Transcription

• Speaker #0

  Quand tout s'arrête, qui décide vraiment ? La sécurité ou le business ? Suite à la cyberattaque majeure subie par Bouygues Construction, cette question n'a rien d'abstrait. Chaque minute compte, chaque arbitrage engage la continuité d'activité, la réputation, la responsabilité des dirigeants. C'est l'expérience qu'a vécue Thomas de Gardin quand il était RSSI de l'entreprise. Aujourd'hui RSSI de Pernod Ricard, la tension est différente mais tout aussi critique. mener l'une des plus grandes transformations technologiques globales de la place de Paris, sans perdre la maîtrise artisanale et l'excellence industrielle qui servent directement les enjeux business du groupe. Deux contextes, une même réalité, la cyber n'est plus un sujet technique, c'est un sujet de gouvernance. Bienvenue dans l'œil de la cyber, le podcast de Gatewatcher qui donne la parole aux acteurs du numérique. Je suis Anne-Laure de Larivière et je reçois Thomas Degardin, RSSI de Pernod Ricard. Retrouvez tous nos podcasts sur www.gatewatcher.com, catégorie podcast. Si vous aimez ce qu'on fait, pensez à vous abonner au podcast Dans l'œil de la cyber pour ne pas rater la sortie du prochain épisode. Bonne écoute ! Bonjour Thomas !

• Speaker #1

  Bonjour Anne-Laure !

• Speaker #0

  Alors Thomas, avant de commencer, je voulais vous remercier déjà pour votre retour d'expérience qui va nous être très précieux, que vous allez nous faire dans cet épisode, car derrière le volet technique, une cyberattaque c'est avant tout une crise humaine, organisationnelle, et stratégique. Vous allez nous raconter comment vos équipes ont réagi, comment l'entreprise a tenu et quelles transformations profondes ont suivi ces événements. Avant de se lancer dans ce témoignage, j'aimerais quand même vous présenter pour nos auditeurs. Vous êtes ingénieur, diplômé de l'ESI-GTEL. Vous avez fait toute votre carrière dans l'IT et la cybersécurité dans des grands groupes tels que Air Liquide ou BNP Paribas. Et vous avez été RSSI de Carrefour et de Bouygues Construction avant de devenir le RSSI de Pernod Ricard il y a un peu plus d'un an, c'est bien ça ?

• Speaker #1

  C'est exact, j'ai eu la chance d'avoir des postes très différents de la sécurité opérationnelle à la stratégie cyber dans des contextes très différents et des entreprises, des cultures très différentes.

• Speaker #0

  En tout cas, un très très beau parcours, félicitations pour cette belle carrière. Alors j'aimerais qu'on commence notre échange sur un événement important justement de votre carrière, la cyberattaque que vous avez subie quand vous étiez à la CSI de Bouygues Construction. On en avait parlé lors des rencontres de la cybersécurité du groupe La Poste et j'avais trouvé votre retour d'expérience vraiment très intéressant, passionnant, tant d'un point de vue technique qu'humain. Et je pense que ça peut être un très bon enseignement pour nous tous et c'est la raison pour laquelle je vous ai proposé de venir en parler au micro de ce podcast. Alors comment est-ce que ça s'est passé ? A quel moment précis est-ce que vous vous êtes rendu compte que ce n'était pas un incident isolé mais une véritable cyberattaque majeure ? Et voilà, qu'est-ce qui vous a immédiatement mis en alerte ?

• Speaker #1

  Très bien. Alors si je peux, en introduction, un petit disclaimer. Bien entendu, je ne vais pas partager les détails techniques de cette attaque par loyauté par mon ancien employeur. Mais en fait, dans cette période, nous avons reçu, j'ai reçu énormément d'aides de copains RSSI, de confrères, de consoeurs de la cyber, même de parfaits inconnus qui m'appelaient en disant « je viens t'aider quelques heures » . Et donc c'est un peu à mon tour aussi d'essayer de partager ça, en espérant bien entendu que cela ne serve jamais. Donc faisons un petit flashback, en fait ma vie de RSSI change le jeudi 30 janvier 2020 à 8h17.

• Speaker #0

  Très précis.

• Speaker #1

  Très précis, je me souviens précisément où j'étais, ça ne sert à rien mais je m'en souviens. Et en fait ce n'est pas le début de l'attaque, 8h17 c'est juste le dixième appel de mon DSI que je décroche enfin. Neuf appels loupés, le dixième appel. Et les premières informations que je reçois, c'est l'Asie est touchée par un malware. Nous déclenchons une suite de crise à 9h, on t'attend. Et en fait, on s'est très vite rendu compte qu'il n'y avait pas que l'Asie. L'Asie a été la première à apprenir, parce qu'en fait, c'était les premiers réveillés. Dans le Follow the Sun. Donc les premiers à dire, quelque chose ne se passe pas bien, mais oui, construction, nous avons été touchés par un virus global. Et donc, quand j'arrive sur site, quelques dizaines de minutes plus tard, j'ai encore cette idée, effectivement. Ok, l'Asie est touchée, qu'est-ce que l'on sait, qu'est-ce que l'on ne sait pas ? Première cellule de crise, il faut absolument qu'on détermine quel est l'impact, qui est touché, qui est sain, etc. Et je me souviens encore de ce premier tableau de mise en situation, où on avait mis les codes pays, les pourcentages de touchés, pas touchés. On ne l'a pas rempli. On s'est dit 100% partout et on y va. Donc ça, voilà, là c'est le début de cette crise, une crise globale à l'échelle de bouillie construction présente dans 60 pays. on commence à traiter le sujet.

• Speaker #0

  Quelle a été votre première décision critique dans les heures qu'on suit ?

• Speaker #1

  Les premières décisions n'ont pas été de moi. Le CTO, directeur des infras, on n'a pas toujours été d'accord sur tout, mais là-dessus je vais dire mon chapeau, parce que l'une des premières décisions qu'il prend, un peu plus tôt, vers 8h du matin je dirais à peu près, c'est couper tous les liens externes entre Bouygues Construction et le reste du monde. Au sein du groupe Bouygues, chaque entité est séparée, donc il n'y avait pas de risque de contagion vers Bouygues Télécom. etc. Mais par contre, chez Bouygues Construction, quand nous faisons des projets, des sites, parfois c'est en joint venture. Je prends deux exemples. Le Stade de France, ici à Paris, le sarcophage de la centrale de Tchernobyl, ce sont des chantiers faits en collaboration avec Vinci. Donc pour éviter que l'attaque qui touche Bouygues Construction puisse se propager à des partenaires, à des clients, première décision qu'il prend, il coupe effectivement tous les assais externes pour mettre Bouygues Construction dans le noir. Et finalement, A peu près concomitant, quand j'arrive sur site vers 8h50, 8h55, on s'aperçoit que le verre est dans le fruit, continue à se propager. Et donc là, nous prenons la décision d'arrêter électriquement le site de bouillie de construction pour endiguer l'attaque.

• Speaker #0

  Donc là, un impact très très fort en interne. Comment c'est vécu par les équipes ?

• Speaker #1

  Alors, au petit début, on ne s'en rend pas bien compte parce qu'effectivement, arrêter... Plusieurs milliers de serveurs d'un seul coup, ça ne se voit pas. Mais très vite, on voit les impacts. Il faut se remettre aussi dans le contexte de 2020. Donc des serveurs de fichiers, on n'est pas encore sur Office 365, on n'est pas encore sur Exchange Online. Donc tout ça, tous les mails, le RP, les systèmes d'information, Internet, le Wi-Fi, le réseau, tout ça, plus rien ne fonctionne. Vous arrivez au bureau, vous pouvez ouvrir votre session, mais vous ne pouvez accéder à rien. Aucune application, aucun fichier en ligne, tout est à l'arrêt. Donc ça, c'est la situation et il va falloir reconstruire par priorité parce qu'on ne peut pas rester dans cette situation trop longtemps. Ça, ce sont les mots de mot DSI. Si on ne redémarre pas, la boîte crève.

• Speaker #0

  Évidemment. Et donc, vous démarrez une cellule de crise, c'est ça ? Comment est-ce qu'elle s'organise entre la gouvernance, entre l'IT, la direction générale juridique et la com ?

• Speaker #1

  En fait, on avait même deux cellules de crise. Une cellule de crise dite opérationnelle qui était pilotée, dirigée par le DSI et sa responsable. des géants en charge des systèmes d'information. Et à l'intérieur de cette cellule dite opérationnelle, nous avions les équipes infra, les équipes applicatives, la cyber, la communication, du legal, RH, etc. Et on avait une autre cellule, alors on va dire au-dessus, une cellule dite décisionnaire, peu ou prou le comité de management, le comité exécutif de boue de construction, qui définissait les priorités. Je rappelle la date, 30 janvier 2020.

• Speaker #0

  Juste avant le Covid.

• Speaker #1

  Juste avant le Covid, on y reviendra, c'est un autre point aussi très important. Mais surtout, c'est que en fin de mois, la première priorité de notre PDG a été de payer les collaborateurs. Sur 60 000 collaborateurs à ce moment-là, 6 000 n'avaient pas encore reçu leur paye de janvier. Il nous l'a dit, on ne rajoute pas de crise sociétale à la crise informatique, vous payez les collaborateurs, vous avez 4 jours. Si on n'y arrive pas, on va rappeler les banques pour rejouer les payes de décembre avec les primes, le 13ème mois, etc. Donc c'était une perte financière acceptée par le management de Bouygues Construction. Mais bien entendu, le plan A, c'était de redémarrer le système. Donc ça, c'est la première priorité. Deuxième priorité, c'était de ne pas arrêter les chantiers. Donc livrer les chantiers, payer les fournisseurs. Quand le RP est arrêté, il faut trouver des moyens alternatifs pour payer des milliers de fournisseurs sur des milliers de chantiers. Et les fournisseurs, ça peut être des grands industriels qui font du ciment, comme ça peut être des PME, voire des TPE, qui travaillent dans la plomberie, l'électricité. Parce que sur certains chantiers, des fois, il faut faire travailler le tissu local. C'est un impératif de l'appel d'offres. La personne qui travaille sur ce chantier, c'est peut-être sa seule activité de l'année. Donc si vous ne le payez pas, Il ne reçoit pas de revenus, sa famille n'a pas de revenus, il y en a encore un enjeu sociétal derrière. Donc ça, on travaillait à deux cellules et ça avait un très gros avantage, c'est que finalement, ça protégeait un peu la cellule opérationnelle. Au sens que si le comité exécutif n'avait pas décidé qu'il fallait redémarrer telle application, tel fichier, etc., personne ne pouvait venir nous voir en disant « Écoute, allez, tu peux m'aider, en quelques heures tu peux le faire, ça va m'arranger parce que j'ai besoin d'avancer. » Non, le comité exécutif a défini les priorités pour que Bouygues Construction passe au travers de cette crise. Et à contrario, ça mettait un peu sous contrôle ce que faisait la DSI, parce qu'on ne pouvait pas se dire, remonter le RP des dizaines de serveurs, c'est compliqué, alors que là, on a un petit serveur, ça se fait rapidement, puis on fait ça, et puis après, on s'occupe de l'RP. Non, la priorité, c'est le RP. On remonte le RP. Et le petit serveur, on le traitera un peu plus tard.

• Speaker #0

  Et comment vous avez fait pour coordonner ces deux cellules ? Est-ce que ça a été facile ?

• Speaker #1

  Ça s'est fait assez naturellement. Alors, j'irais en termes de crise un peu globale. Bouée Construction avait l'habitude, crise climatique, sur les chantiers, il peut y avoir pas mal de choses. Crise Cyber, c'était notre première. On a appliqué quelques principes. Effectivement, on avait une navette entre les deux. Donc, notre duo directeur, directrice de crise, la cellule opérationnelle, faisait un contrat dû à chaque cellule de crise, à la cellule décisionnelle, pour dire par rapport aux priorités données, voilà ce qu'on a pu avancer, ce qu'on a fait, etc. Puis après, il y avait des réunions qui se faisaient dans les deux cellules, effectivement, pour pouvoir se coordonner. Oui. Après, ce qu'il faut voir aussi, c'est qu'on a appliqué une méthodologie agile. Donc, il n'y avait plus d'organisation hiérarchique comme ce qu'il y avait. Tout avait été cassé et on s'organisait par stream. Donc, une cellule décisionnelle donnait les priorités. L'opérationnelle la transformait en application, serveur, etc. Et après, on avait... des streams, des streams pour l'active territory, des streams pour les backups, des streams pour le réseau, des streams pour les sites internationaux, etc. Et cette organisation-là, à un moment, on a eu jusqu'à 30-35 streams en parallèle. Donc effectivement, les premiers jours de la crise, c'était moi au pilotage, les deux premiers jours, pour arrêter l'attaque. Mais après, tout de suite, on est passé en phase de reconstruction, où on avait trois personnes qui se relayaient en 24-7 pour animer tous ces chantiers, tous ces streams, pour rapporter à la cellule opérationnelle, pour dire, voilà, on en est là, on en est là. Et on peut avancer. Ou, attention, il faut changer certaines choses.

• Speaker #0

  Et est-ce que vous avez eu le souvenir d'un moment de bascule où vous avez pu reprendre la main, justement, sur cette crise ?

• Speaker #1

  Alors, je pense que pour nous, le moment de bascule a été l'arrêt du système d'information pour endiguer l'attaque. Parce que, clairement, pour les connaisseurs, nous avions un verre face à nous, pas juste un virus.

• Speaker #0

  Mais qui a continué à se propager.

• Speaker #1

  Il se répliquait. Les scripts créés par les hackers, le groupe Maze, il a revendiqué publiquement. a été fait pour toucher l'entièreté du système d'information, serveurs, PC. Ils voulaient tout mettre à terre pour nous mettre à terre. Donc arrêter le virus, c'est effectivement arrêter la propagation à l'instant T. Et après, le point suivant, le deuxième point de bascule, c'est que notre PDG est venu nous voir en disant « Est-ce que vous avez des backups ? Est-ce qu'on peut reconstruire ? » En 2020, les hackers n'attaquaient pas encore les backups. Donc nos backups étaient safe. On a pu reconstruire. Donc c'était un peu la phrase du moment avec le Covid. Quoi qu'il en coûte, vous reconstruisez. Vous définissez désormais ce qu'il faut faire et vous déployez globalement. Donc ça, effectivement, on s'est engagé là-dessus, mais on reconstruisait avec une extrême précaution. Il ne fallait surtout pas qu'il y ait une deuxième vague ou une deuxième fois. Les gens se sont investis. On pourra en parler un peu plus tard. Mais effectivement, il y a la fatigue qui s'accumule au fur et à mesure. Personne n'aurait rigolé si j'étais venu les voir. Vous allez rire. on recommence à zéro, ils ont recommencé. Donc on avait quand même cet aspect très, très... Beaucoup de précautions pour reconstruire un arrêt total, et on redémarre et on reconstruit un système d'information d'une boîte de 60 000 collaborateurs.

• Speaker #0

  Est-ce qu'il y a eu justement des décisions assez impopulaires que vous avez dû prendre à ce moment-là ?

• Speaker #1

  Alors, il y a eu quelques décisions qui m'ont donné des sueurs froides, effectivement. Mais en préparant, j'ai repensé à une décision à nouveau, il faut se remettre dans le contexte. Je vais parler des Windows 7, des PC Windows 7. Là, on se dit, là maintenant, en 2026, c'est vieux, etc. En 2020, l'extended support s'arrêtait le 14 janvier 2020. Donc techniquement, on avait appliqué le dernier patch, on était dans le mois, on était encore à peu près à jour. On avait un projet pour mettre à jour les PC en Windows 8, Windows 10, etc. Mais le projet informatique peut prendre un peu de retard. Et puis, on a certains PC où les composants techniques ne supportaient pas cette migration. Donc on acceptait le risque en disant, bon bah ces PC, le renouvellement va être changé dans 12-18 mois, on va attendre. Mais là l'hypothèse change. On attend quand tout est calme, quand tout est joli, quand il n'y a pas de méchants à la porte. Là on est en crise, rien ne fonctionne. Et je me souviens très bien dans cette salle dite pacifique, mon DS6 retournait vers moi, et Thomas, qu'est-ce qu'on fait des Windows 7 ? Trois secondes de sueur foite, je ne pense pas que la goutte est tombée mais elle n'était pas très très loin. Et là je fais, je pense qu'il ne faut pas les reconnecter. Il fait d'accord, on te suit. Et donc là, on a arrêté, on a empêché, j'ai empêché plusieurs centaines, milliers de collaborateurs de continuer à travailler, parce que leur Windows 7, soit, n'était pas encore migré. Donc ça, c'est du temps. Mais à nouveau, quand vous n'êtes pas en crise, vous pouvez privilégier un projet. Là, tout est prioritaire. Il faut redémarrer une entreprise. Donc le support IT local est déjà en train de recâbler, de reconstruire le serveur. Lui dire en plus, tu vas mettre à jour des dizaines, voire des centaines de PC, un peu compliqué. Et puis pour les PC qui ne peuvent pas être migrés, il faut en racheter. Mais 2020, confinement.

• Speaker #0

  difficulté d'approvisionnement et donc on y va on n'a pas de pc à fournir aux collaborateurs donc juste cette décision en disant je la sens pas de remettre des windows 7 sur le sur le réseau des gens n'avaient plus de pc et puis oui la partie budgétaire vous dites vous n'aviez pas forcément anticipé de la dépenser à ce moment là exactement exactement il ya ces sujets là effectivement on a compté nos petits la

• Speaker #1

  crise a coûté effectivement de l'argent au groupe wig mais ça à ce moment là En toute franchise, on n'y pense pas vraiment. On est dans l'action. Il faut reconstruire le système d'information. Il faut permettre à nos collègues de travailler, de faire les chantiers, de répondre à des appels d'offres. Et Windows 7, on verra le coup plus tard.

• Speaker #0

  Du coup, vous avez parlé de... Je me souviens, quand on en discutait au moment de notre échange avec les rencontres de la cybersécurité du groupe La Poste, vous disiez que tout ça, ça a pris du temps à reconstruire, parfois plusieurs mois. Quel a été l'impact sur les opérations et sur les clients ? Alors...

• Speaker #1

  Une chose très importante, aucun chantier ne s'est arrêté à cause de la cyberattaque.

• Speaker #0

  Ça c'est une très belle performance.

• Speaker #1

  Oui, alors ils ont souffert, ils ont pris des retards bien sûr, mais effectivement c'était une des priorités, la deuxième priorité donnée par notre PSG, nous n'arrêtons pas les chantiers. Donc ils ont été livrés, ils ont pu... les pays fournisseurs, etc. Après, on a eu des difficultés dans la délivrance d'autres services plus digitaux. On avait des services de gestion des bâtiments, avec des outils de ticketing pour remplacer l'air conditionné, pour le réparer, pour gérer la gestion des accès. Donc effectivement, ces services-là ont été beaucoup plus impactés. Et après, il faut aussi voir, il y a d'autres choses. En fait, il y a eu, je n'ai pas une prise de conscience, mais un changement de mindset. C'est que quand je suis arrivé chez Bouygues Construction, Deux ans et demi avant cette cyberattaque, j'ai beaucoup entendu, puis c'est un peu stylé dans mon esprit, on n'a pas besoin d'un PC pour couler un mur de béton. Quand on verse le béton entre deux banches, j'ai pas mon PC à la main, par contre, les gens se sont aperçus qu'un PC pour commander une toupie de béton pour couler le mur de béton, c'est utile. Donc il y a vraiment une prise de conscience et effectivement, il y a un dessin qui m'a marqué, parce qu'après en termes de communication, les gens nous ont laissé des messages d'encouragement etc. Et il y a un dessin. que j'adore, que je garde en tête, on voit un monsieur assis, un thermomètre dans la bouche, ses pieds dans l'eau chaude, et la bulle dit, l'IT c'est comme la santé, c'est quand on la perd qu'on se rend compte que c'est important. Et j'aime beaucoup cette image, parce qu'effectivement l'IT est un peu caché, c'est pas le cœur du métier. Avec un PC, à nouveau, je ne fais pas un mur de béton. Mais l'informatique même bureautique, pas l'informatique industrielle, est quand même un peu utile. Donc ça il y a eu aussi, pas de révélation, mais un changement de mindset là-dessus, et après on a des exemples, je dirais, un peu plus parlants. Je ne sais pas si on en avait parlé, mais Oui Construction répond à des appels d'offres pour gagner des chantiers, etc. Quand la plateforme dit deadline lundi midi 00, à midi 00 01, la plateforme est fermée, on ne peut plus déposer le dossier. On ne peut pas appeler le commanditaire en disant est-ce que tu peux me donner 15 jours de plus, parce que je suis en pleine cyberattaque, je n'ai pas accès au dossier, etc. Mais des appels d'offres, des fois, ce sont des mois de travail pour imaginer le résultat, les variantes, parce qu'on aime proposer des choses différentes aux clients. Donc, dire aux gens... Le travail que tu as fait pendant 3 mois, on le met à la poubelle parce que de toute façon, on ne pourra pas répondre en temps et en heure. C'est très dur. A quelqu'un de lui dire que tu as travaillé pour rien pendant 3 mois alors qu'il a mis tout son cœur, c'est compliqué.

• Speaker #0

  Et puis c'est potentiellement une perte de chiffre d'affaires énorme.

• Speaker #1

  C'est une perte de chiffre d'affaires, bien entendu. Donc comment ça se passait ? C'est que le comité exécutif décidait quels appels d'offres étaient prioritaires. Et après, il y avait des gens que j'appelais les spéléologues de la data qui prenaient, OK, cet appel d'offres pour les travaux publics est prioritaire. Je vais dans les salles machines, serveur de fichiers par serveur de fichiers sur un disque du haut pour récupérer. récupérer tous les documents et les donner aux opérationnels. Mais c'est un appel d'offres sur des dizaines, des centaines que l'on traite à l'année. Donc on ne peut pas répondre à tout le monde. Donc ça, effectivement, il y a eu des impacts, il y a eu des pertes d'affaires. Des pertes, en tout cas, d'opportunités sur des affaires là-dessus. Et après, pour les commandes, l'ERP a été arrêté, aussi a été touché. Il était on-premise sur les serveurs, donc il s'est arrêté. Milliers de chantiers, milliers de fournisseurs, il faut faire des commandes. commande à la main. Donc toutes les équipes finances se sont mises au travail en faisant des fichiers Excel des mordres. Mais Bouygues Construction est une filiale d'une entreprise cotée au CAC 40. Les comptes sont certifiés par les commissaires aux comptes. Et on ne présente pas un fichier Excel aux commissaires aux comptes. Donc après, il faut tout réconcilier. Et par rapport à ce que j'ai pu entendre, non, ce n'est pas un simple clic et on remonte toutes les informations dans SAP ou peu importe le système. C'est un long travail de fourmier pour se dire tout ce que j'ai fait pendant X semaines, X mois. sur un mode dégradé, je le remets dans mon système pour le faire certifier par les auditeurs. Donc voilà, il y a tous ces genres d'impact aussi à ProSérieux qu'on n'avait pas vu.

• Speaker #0

  Et donc ce que vous disiez, c'est que vous avez dû prioriser le travail de certains collaborateurs avant d'autres. Et donc il y en a qui ont dû attendre plusieurs semaines, voire plusieurs mois avant de pouvoir retravailler.

• Speaker #1

  Tout à fait, tout à fait. Nous avions classé les applications par priorité de P1 à P7, selon les priorités données par le comité exécutif. Et c'est un bon point, on peut en parler, c'est qu'au début de la crise, tout est arrêté. Donc tout le monde est solidaire, tout le monde dit, allez les gars, on compte sur vous, on est avec vous, etc. Et au fur et à mesure que vous remontez les applications, quand les P1 sont faites, on attaque les P2. Mais sur les plateaux opérations, les plateaux RH juridiques, certaines personnes travaillent sur les applications P1 et retravaillent. Mais la personne d'à côté qui est sur une application classée P5, P6 ou P7, elle ne travaille pas. Donc elle vient nous voir et nous dit mais moi quand est-ce que je vais travailler parce que mon travail est aussi important, je vais quand même pas dire que je fais quelque chose qui sert à rien, mon travail est important. Et bien on lui dit pour toi c'est dans 2 mois, 3 mois, 4 mois. Et c'est très dur, c'est très dur à le vivre. Et pour la personne où on lui dit pendant 2 mois tu vas encore ranger ton bureau parce qu'il n'y a rien d'autre à faire. Et puis pour nous en se disant on aimerait aussi la servir parce qu'elle doit travailler, son travail est important et on le délivre ou pas. Et donc la pression est montée au fur et à mesure. Au début tout le monde était avec nous et au fur et à mesure qu'on remontait des parties. Les autres parties disaient « et moi » .

• Speaker #0

  Et là,

• Speaker #1

  ça a changé un peu, effectivement, l'approche et, je dirais, les mouvements.

• Speaker #0

  Les mouvements et donc, justement, la partie humain, je trouve ça très intéressant. Donc, vous aviez de la pression de la part des collaborateurs qui n'arrivaient pas à retravailler, mais au sein des équipes de... Comment est-ce que ça a été perçu, géré ? Comment est-ce qu'elles ont résisté avec le stress, la fatigue ?

• Speaker #1

  Tout à fait. Déjà, au démarrage, on a eu, je dirais, tous les cas, des gens en sidération. Parce qu'effectivement, c'est quelqu'un de l'extérieur, que l'on ne connaît pas, qu'on ne sait pas nommer, qui nous attaque. Pourquoi ? Qu'est-ce qu'ils veulent ? Qu'est-ce qu'on a fait ? Qu'est-ce qu'on n'a pas fait ? Donc déjà, effectivement, on a eu des gens en sidération, vraiment à se raccrocher à une feuille de papier.

• Speaker #0

  Comme un cambriolage.

• Speaker #1

  Comme un cambriolage. On n'arrive pas à représenter. Il faut les accompagner, il ne faut pas les mettre sur le bord de la roue, il faut les accompagner, puis après ils reviennent dans le jeu et ils contribuent au même niveau que tous les autres. On a des gens qui se sont révélés, qu'on sentait un peu moins bien en ce moment, qui tout d'un coup, dans l'effet de la crise, l'adrénaline, etc., se sont révélés. Mais ce que je veux noter surtout, et j'en profite pour passer le message aux anciens collègues, c'est qu'on a eu un énorme élan de solidarité dans le groupe Bouygues. On a des gens de Bouygues Immobilier, Colas, TF1, Bouygues Telecom. qui ont dit à leur manager, je vais prendre sur mon temps personnel, je vais prendre sur mon week-end, je vais aller débouiller construction. Donc on a eu des dizaines de personnes qui venaient le soir, qui sont venus le week-end pour venir nous aider spontanément. Donc ça, ça fait du bien parce qu'on est au charbon, c'est dur. Et on voit les copains qui viennent pour nous aider à reconstruire, à repenser des architectures, à sécuriser. Et ça, ça fait du bien. Donc ça, c'est vraiment important et je pense qu'il y a eu le mérite.

• Speaker #0

  C'était que des personnes des équipes IT ou c'était même d'autres services ?

• Speaker #1

  Au début, c'est que des équipes IT, effectivement. Mais après, on a d'autres services. On a des gens, effectivement, les équipes com, on parlait entre elles, les équipes RH, etc. Donc, il y a eu vraiment un vrai élan de solidarité. C'est vraiment dans la culture du groupe, effectivement, où les gens viennent s'entraider. Après, en termes d'organisation, on a senti très, très vite que ça allait être intense. Pas forcément long. Je pense qu'on s'imaginait que ce soit plus court. Mais on savait que ça allait être intense. Donc, on s'est très, très vite organisé en trois vites. Qui revient entre eux ? minuit et 8h du matin pour faire ce shift-là. Et en fait, cette organisation, on l'a abandonné assez vite, finalement, parce qu'on s'est rendu compte que dans la période qu'on va appeler une nuit profonde, entre 2h et 5h du matin, les gens se fatiguent très, très rapidement. Et puis, on a besoin d'un expert pour valider une architecture, pour valider une solution, l'expert dort. Donc, lui aussi, il est tout seul, il a besoin de se reposer. Donc, finalement, les streams de ce type-là n'étaient pas aussi efficients pendant cette période-là. Ce qui faisait que remonter du serveur en suivant une procédure, etc., cela, on continue en 3X très longtemps parce que c'est une procédure, elle a été validée, est ampliée, et c'est juste refaire ça X fois non-stop. Mais tous les autres, on leur dit à partir très rapidement, au bout de quelques jours, on leur dit, on arrête la nuit, ça ne sert à rien, vous revenez le lendemain matin plus fatigué, allez vous reposer, et puis on reprend. Donc ça, on a évolué. Au début, on est parti sur du 7 jours sur 7, les gens ont annulé leur congé, sont revenus de congé. Le premier week-end n'a pas existé. Samedi et dimanche, on a travaillé. Et on s'est dit, d'une, le droit du travail, et de deux, on ne peut pas tenir à ce rythme-là. Donc maintenant, vous prenez une journée de break. Après, vous prenez deux journées. Puis après, deux journées collées pour refaire un week-end. Donc ça a été assez progressif. Et après, un point qui est important aussi, on parle des équipes IT engagées, mais il faut voir aussi tout l'écosystème, la logistique. Quand vous avez un rush pour quoi que ce soit, vous commandez une pizza, une salade, un burger, et vous tenez... Une journée, deux jours. Imaginez 200 personnes pendant plusieurs jours. Vous ne pouvez pas les nourrir de cacahuètes, de bouts de fromage et de yaourt. Donc, il y a un moment, les équipes de restauration du site se sont elles aussi mises en mode crise. Et tous les soirs, ils nous faisaient un repas chaud. Alors d'une, ça nous permettait de manger mieux et ça nous permettait de faire un break. Un break avec un vrai repas, se poser pendant trois quarts d'heure.

• Speaker #0

  Du vrai réconfort.

• Speaker #1

  Du vrai réconfort. Chaque fois que je le partage, il y a eu un jour un velouté potiron noisette gingembre. Celui-là, si je retrouve la recette, c'est la personne qui m'entend. Franchement, on a tous la première cuillère, on s'est regardé, on a fait « wow » . Et après, le lendemain, enfin pas le lendemain, dans la folie, on est reparti au combat jusqu'à 2h du matin, on était revigorés. Et après, un autre point, les services généraux, le premier week-end, le site est fermé. Le premier week-end, on était entre 200, 150 et 200 personnes sur site. Vous pouvez imaginer qu'il y a un peu de mouvement et que certaines pièces du bâtiment peuvent se détériorer assez rapidement. Personne n'est là pour nettoyer. Donc aussi les services généraux se sont mis en ordre de marche pour se dire comment on les accompagne, comment on maintient en propre les espaces de travail, etc. Et donc c'est toute une organisation autour. Ce n'est pas que les gens IT, il faut penser à toute cette organisation autour. J'en parlais avec des collègues ou des homologues dans l'armée. Là, on ne s'est pas posé la question où ils allaient dormir ou quoi que ce soit. On s'est déjà posé la question qu'est-ce qu'ils allaient manger, comment on allait les chouchouter. Mais tout cet espace autour, on l'oublie souvent et il est primordial. Machine café limitée, bien entendu.

• Speaker #0

  Ça, c'est obligatoire. Évidemment, sans doute. Avec le recul, est-ce qu'il y a eu une erreur que vous avez commise avant ou pendant la crise que vous assumez pleinement aujourd'hui ?

• Speaker #1

  Je suis quelqu'un qui assume assez bien. Oui, il y a une très grosse erreur que j'ai faite avant la crise. Je me souviens, c'était quelques mois avant le déclenchement de la crise. Un fournisseur me demande, M. Desgardins, quel est votre plus gros risque ? Je réponds, texto, je ne crains pas d'être ciblé. Parce qu'on ne fait pas de frégates militaires, on ne fait pas de missiles. Donc je crains d'autres PTAV2, le virus global, mondial qui touche. Quelle erreur ! Mais quelle erreur ! En fait... Je reste convaincu que le groupe May ne s'est pas levé un matin en disant « Aujourd'hui, j'attaque Bouygues Construction » . Par contre, même l'agence, à la lundi, s'y le dit, c'est un groupe assez technique avec des attaques qui restent opportunistes.

• Speaker #0

  Ils sont russes ?

• Speaker #1

  Europe de l'Est. Ils ont disparu d'eux-mêmes fin 2020. Un autre groupe a refait surface dans le même moment avec les mêmes outils. Et quand ils ont été arrêtés, c'était Y. Il y a eu une vidéo à un moment sur YouTube de leur arrestation, ils étaient dans l'Est de l'Ukraine. D'accord. Dans cette zone-là. on va dire. Mais effectivement, en fait, ils sont rentrés, ils ont vu que groupe de 13 milliards,

• Speaker #0

  ils ont vu l'opportunité financière,

• Speaker #1

  on peut payer une rançon, et là, ils ont investi de l'argent. Là, ils ont voulu nous faire mal. Le virus qu'ils ont déployé le 30 janvier, aucun antivirus dit classique ne le détectait. La signature a été faite pour Bouygues Construction. Donc, alors maintenant, 6 ans après, on a des EDR, NDR, XDR, toute la panoplie, mais à l'époque, C'était un peu innovant, on commençait, et notre antivirus n'a rien vu. Donc il y a effectivement cette grosse erreur que j'ai faite en amont, instillée par l'écosystème et par moi, où je n'ai pas réussi à rester droit dans mes principes, en disant qu'on ne sera pas ciblé. C'est une très grosse erreur. Et après, je dirais, dans le cas de la crise, plein de petites erreurs, mais pas vitales, parce que finalement, on a réussi à passer à travers. Donc a priori, c'était plutôt bon. Il y a une anecdote que j'aime bien partager, c'est que la première procédure de reconstruction d'un serveur que j'ai écrite, a été merveilleuse. De A à Z, elle a été magique. Seul problème, c'est qu'un jour, je vais demander si le directeur infra revient en disant, Thomas, on a testé ta procédure. Pour un serveur, il nous faut 8 heures pour le redémarrer. On en a 3000 à refaire. Là, on est parti pour 2 ans. Ce n'est pas possible. Donc, il va falloir faire autre chose. Donc voilà, ce genre de petite erreur, ça arrive. Je ne dirais pas tous les jours, mais presque. Il faut savoir être agile et savoir reculer pour mieux aller dans une autre direction. Donc ça, oui, on en fait.

• Speaker #0

  Oui, et puis ça se révèle uniquement sur le moment, en fait. C'est difficile d'anticiper ce genre de choses. Tout à fait. Est-ce qu'il y a des projets ou des transformations qui ont été générés, en fait, déclenchés par cette crise ?

• Speaker #1

  Alors, une prise de conscience, oui. Donc déjà, en termes de cyber, effectivement, bouillie-construction avant et après la crise, ce n'est plus du tout la même chose. On a pu investir, faire prendre conscience qu'effectivement, le virus n'est pas juste une affaire de mail phishing, etc. C'était un peu plus évolué que ça. je me suis entendu euh C'était juste un mail de phishing, ils ont cliqué, ils ont eu un virus. Non, on avait d'autres outils, on avait des bastions d'administration, des firewalls, un EDR qui était en train de se déployer, etc. Des IPS un peu partout. Donc l'attaque était un peu plus évoluée que ça. Donc effectivement, ça a révélé des vulnérabilités. L'agence nous l'a dit. Vous avez été attaqué, vous aviez une vulnérabilité. Vous ne vous cachez pas. Vous n'êtes pas les seuls, mais vous ne vous cachez pas. Donc effectivement, on a traité nos vulnérabilités, on a investi, on a globalisé. C'est aussi peut-être un peu le problème chez Bouygues Construction. On a globalisé la cyber, globalisé l'approche cybersécurité chez le groupe. Et après, ça a été aussi une prise de conscience, je pense, pour tout le groupe Bouygues. Parce que oui, Bouygues Télécom, TF1 sont des cibles, sont très digitaux, soit sur des sujets très visibles. Le pôle construction, un peu moins. Avant, il y a eu un changement complètement complet de paradigme. Après, plus d'audits. pas audit pour taper, mais audit pour identifier les faiblesses, pour les corriger, plus de red team, etc.

• Speaker #0

  Et plus de prise de conscience, je pense, quand même. Clairement, depuis 2020, on a fait du chemin.

• Speaker #1

  Oui, en plus, bon voilà, là, on est en 2026, 6 ans après, mais dès 2020, effectivement, il y a eu un vrai changement de mindset à tous les échelons de l'entreprise pour se dire, OK, c'est un sujet, on l'adresse correctement. On ne peut pas tout faire, on ne peut pas tout protéger, tout sécuriser au même niveau, mais on va identifier les joyeux de la couronne et on va les traiter.

• Speaker #0

  Est-ce que vous diriez aujourd'hui qu'en 2026, il y a encore des éléments qui manquent dans toutes les organisations françaises, des vulnérabilités ?

• Speaker #1

  Alors, je ne vais pas le tourner comme ça parce que je ne me permettrai pas de juger effectivement mes confrères et consœurs qui travaillent ardemment tous les jours pour sécuriser ou en tout cas réduire le risque dans leur entreprise. Ce qu'il faut garder en tête, c'est que la menace est là, elle ne veut pas diminuer. Ça a clairement allé booster à l'IA désormais. Bien sûr,

• Speaker #0

  oui.

• Speaker #1

  Donc... La question n'est plus si je vais me faire attaquer, mais bien quand. On en parlait déjà depuis plusieurs années, mais c'est de plus en plus vrai, c'est quand. Ça arrivera. Pas forcément à l'ampleur que j'ai vécue chez Brick Construction, mais ça arrivera. Pour moi, ce qui est vraiment important pour, je vais le dire très crûment, on peut vivre avec une vulnérabilité. Il n'y a pas de problème. Si, derrière, cette vulnérabilité ne va pas avoir un impact sur le cœur de mon activité. Oui. Il faut que je sache, moi, en tant que personne cyber, mais je pense que c'est applicable à pas mal de gens, c'est qu'est-ce qui est vital pour mon entreprise ? C'est quoi le MVC, la Minimum Variable Company, le cœur du réacteur ? Si jamais je devais tout recommencer à zéro, par quoi je recommencerais pour permettre à mon entreprise de survivre ? Je pense que c'est ça la question qu'on doit tous se poser, c'est toute décision cyber doit être driveée par cet élément. Qu'est-ce que je vais faire qui va permettre soit de mieux vendre, parce que les produits que fait mon entreprise avec de la cyber, c'est bien. Chez Pernod Écart, une bouteille de vodka, de whisky cyber-approved, ça ne va pas vous faire vendre plus, on ne va pas se mentir. Mais par contre, effectivement, comment moi, cyber, je vais m'assurer qu'on va être capable de la produire, de la vendre, cette bouteille. Donc ça, je pense, oui, il y a des vulnérabilités partout. Et puis quand on voit, j'irais, les avis de vulnérabilité qui sortent plus que quotidiennement, on ne peut pas se dire qu'on n'en a pas. On en a forcément. Mais maintenant, c'est lesquelles vont être exploitables et lesquelles vont avoir un impact sur mon activité cœur. Et c'est celle-là que je dois traiter et c'est ça que je dois sécuriser.

• Speaker #0

  Bien sûr. Merci beaucoup pour votre transparence sur cette expérience, Thomas. Et ce que vous nous avez partagé aujourd'hui, ça montre bien qu'une cyberattaque, ce n'est jamais seulement une affaire de technologie, mais aussi une épreuve collective qui révèle la maturité, la cohésion et la capacité de transformation d'une organisation. Alors maintenant, j'aimerais me focaliser sur votre expérience chez Pernod Ricard. Vous intervenez dans un autre registre, vous accompagnez l'un des plus grands projets de transformation digitale jamais lancé par le groupe à l'échelle mondiale. Vous êtes sur un projet qui touche à l'IT, au métier, à la gouvernance et directement aux enjeux cyber. Vous êtes arrivé il y a un peu plus d'un an chez Pernod Ricard sur une transformation qui avait commencé il y a trois ans, à peu près.

• Speaker #1

  Tout à fait.

• Speaker #0

  Alors à quel stade la transformation en était quand vous êtes arrivé et quelles ont été vos premières actions pour continuer la mise en place de cette Global Tech ?

• Speaker #1

  Alors déjà effectivement j'ai la chance d'être un des rouages de cette transformation, pas l'instigateur, Hélène Chaplin qui porte ce sujet, ma patronne, la Global CIO. Mais effectivement c'est une grande transformation et la transformation vise à globaliser toutes les fonctions tech. Si je fais un peu d'histoire très rapidement sur Père Noricar, il y a encore quelques années... On avait six grandes maisons qui produisent l'alcool, les brand companies, et on a des management entities qui redistribuent l'alcool, soit aux clients en direct, bars, hôtels, etc., soit à des distributeurs, il peut y avoir plusieurs intermédiaires selon les lois locales, etc. Et chaque entité avait son autonomie, son indépendance en termes d'IT, son DSI, son système d'information, ses outils. Donc la transformation qu'a apporté Hélène, c'est vraiment de globaliser tout cela. Pour avoir une approche groupe. Alors, ce n'est pas juste tout rassembler hiérarchiquement, etc. Non, l'idée, c'est vraiment de mettre en œuvre une global tech dans une organisation agile, pour qu'on soit effectivement plus efficient, plus rapide, et surtout orienté produit. Alors, comment ça fonctionne ? On a des équipes qu'on appelle Proximity, qui sont au plus proche de nos affiliés, sur le terrain, etc., qui sont là pour les accompagner dans leur transformation digitale, dans leurs besoins quotidiens. Parce qu'entre la route to market aux Etats-Unis et celle en Inde, ce n'est pas la même chose, on n'a pas les mêmes contraintes, etc. Donc comment on traite tout ça ? Ça, ils travaillent avec eux, effectivement, pour voir les besoins, un nouveau besoin marketing, un nouveau lancement de produits, etc. Et après, on a des équipes capability, des équipes produits, qui, elles, travaillent avec les fonctions globales pour se dire « Ok, c'est quoi la roadmap pour les opérations, pour le commerce, pour les HR, pour le juridique, etc. » pour avoir justement cette vision long terme. Et les CAPA et les proxys travaillent ensemble pour se dire, OK, par rapport aux besoins terrain, par rapport aux besoins global, comment j'articule tout ça pour être sûr qu'en fait, je globalise que les 60 pays dans lesquels nous sommes n'ont pas 60 applications différentes pour faire la même chose. On peut peut-être globaliser un petit peu, être un peu plus efficient. Et aussi, surtout, investir. Parce que même si on a des moyens... quiconque, je dirais dans toute entreprise, a des moyens limités. Donc comment on investit de façon la plus efficiente nos euros pour le bien de Pernod Ricard ? Et pour finir un peu ce carré, les fonctions globales discutent avec les affiliés locaux pour discuter effectivement en roadmap, et la fonction RH discute avec les RH locaux sur comment on va accompagner les collaborateurs, les opérations globalistes sur comment on va améliorer notre efficience sur la super chaîne, etc. Donc tout ça, c'est vraiment cette transformation. Et je dirais... C'est ça le projet que l'on porte. La transformation de la tech a eu lieu il y a deux ans à peu près, mais c'est quelque chose qui continue, on ne sent pas au bout du chemin. Et tout le groupe Pernod Acker se transforme aussi autour de cette globalisation de la tech, on est un peu les précurseurs là-dessus. Et donc, c'est quelque chose de passionnant parce qu'on voit vraiment ce changement dans l'écosystème Pernod Écart se préparer pour le futur, avec des technologies modernes, avec des approches produits, en méthode agile, avec une responsabilité end-to-end. Ce n'est pas juste je pose un outil, je le ferme et après je m'en vais. Non, c'est comment on accompagne les métiers, nos collègues sur le terrain à utiliser l'outil, à le faire vivre, à le faire progresser, etc. Donc voilà, ça c'est la transformation de Pernod Écart.

• Speaker #0

  Et partout dans le monde en plus.

• Speaker #1

  Et partout dans le monde, voilà.

• Speaker #0

  Avec des usages différents, avec parfois des habitudes d'utilisation d'outils différents ?

• Speaker #1

  Absolument. Donc ça, c'est ça l'enjeu, la globalisation de nos outils. Entre Pernod Ricard Japon, Pernod Ricard Colombie, effectivement, il peut y avoir des choses différentes. Mais comment on arrive à globaliser ? Comment on arrive à trouver le socle commun à tout ça ? Et comment après on construit ? On a un très grand programme aussi, le programme LIP, qui vise à rationaliser nos ERP. Comment on dote Pernod Ricard d'un outil unique qui puisse interagir avec la production, les ventes, la supply chain, pour que tout soit interconnecté, interfacé et qu'on puisse délivrer une tech moderne à nos collègues de Pernod Ricard ?

• Speaker #0

  Justement, on parlait un tout petit peu du côté international où il y a cinq ans, chaque structure chez Pernod Ricard, je parle de Chivas, Absolute, etc., avait sa propre structure IT, si je comprends bien. Le groupe a également 6 maisons qui revendent les marques de Pernod Ricard. Et chacun avait son propre SI.

• Speaker #1

  Depuis, il y a eu un peu de transformation. Si vous voyez les news, maintenant on a une structure gold et cristal qui regroupe soit les spiritueux âgés, gold, champagne, whisky, cognac, et cristal, les spiritueux non âgés, tequila, gin, vodka, etc. Donc ça, c'est les brand companies, effectivement. Et après, il y a les management entities. en région, en pays, qui elle le distribue. Donc ça, effectivement, c'est l'enjeu, c'est notre transformation tech, la transformation du groupe, et comment on pousse ces sujets et comment on pousse ce sujet cyber à l'ensemble du groupe. Déjà, la fonction cyber est globalisée, elle aussi. Donc il n'y a qu'une seule équipe cyber. Mais je dirais que c'est un avantage et un inconvénient. Oui, il n'y a pas d'autres cyber à côté que je dois convaincre, mais maintenant, si je dois convaincre le métier, pourquoi on doit faire ensemble de la cyber ? Et pour moi, ce qui est important, Dans mon métier cybersécurité, c'est vraiment d'expliquer le pourquoi. Pourquoi on va faire la cybersécurité ? Parce que ça peut sembler très lointain. Mes collègues distillent des matières premières pour en faire des spiritueux, pour en faire des belles bouteilles, pour que nos consommateurs passent un moment de convivialité avec leurs proches. Je n'ai pas parlé de cyber dans toute la chaîne de valeur. Elle en est très très loin, bien entendu. Donc mon rôle, c'est vraiment d'expliquer le risque. Le risque cyber est un risque comme les autres. Ça peut impacter la chaîne de production, ça peut impacter les ventes. Donc mon rôle est vraiment d'expliquer... Comment la cyber peut impacter leur activité ? Je ne vais pas parler d'obsolescence, de vulnérabilité, de patch management. Ça, c'est des sujets tech, on gère nous. Mais je vais parler avec eux d'arrêt de production, d'impact sur la supply chain, de défiance des consommateurs peut-être. Parce que si effectivement on a un doute sur la chaîne de production, qui dit que le produit est toujours sain ? On a d'autres contrôles, il n'y a pas que la cyber. Mais pour moi, c'est vraiment l'enjeu de la cyber, effectivement dans cette globalisation, comment on arrive à apporter... C'est cette plus-value à nos collègues métiers en leur disant, on est là, on est une équipe support, on est là pour vous supporter, on va traiter ce sujet-là, mais on a besoin de vous aussi pour savoir où on doit aller, qu'est-ce qui est vital pour vous.

