable de la conformité. Son entreprise elle-même est un sujet évident en termes de sécurité, étant le premier acteur européen du pari et le deuxième au monde.
Le PMU a trois activités : paris hippiques, paris sportifs et poker. 80% des enjeux sont réalisés dans ses 12 200 points de vente, en 2013 c'était 10,4 milliards d'euros d'enjeux, avec 6 millions de clients. PMU.fr est un des premiers sites de e-commerce en France avec  1,7 milliard d'enjeux. La société est n°2 sur les paris sportifs, n°1 sur les sites généralistes proposant une offre poker.

L'activité est génératrice de contacts et de paiements à un rythme très soutenu avec une multitude de points de vente, sans parler des accès Web. Tout le monde connaît le PMU, mais n'a pas forcément une idée de son infrastructure et des risques en matière de sécurité.  Le PMU est bien une cible idéale avec une activité particulière, encadrée et règlementée par l'Argel (Autorité de régulation des jeux en ligne) et le Ministère de l'intérieur. « Nous sommes le deuxième réseau de vente en France, derrière La Poste » souligne le RSSI. 

La question de la sécurité se pose évidemment. Que ce soit du fait du petit hacker qui souhaite se faire plaisir, ou des attaques DDoS, l'activisme de type Daesh ne peut épargner des sites de paris. Mais le PMU doit protéger aussi bien ses systèmes centraux que les points de ventes, où se font les paris. Est-ce partout pareil ? « Tout DSI et tout RSSI, répond Farid Illikoud, ne peut se passer des éléments de base : définir une politique, des directives, des chartes. Le RSSI ne vit pas en chambre close, mais avec toutes les directions de l'entreprise. Coté métier aussi, on entend beaucoup parler du numérique, il fait peur avec l'ubérisation telle qu'elle est traitée dans les journaux et ailleurs, mais le résultat c'est l'abolition des frontières entre DSI et métiers, et le fait que tout acteur du numérique, en particulier les nouveaux venus, Chief digital officer ou Chief data officer, tous se rencontrent autour de cette thématique : la gouvernance de la donnée ».

« Je passe du temps avec la direction  juridique »

Une fois la politique de sécurité bien définie, le cadre rédigé, il faut le porter auprès de certains métiers. « Aucun projet ne se fait sans analyse de risque au PMU, je passe du temps avec la direction  juridique, le contrat est le seul moyen de se retourner.  Autre pont essentiel, faire intervenir la direction achat, aucun achat ne peut se faire sans politique de risque ».  Mais attention, prévient Farid Illikoud, on est à l'écoute, la sécurité ne saurait être un bloqueur, « je souhaite être un facilitateur de business, comme m'a demandé celui qui m'a recruté, on est là pour apporter des solutions, et aboutir à un meilleur compromis dans une logique de surveillance des coûts et du business ».

PublicitéDans la réalité du PMU, cette politique de sécurité doit englober le réseau physique, les cafés et bureaux de tabac dispersés, avec des PC, des terminaux de paiement, des liaisons,  à sécuriser. « Le basique c'est effectivement la sécurité des terminaux au PMU, avec, depuis six mois, un projet  de big data en sécurité. L'entreprise collecte un maximum d'informations et de  logs, et doit les corréler et les croiser, donc intégrer le facteur sécurité, sans oublier  l'ensemble des utilisateurs et des points de vente ».

Mais, selon Farid Illikoud, « un outil ne fait pas tout, on sait que si on a pas le triptyque people / process / technologies, on ne fait pas grand-chose. On a des outils, mais on s'aperçoit qu'il fallait de vrais analystes. En France difficile de recruter des sachants sur ce type de poste, on a la culture d'ingénieurs, on a par exemple d'excellents développeurs, ensuite on le passe chef de projet puis directeur, très vite, parce qu'on a peu de profils. On a un outil, ça fait un peu sapin de Noël, ça clignote  de partout, mais le meilleur outil ne sert à rien si personne n'est derrière ! »

« Il n'y a pas de risque zéro »

De plus, le secteur est très règlementé, par l'Argel, la Cnil, sous la surveillance des Commissaires aux comptes. Farid Illikoud est d'ailleurs responsable de la conformité, en plus de sa responsabilité en matière de sécurité. « L'Argel voit en temps réel que ça clignote chez nous ». Mais il faut distinguer les évènements des incidents de sécurité,  tout ce qui clignote des vrais alertes. Et, dans ce cas, il faut des plans de continuité.
« On a eu de bons plan de lutte, mais pas toujours en intégrant les cybermenaces, donc on a évalué notre CA versus une crise cyber, avec une démarche classique de PCA pour traiter correctement une crise  de cyberattaques.  De toute façon, il n'y a pas de risque zéro. Ce matin, on avait quelques « visiteurs » chez nous. La question n'est pas si nous allons être attaqués mais comment nous allons faire face à ce qui va se produire.  Une attaque ce n'est pas grave, toute entreprise est attaquée à tout moment, il y a ceux qui le savent et ceux qui l'ignorent, il faut toujours procéder en trois étapes : détecter, remédier, éventuellement et anticiper ».

A une question posée via Evals.Fr sur le nombre d'attaques qu'il subit, Farid Illikoud répond que c'est très variable. Des attaques graves ne surviennent cependant qu'une à deux fois par an, une attaque peut être mineure pour une entreprise et majeure pour une autre. « Ce qu'on redoute le plus, c'est le déni de service, toute notre activité passant sur le réseau. Après, ce que l'on craint le plus, c'est la fuite de données clients, protéger le patrimoine informationnel est donc une priorité ». Dernier point sur lequel Farid Illikoud a tenu à alerter l'auditoire c'est la nouvelle règlementation européenne qui va obliger à notifier toute perte de données, sous peine d'amende.

Mais son action n'est rien sans un environnement. Le ComEx d'abord et le rôle du Pdg « on a fait une  campagne de faux pishing,  envoyés  aux salariés, la réaction de notre Pdg a été géniale, il voulait que le défilement soit plus lent afin que le collaborateur ait encore plus peur en voyant l'avertissement s'afficher sur son écran ». Le RSSI doit également disposer d'un réseau de correspondants sécurité, il ne peut  pas être partout, et le numérique est une vraie chance. aujourd'hui la DSI du PMU peut compter sur la direction juridique, la DRH se sent mobilisée par le Byod et la direction du digital veut faire un maximum en matière de sécurité pour consolider ses projets ».



Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis