- Speaker #0
Bienvenue dans l'œil de la cyber, le podcast de Gatewatcher qui donne la parole aux acteurs du numérique. Je suis Anne-Laure de Larivière et je vous embarque dans un épisode un peu spécial car tourné en amont des quatrièmes rencontres de la cybersécurité du groupe La Poste. C'est la raison pour laquelle j'aurai le plaisir d'interroger Philippe Pacom, directeur des opérations de cyberdéfense du groupe La Poste. Officier de carrière des armées françaises, il a exercé des responsabilités opérationnelles et stratégiques pendant plus de 30 ans. Spécialiste des systèmes d'information et de la cyber défense, il pilote aujourd'hui la protection d'un écosystème critique au cœur de la... la vie des Français. Ensemble, nous reviendrons sur son expérience de gestion de crise militaire et la manière dont il l'a transposée au monde opérationnel privé. Nous parlerons également de la transformation numérique de la poste et des défis humains et organisationnels que pose la cybersécurité à grande échelle. Un épisode sur le sang-froid, la stratégie et la confiance quand chaque minute compte. Retrouvez tous nos podcasts sur www.gatewatcher.com, catégorie podcast. Si vous aimez ce qu'on fait, pensez à vous abonner au podcast Dans l'œil de la cité. cyber pour ne pas rater la sortie du prochain épisode. Bonne écoute ! Bonjour Philippe.
- Speaker #1
Bonjour Laure.
- Speaker #0
Merci d'avoir accepté mon invitation. Avant de plonger dans notre conversation, j'aimerais donner quelques éléments de contexte à nos auditeurs sur votre parcours. Vous êtes diplômé de Télécom Paris et de l'école de guerre. Vous avez débuté votre carrière dans l'armée de terre, au sein de la cavalerie blindée, légère. Vous avez occupé pendant plus de 13 ans des postes de commandement opérationnel, du chef de peloton au commandement d'unité, en France et en opération extérieure. Pour... Vous rejoignez ensuite la Dirizie, où vous êtes spécialisé dans les systèmes d'information et de communication de défense. Vous modernisez les systèmes de messagerie classifiés du Minarm, tout en apportant votre expertise en sécurité des réseaux et des systèmes d'information. Au sein de l'armée de terre, vous avez occupé plus tard le poste de chef de programme NCW pour Network Centric Warfare, où vous jouez un rôle clé dans la transition vers les systèmes de combat interopérables de nouvelle génération, en assurant la cohérence. entre système existant et futur. Et ensuite, vous rejoignez le commandement des opérations spéciales en tant que responsable des systèmes d'information et de communication où vous concevez l'architecture de commandement et de contrôle des opérations spéciales du niveau stratégique au niveau tactique et vous contribuez directement à l'optimisation des procédures opérationnelles de forces spéciales. De 2018 à 2021, vous êtes conseiller C4ISR à l'OTAN et à l'Union européenne. En 2021, vous rejoignez l'ANSI, où vous pilotez la stratégie nationale de cyberdéfense, notamment pour les événements majeurs, tels que les élections, la Coupe du monde de rugby ou encore les Jeux olympiques. Et enfin, vous êtes aujourd'hui directeur des opérations de cyberdéfense au sein du groupe La Poste, où vous pilotez la protection des systèmes d'information et la gestion des incidents. C'est bien ça ?
- Speaker #1
C'est exact.
- Speaker #0
Un très, très beau parcours. Vous avez une carrière militaire impressionnante. Je suis très curieuse de comprendre la manière dont vous pouvez faire ça. manière dont vous utilisez votre expertise militaire de terrain en entreprise. Alors une première question pour vous Philippe, qu'est-ce que ce passage terrain vous a appris de non négociable pour une crise cyber aujourd'hui ? Et qu'est-ce qui au contraire ne fonctionne plus du tout dans une entreprise comme La Poste par exemple ?
- Speaker #1
Alors je pense qu'il ne faut pas nécessairement opposer le monde militaire et le monde civil dans le domaine de la cyberdéfense. En fait, dans les modes d'action de la cyberdéfense, on retrouve des similitudes avec le monde des opérations cinétiques, Dans les deux cas, on lutte contre un adversaire, un adversaire dont il est parfois difficile de comprendre les motivations, motivations qu'il faut pourtant bien identifier pour mieux s'y opposer. On peut également faire une analogie entre les niveaux de... Les décisions qui sont catégorisées dans les deux cas. On a d'un côté, dans le monde militaire, le niveau stratégique, le niveau opératif, le niveau tactique. Et on peut faire le parallèle avec le monde de la cyber, où on a le niveau stratégique, le niveau opérationnel et le niveau tactique. techniques. Dans les deux cas, cette séparation au niveau de responsabilité souligne finalement un besoin de coopérer entre les différents métiers, entre les différentes fonctions pour ensemble atteindre ce qu'on appelle dans le domaine militaire. terme et qu'on reprend aussi dans le domaine de la cyberdéfense, un état final recherché, un EFR qui est partagé, commun à tous et vers lequel il faut progresser pour atteindre cet état final. Finalement, cette séparation, elle n'existe pas. On retrouve bien les mêmes organisations et c'est ça qui est important. On retrouve ces organisations qui sont donc un invariant, de même que le besoin de s'entraîner, le besoin d'acquérir des skills à tous les niveaux. Donc je ne vous poserai pas vraiment ces deux notions et ces deux mots.
- Speaker #0
Pourtant il y a quelques différences quand même entre ces deux mondes Dans vos postes, ces 4 ISR et opérations, la qualité d'un point de situation fait la différence. On a besoin d'avoir une information courte, comparable, actionnable. En cybersécurité, on voit souvent l'inverse. Il y a du bruit technique d'un côté, des décisions business de l'autre. Dans le cadre des cellules de crise que vous montez, est-ce que vous avez fait adopter des habitudes de communication issues du monde militaire dans le groupe La Poste ? Oui,
- Speaker #1
tout à fait. En fait, cette analogie, elle ne se résume pas à ce que je viens de dire. dans le domaine de la communication, effectivement. il faut bien communiquer, il faut bien partager les informations, et pour ça on peut s'appuyer sur les bonnes pratiques militaires, l'utilisation de templates, notamment un template très connu qu'on appelle le CITREP, le Situation Report, et donc on a directement transposé aussi dans le monde de la cyber défense et dans notre organisation à nous. Donc ce CITREP, c'est vraiment quelque chose qui est vraiment au cœur du partage de l'information, c'est un document formalisé qui permet de mieux communiquer, d'éviter les pertes d'informations, de mieux se comprendre, de parler le même langage. Mais au-delà de ça, on partage aussi d'autres bonnes pratiques, Bye. Par exemple, dans le cadre de notre cellule de gestion de crise groupe, on a mis en place aussi un battle rhythm. Le battle rhythm, c'est ce qui permet de rythmer finalement toute la cinématique de notre réponse à un incident, de notre gestion de crise, où on va se planer finalement la journée avec des événements qui sont déjà répertoriés et qu'on va partager cet emploi du temps avec tout le monde. c'est aussi une manière de communiquer. communiquer et c'est une bonne pratique que l'on utilise aussi. Et puis enfin, on partage aussi, bien sûr, ce qu'on va appeler aussi, directement issu du monde militaire, une synchromatrice, c'est-à-dire finalement une sorte de gante avec des lignes d'action sur lesquelles on va planter des objectifs stratégiques, des objectifs opérationnels, des objectifs techniques. et c'est la réalisation de ces différents objectifs dans le temps qui vont contribuer à la réalisation de l'EFR, l'état de recherche et de genome. nommé précédemment. Voilà, donc, toutes ces manières de communiquer permettent bien sûr de mieux partager l'information, de partager une même vision. Et tout ça, c'est issu du monde militaire et c'est totalement transposable et on l'a transposé.
- Speaker #0
Félicitations. Alors, la Poste a une mission de continuité et une relation de confiance historique avec les citoyens. En crise, on peut être tenté de verrouiller un peu partout, de limiter les usages, d'imposer des contraintes lourdes et parfois au détriment du service. Comment est-ce que vous arbitrez entre protéines. Protéger et servir. À quel moment est-ce que la sécurité devient contre-productive et comment est-ce que vous l'expliquez à une direction qui veut à la fois zéro incident et zéro friction ?
- Speaker #1
Alors, je ne poserai pas les deux non plus. Je pense qu'il ne s'agit pas de faire un trade-off entre protéger et servir. Il faut protéger et servir. Donc, en fait, comment nous faisons ça ? Eh bien, tout simplement, lorsque la question se pose à un moment donné... De savoir s'il faut privilégier le business ou la sécurité, ça sort de mon niveau de responsabilité et nous proposons un arbitrage au niveau du top management qui lui va dire, va nous dire, à condition... bien sûr que nous lui exposions bien correctement les impacts, les faits, les risques, c'est lui qui va nous dire vous privilégiez telle option ou telle option. Donc en fait c'est pas moi qui vais décider de cela, ça sort de mon champ de responsabilité, c'est une responsabilité du top management. et c'est lui qui va nous fournir son arbitrage, mais à condition, bien sûr, encore une fois, de devoir bien expliquer la situation. Donc, il ne s'agit pas d'opposer les deux, il s'agit de bien concilier les deux, et en fonction de la situation, on va mettre l'accent peut-être plus sur le business ou sur la sécurité, en fonction de la phase dans laquelle nous nous trouvons.
- Speaker #0
Pour continuer sur votre expérience militaire, à partir de 2007, vous avez basculé sur les systèmes d'information de défense et vous avez piloté notamment la modernisation des messageries classifiées. Ce type de programme force à traiter la réalité des dépendances, des outils, des prestataires, des réseaux, des usages. Qu'est-ce que ces grands programmes vous ont appris sur le maillon faible, la technologie, les processus ou les humains ?
- Speaker #1
Alors, je dirais les trois en général. En fait, les trois. La technologie, parce qu'elle n'est jamais totalement fiable, on le voit bien. Chaque semaine, on a de nouvelles CDE qui apparaissent. C'est un problème. Vous citiez le deuxième point, c'était les humains,
- Speaker #0
je crois.
- Speaker #1
Les processus. Les processus sont nécessaires, mais souvent, ils nuisent à la réactivité. Il faut encore une fois voir s'il faut absolument processer et à quelles conditions. Est-ce que ce process ne va pas finalement plutôt nuire à notre activité ? Voilà. Il faut toujours aussi savoir où placer le curseur finalement. Et le troisième point, pour le coup, j'en suis sûr, c'est les humains. Et les humains, c'est aussi un maillon faible, bien sûr, puisque soit nous sommes... un peu dilettante, soit nous sommes réfractaires, et dans tous les cas, la plupart du temps, on pense que ça n'arrivera qu'aux autres. Donc voilà, les maillons faibles, ils sont là. C'est en fait la conjonction de ces trois maillons faibles qui font que notre métier est difficile, et c'est ça qui le rend intéressant aussi.
- Speaker #0
Alors, on va se focaliser maintenant sur votre expérience au groupe La Poste. La Poste, c'est 250 000 collaborateurs et une présence sur tout le territoire. Est-ce que vous pouvez revenir déjà sur les missions opérationnelles de votre équipe pour le groupe Labast ? au quotidien et puis quelle part de réaction versus prévention, quels indicateurs vous montrent que vous progressez finalement ?
- Speaker #1
Nos missions opérationnelles, elles sont doubles. Elles consistent d'une part à gérer les incidents de cybersécurité et à gérer les crises d'origine cyber. Alors c'est un art qui est tout à fait difficile, qui est complexe, qui est une tâche qui est ardue parce qu'il faut coordonner en permanence toutes les parties prenantes, il faut en permanence essayer de comprendre les motivations de l'adversaire, comprendre... Quelles sont ses intentions ? Est-ce qu'il a l'intention de faire ? Comment la situation peut évoluer ? Il faut essayer d'avoir une vision consolidée de toute cette partie-là. Et c'est évidemment une chose ardue lorsqu'il faut coordonner plusieurs cellules de crise, un certain nombre de parties prenantes. L'exécution elle-même est compliquée, parce qu'obtenir une vision consolidée, claire, précise de la situation, dans ce monde éthéré qui est celui de la cyber, c'est compliqué. Donc nos indicateurs en réalité... ils sont plus de cet endroit là, c'est à dire nous cherchons d'abord à améliorer notre capacité à comprendre rapidement qui est notre adversaire quelles sont ses intentions quelles sont les hypothèses d'évolution de la crise, quel scénario de sortie de crise pourrait être mis en place pour s'opposer à l'action de notre adversaire quelle stratégie on va mettre en place, comment on va la partager comment elle va se décliner sous forme en forme de la synchromatrice dont je vous ai parlé tout à l'heure, c'est-à-dire sous forme finalement d'un plan d'action. Et nos indicateurs sont plutôt là, sur notre capacité à faire toutes ces choses-là, toutes ces tâches rapidement.
- Speaker #0
Et alors, justement, quelle organisation permet de protéger un réseau aussi vaste et interconnecté ? Vous avez parlé de cellules de crise. Comment est-ce que vous vous organisez ?
- Speaker #1
Alors, notre cellule de crise, là encore, mon influence militaire a joué à plein, puisqu'elle découle d'une organisation totalement des principes d'organisation des coureurs militaires. Donc en fait... j'ai tout simplement transposé finalement ce qui se fait dans le domaine militaire, dans le domaine de l'OTAN notamment, donc dans un PC militaire, vous avez des cellules qui sont organisées, on appelle ça des J pour Joint, donc en fait ce sont des cellules interarmées, vous avez comme ça un certain nombre de cellules, J1 pour les ressources humaines, J2 pour le renseignement, J3 pour la conduite, etc. Et moi j'ai tout simplement transposé cette idée-là dans notre organisation, alors je n'utilise pas toutes les cellules parce qu'elles ne sont pas toutes nécessaires dans un cadre de cyberdéfense. j'utilise effectivement la cellule C2 pour cyber cette fois-ci la cellule C2 c'est donc la cellule renseignement j'ai une cellule C3 qui est la cellule de la conduite une cellule C5 qui est la cellule pour la planification une cellule C7 pour le rétex et j'ai une cellule CMI pour cellule de management de l'information comme on a dit pour manager l'information qui circule en interne comme en interne avec nos parties prenantes avec des experts à chaque fois dans chaque cellule alors nous formons j'ai une équipe qui a été formée pour penser. dans ce mode-là, qui est en permanence entraînée. Nous avons un programme d'entraînement annuel qui se clôt chaque année par un exercice cybergroupe très intense. Et tous mes collaborateurs, tous ceux qui font partie de cette cellule de crise, sont formés à tenir le rôle de chef de cellule ou d'adjoint de cellule. Et en même temps, pour assurer une certaine complémentarité et versatilité, tout le monde est formé à tenir d'autres postes, C'est-à-dire C2 et C3 ou C3 et C5 ou C7 et C2. par exemple.
- Speaker #0
Et vous organisez des cellules de crise conjointes, du coup, avec tous ces 2, 3, 4... Voilà,
- Speaker #1
notre cellule de crise globale du groupe est composée de ces sous-cellules, ces 2, ces 3, ces 5, ces 7 et ces 1 000.
- Speaker #0
Alors, dans l'une de vos précédentes activités, vous avez conçu une architecture de commandement et de contrôle, du niveau stratégique au niveau tactique. En entreprise, on retrouve un peu cette difficulté. La direction a besoin d'arbitrage, l'opérationnel a besoin d'action, et la technique a besoin de précision. Comment est-ce que vous définissez les 3 niveaux dans une crise Merci. à la poste, quelles décisions relèvent du tactique, de l'opératif ou du stratégique finalement ?