• Speaker #0

  Oui, mais alors comment est-ce qu'on impose en fait un certain cadre commun sans créer de rejet ou de contournement sur le terrain ? J'imagine que quand il y a eu ce projet de Global Tech, ce qu'on disait, certaines... Certains bureaux avaient déjà leurs utilisations propres avec certains outils. Comment faites-vous pour globaliser ? Ça ne doit pas être évident. Il y a des outils, j'imagine, un peu nationaux qui ont dû être utilisés parfois.

• Speaker #1

  Oui, bien sûr, ce n'est pas évident et ce n'est pas facile. Et c'est pour ça que je dis que la transformation est toujours en cours. L'organisation est là maintenant. Il faut la déployer. Il faut que les rouages aient de l'huile et que ça fonctionne. Il ne faut pas que ça se grippe. Il ne faut pas arrêter. Il faut continuer à se faire l'avocat de cette transformation. Pour la faire fonctionner, et oui, sur certains endroits, les réglementations autour de la distribution d'alcool peuvent être compliquées. Rien que l'âge légal de boire n'est pas le même dans tous les pays.

• Speaker #0

  Oui.

• Speaker #1

  Donc comment est-ce qu'à 18 ans je peux, 21 ans, 20 ans ? Donc déjà tous ces sujets-là, effectivement on a des prérogatives locales différentes, et c'est vraiment cette articulation entre les équipes proximity qui sont là au plus proche des équipes en Corée, au Japon, en Thaïlande, en Inde. en Turquie, etc., qui vont dire « Ok, j'ai compris tes prérogatives locales. » Et les équipes Kappa Produits qui vont dire « Ok, on globalise l'approche, mais on a toujours des spécificités. » Donc comment on arrive à globaliser un maximum pour être plus efficient sur ce sujet-là et comment on prend en compte la spécificité ? Après, je dirais, pour imposer, ça marche dans tous les sujets. Il faut discuter. Alors là, ça tombe bien. Pernod Ricard promeut la convivialité. Donc effectivement, je peux témoigner, les gens sont conviviaux, on aime échanger, on aime se retrouver. Et ça crée du lien. Et après, c'est beaucoup plus simple. Quand on connaît la personne physiquement, quand on l'a vue, on peut échanger, on peut se dire « Ok, je comprends ton métier, tu comprends mon métier, et on trouve un terrain commun » . Ce n'est qu'une négociation.

• Speaker #0

  Bravo. Un autre sujet que je voudrais aborder qui est complètement lié, c'est l'IA, l'arrivée depuis quelques mois maintenant, mais de l'IA générative, de l'IA agentique. qui s'est imposée progressivement au sein des équipes métiers. Et ça pose en fait des nouvelles questions de sécurité. L'enjeu, ça va être notamment d'accompagner cette transformation tout en maîtrisant les enjeux de sécurité, de gouvernance et d'adoption. Comment est-ce qu'on peut être sûr que nos agents LLM n'ont pas été pervertis ? Comment est-ce qu'on peut faire confiance à nos agents ?

• Speaker #1

  Alors, comment être sûr ? C'est une très bonne question. Je pense qu'il y a beaucoup d'assistants qui s'y écoutent. Si j'avais recette magique, ils seraient contents. Non, blague à part, effectivement, l'IA apporte de nouveaux enjeux, mais je pense qu'il y a déjà des enjeux existants qu'il faut adresser et que l'IA met en exergue la protection des données. Avec une IA, on a accès à un maximum de données. Donc, comment on va gérer les accès de nos agents IA ou de notre identité IA ? Comment on va gérer les accès des identités machines ? Demain, on va avoir une équipe mi-humaine, mi-agentique. Comment je m'assure que tout le monde travaille bien et travaille sur les bonnes données sans exfiltrer ce qu'il ne faut pas. Donc ça, c'est un sujet. Après, effectivement, on a un sujet en visibilité. Comment quelqu'un pourrait détourner nos LLM ou nos agents pour deux choses. Une, pour nous faire du mal. Réutiliser nos propres agents IA pour casser quelque chose chez Pernod Ricard. Ou peut-être pour influencer l'IA ou pour nous influencer, pour nous faire faire quelque chose de mal. Donc il y a aussi ces sujets-là. Et après... En discutant avec des confrères et des consœurs sur le sujet, il y a un sujet qui pour moi devient imprégnant et qu'on doit adresser, pas que cyber parce que je pense que c'est transverse, c'est le sujet de la confiance. Il y a deux sous-sujets là-dedans, c'est déjà, on va prendre une IA, comment je peux certifier à mes collègues qu'ils peuvent avoir confiance en l'entraînement de l'IA. Est-ce que l'entraînement a été éthique ? On prend un exemple, on veut une IA qui soit représentative, inclusive, etc. Si je l'ai formée que sur des images d'hommes blancs entre 40 et 50 ans, l'inclusivité n'est pas là. Donc, ce que me sort l'IA, est-ce que j'ai fait un mauvais prompt ou est-ce qu'elle a été mal entraînée ? Donc comment je peux être sûr déjà que l'entraînement de l'IA que je vais utiliser a été éthique et correspond à mes valeurs ? Donc ça, c'est un gros sujet. Et après, le résultat. Comment être sûr que quelqu'un ne l'a pas empoisonné en cours de route pour me dire que finalement, le meilleur whisky... n'est pas un du portfolio Pernod Équerre, mais d'un autre. Pas cité de marque. Donc, est-ce que c'est vrai, est-ce que c'est pas vrai ? Comment je peux faire confiance à ce résultat ? Parce que ce qu'on se dit, bien, ce qu'il faut voir, l'IA, pour l'instant, Gen.Eye, se base sur le passé pour recréer quelque chose de plausible.

• Speaker #0

  Est-ce qu'il existe des outils, justement, pour lui faire confiance ?

• Speaker #1

  Alors, en toute franchise, on démarre.

• Speaker #0

  Donc,

• Speaker #1

  on cherche. On cherche ce sujet-là. Donc, là, déjà, c'est beaucoup de sensibilisation pour dire à nos collègues et à nos collaborateurs, ce que vous avez comme résultat, c'est un résultat plausible, probable. Mais attention, ce n'est pas forcément le bon résultat. Il faut que tout le monde, et ce n'est pas que la cyber, parce que là on est aussi autour de l'éthique, autour de la privacité, etc. Comment on est sûr que les gens ne prennent pas pour argent comptant ce qu'ils sont de l'IA ? Donc ça c'est beaucoup d'éducation. Et il faut former les gens, parce qu'effectivement, on en parle depuis bientôt 4 ans, mais c'est encore neuf dans nos utilisations. Donc il faut bien que les gens prennent ce pas de recul et ne prennent pas pour argent comptant. contents, ce qui sort de l'agent X.

• Speaker #0

  Plus concrètement, la fabrication de l'alcool, du whisky notamment, requiert une pratique un peu particulière, avec des normes très strictes à respecter. On en parlait tout à l'heure. Une mauvaise distillation, ça peut avoir des conséquences sur la santé très lourde des consommateurs. Au-delà du projet de Global Tech dont on a parlé, vous avez un enjeu de sécurisation des machines industrielles sur différents sites à travers le monde. Donc comment est-ce que vous faites pour les sécuriser vraiment sur la partie, je dirais, hygiène ? Est-ce que la cyber entre en jeu sur cette partie-là industrielle ?

• Speaker #1

  Oui, on a beaucoup de systèmes industriels. C'est vrai que je découvre ça par rapport à Bouygues, où la construction n'en est plus loin. Donc c'est un milieu passionnant. C'est l'IT-outil. C'est l'IT-outil, effectivement. L'outil pur avec des automaticiens, des gens formidables et super pointus, calés sur leur sujet. donc effectivement on a des... distillerie on a des usines d'embouteillage tout ça une centaine d'usines de par le monde donc en fait là on est en trio là on travaille pas seul c'est pas la cyber tout seul on travaille justement avec ses équipes haute et ses automaticiens parce qu'ils maîtrisent leur gérer leur métier et entre le manufacturing et les gérer les L'industrie critique, comme l'eau ou l'énergie, c'est différent. Ce ne sont pas les mêmes enjeux. Une chaîne de production d'absolute vodka, si elle s'arrête quelques heures, ce n'est pas forcément dramatique. On pourra la reprendre, on pourra faire des stocks. Vous arrêtez la consommation d'eau pendant quelques heures, vous pouvez avoir des impacts humains beaucoup plus forts. Donc effectivement, il faut aussi prendre en compte, donc on travaille avec eux, on travaille avec les autres équipes tech, IT aussi, pour travailler sur ces sujets-là. Et à nouveau, parler risque. Le risque vient d'où ? plutôt de l'IT parce que je sais qu'il Les environnements hauts-tits sont historiquement plutôt isolés dans leur bulle et sont plutôt effectivement pensés pour dire si jamais l'IT disparaît, on est capable de continuer. Donc ça permet effectivement d'avoir une certaine autonomie, mais demain tout sera interconnecté. Donc on anticipe ces mouvements en travaillant avec les équipes d'Automate, avec les équipes IT locales, les équipes IT centrales pour se dire ok, comment on sécurise tout ça ? Après, je dirais qu'il n'y a pas de... Il n'y a pas de grande révolution. On segmente, on met de la détection spécifique, on sécurise les systèmes, on sécurise les droits d'accès, etc. On s'assure que le cœur de métier, et là, on est sur le cœur de métier de Pernica, puisse fonctionner sans problème.

• Speaker #0

  Alors une dernière question pour vous, Thomas. Vous avez, on l'a dit, des sites de production en France, en Italie, en Suède. Vous avez un fonds de pension en Irlande. Entre le RGPD, Nice 2, Dora, les exigences des fournisseurs et les spécificités réglementaires locales, Comment est-ce qu'un groupe comme Pernod Ricard parvient-il à assurer la conformité à l'échelle mondiale ?

• Speaker #1

  Je peux vous en rajouter d'autres. On peut mettre un peu ISO 27000 à 001 en Inde. Il y a le DP-DPA indien aussi, China Cyber Law en Chine. Donc effectivement, je découvre aussi pas mal de nouvelles lois, enfin de nouvelles lois pour moi, dans mon activité. En tout cas, ça a existé. Donc déjà, d'un point de vue cyber, on est dispatché dans les pays importants. Donc on a des gens effectivement en Irlande, au Canada, en Inde, en Chine. Et sur la zone Asie, on peut couvrir, effectivement, on a des gens locaux qui maîtrisent les lois. On s'appuie sur nos collègues du juridique aussi. On a découvert en Chine, sur certains périmètres, nous avons 4 heures pour déclarer un incident. 4 heures.

• Speaker #0

  En comparaison, en France ou au Canada,

• Speaker #1

  c'est... En France, avec Nice 2, ça va être 24 heures. Canada, joker, je ne me souviens plus. Mais celui-là, le 4 heures, on va essayer de l'éviter. Là, on n'est peut-être pas tout à fait dans le scope visé. Donc, on va peut-être pouvoir y échapper. Mais quand on a appris ça, on s'est dit, mais 4 heures, comment on va s'organiser ? Donc, il y a tous ces sujets-là.

• Speaker #0

  Pour quelles raisons vous pensez qu'il y ait ces 4 heures ?

• Speaker #1

  C'était pour des infrastructures avec beaucoup de données clients, etc. Donc, c'est à la vis, effectivement, je pense. Parce que peut-être que, alors je ne connais pas assez l'écosystème chinois, mais peut-être que les entreprises ne communiquent pas assez sur leurs incidents et imposent un délai pour pouvoir... savoir effectivement ce qui se passe.

• Speaker #0

  Et sinon c'est des sanctions très fortes ?

• Speaker #1

  Sur celle là je ne connais pas le taux mais il y avait effectivement une sanction si on ne prévenait pas. Après on peut parler de l'indice 2. Effectivement il y a des pourcentages du chiffre d'affaires en cas de non déclaration donc on découvre je dirais on découvre les joies de l'Europe avec les transpositions par 27 pays. Donc oui c'est 24 heures en Europe mais il faut déclarer dans les 27 pays. Bon, fort heureusement, nous ne sommes pas forcément concernés dans tous les pays, mais on a des gros sites de production en Irlande, en Suède, en France, en Italie, donc en Espagne. Donc on va avoir des sujets au moins sur ce pays-là. Et après, on a des équipes globales aussi qui sont en charge de la compliance à toutes les réglementations. Parce que là, on a parlé de réglementations cyber, pure, mais on a d'autres réglementations plus sectorielles qui embarquent de la cyber. Et on peut même parler de CSRD, qui parle de sécurité des datas. Donc, ça, là aussi, il faut l'adresser et comment on adresse la sécurité de nos données, de nos clients, de nos consommateurs.

• Speaker #0

  Est-ce qu'il y a une stratégie globale qui serait de dire, on choisit la réglementation la plus contraignante dans tous les pays, on essaie de l'appliquer partout, comme ça, on n'a pas à faire des choses différentes pour chaque pays ?

• Speaker #1

  Alors, c'est un peu l'idée, effectivement. En plus, étant une tech globale, il n'y a pas de SI ou de système d'information IT indien, chinois, etc. Chine, c'est un peu à part. Peut-être mauvais exemple. Inde, US, France, c'est le même système d'information. Mais effectivement, et typiquement, c'est ce qu'on fait pour NIS2, c'est quoi le socle minimum commun ? On l'applique tout le monde. Et puis après, les spécificités, on rajoutera au cas par cas. On essaie de trouver la chose, effectivement, le plus large socle commun possible pour éviter de faire 40 projets différents. Mais effectivement, c'est quelque chose qui prend du temps et qui est important. Voilà l'idée. On respecte le law. Il n'y a pas de débat là-dessus. mais oui la réglementation monte en puissance et même pour un simple distributeur et producteur d'alcool nous sommes NIS2 parce que la production de nourriture est un secteur vu par NIS2 et l'alcool est de la nourriture d'un point de vue de la réglementation européenne donc

• Speaker #0

  on s'y applique beaucoup de complexité mais en tout cas bravo pour ce témoignage et merci beaucoup Thomas pour votre retour d'expérience passionnant C'est la fin de cet épisode. Ces deux expériences, à la fois chez Bouygues Construction et chez Pernod Ricard, là où Thomas de Gardin est actuellement RSSI, ces deux expériences nous montrent qu'il s'agisse d'une cyberattaque majeure ou d'une transformation digitale, ce sont les décisions, l'organisation et la culture des équipes qui font la différence. Merci à vous Thomas pour ce témoignage concret et transparent qui nourrit directement la réflexion des organisations pour renforcer. Leur résilience et leur culture cyber. Merci à vous qui nous écoutez. Retrouvez les extraits vidéo sur mon LinkedIn, Anne-Laure Delarivière, et sur tous les réseaux sociaux de Gatewatcher. Vous pouvez également retrouver le podcast sur toutes les plateformes d'écoute. Abonnez-vous au podcast Dans l'œil de la cyber et laissez-nous 5 étoiles sur Apple Podcast. A très vite dans l'œil de la cyber.