- Speaker #1
Alors, je vais un petit peu aborder ce sujet au tout début. En fait, on définit, et finalement on reprend, ce qui se fait également dans le domaine militaire, on reprend ces notions, donc on définit le niveau technique. Le niveau technique, c'est le niveau de la mise en œuvre des actions, c'est le niveau de la mise en œuvre des effets. Au-dessus, on a le niveau opérationnel, c'est le niveau de la prise en compte des besoins métiers, c'est le niveau également du pilotage de ces effets, de ces actions, qui sont mises en... ne va pas le niveau technique Au-dessus, on a le niveau stratégique, qui est le niveau à la fois interface entre le niveau opérationnel et le niveau du dessus, dont je parlerai tout à l'heure. Ce niveau stratégique a pour but d'élaborer une stratégie de sortie de crise et d'orchestrer l'activité et les actions de toutes les cellules cyber sous-jacentes, qui sont nos parties prenantes en cas de crise transverse. Donc c'est la façon dont les niveaux de responsabilité sont découpés. Et au-dessus, on trouve un niveau... politico-stratégique qui est en fait l'apanage du top management et c'est à ce niveau là que vont se rendre les arbitrages qui ne sont pas de mon niveau lorsqu'il faut privilégier parfois le business ou la sécurité mais en tout cas c'est à ce niveau là que cette décision, cet arbitrage est rendu en fonction des éléments que nous au niveau stratégique nous portons à ce niveau politico-stratégique Et donc, c'est toute la... La difficulté, c'est de présenter cette situation le plus clairement possible pour des gens de top management qui ne sont pas des techniciens, bien sûr, qui ne sont pas non plus du domaine de la cyber, mais qui doivent très rapidement comprendre les enjeux afin de prendre la bonne décision et nous orienter sur la stratégie de sortie de crise que nous allons mettre en œuvre.
- Speaker #0
Alors est-ce que c'est facile de faire coopérer ces trois mondes ?
- Speaker #1
C'est assez facile parce qu'on s'entraîne beaucoup. Nous menons, comme je l'ai dit, des exercices annuels au sein de notre cellule de cri de groupe. On s'entraîne en permanence. tous les incidents que nous subissons chaque année, qui nous aident aussi à améliorer nos procédures. Et puis ces exercices nous permettent de mettre tout ça en commun, une fois par an, et de progresser sur le chemin de l'excellence.
- Speaker #0
Alors, dans beaucoup d'organisations, on hésite un peu trop longtemps. Quand on a eu une crise, on se pose la question, est-ce que c'est une fraude isolée ? Est-ce que c'est un bug ? Est-ce que c'est une campagne ? Est-ce que c'est un acteur organisé ? Et pendant ce temps-là, le tempo accélère et contenir tôt peut finalement éviter l'industrialisation de l'attaque. Quel critère déclenche chez vous la bascule en mode crise ? Est-ce que c'est le volume ? Est-ce que c'est la répétition ? Est-ce que c'est la nature des données qui sont en jeu ? Est-ce que c'est un risque de répétition ? est-ce que ça risque juridique et qui a le pouvoir de décider rapidement ?
- Speaker #1
Alors Anne-Laure, rien de tout ça en réalité. En fait, il faut partager un même langage. Et déjà, ça commence par qualifier correctement les incidents de cybersécurité. Pour cela, nous avons mis en place un système, rien de révolutionnaire dans tout ça. On a une matrice à deux dimensions. Sur l'axe des ordonnées, nous avons une échelle d'impact. Ces impacts, ils découlent en... de ceux qui ont été définis par notre actionnaire dans la Caisse de dépôt et consignation dans le cadre de la gestion des risques opérationnels. On est vraiment complètement raccord avec cette échelle d'impact qui a été définie par ailleurs. Sur l'axe des abscisses, on a la victimologie, c'est-à-dire les victimes, les cibles de l'attaque, de la moins sensible à la plus sensible.
- Speaker #0
Les conséquences, en fait.
- Speaker #1
Non, vraiment la cible. Vous avez un impact sur une cible. Et donc, c'est la conjonction. Le croisement entre une ordonnée et une abscisse qui définit un niveau d'incidentologie, c'est-à-dire le niveau d'incident de cybersécurité. Donc nous reconnaissons quatre niveaux d'incident de cybersécurité. Les incidents courants, les incidents significatifs, les incidents marquants et les incidents majeurs. Et c'est justement la définition partagée. d'un incident, en le nommant, comme je viens de le dire, qui permet de définir à la fois notre posture d'engagement, la posture veille, la posture suivie et la posture conduite. Et c'est dans le mode conduite uniquement que nous activons notre cellule de crise groupe.
- Speaker #0
Alors comment est-ce que vous passez justement d'une cellule de crise cyber à une cellule de crise groupe sur le plan national avec des impacts sur tous les métiers ? Est-ce que vous avez créé une interface pour décliner les cellules de crise sur le plan national ?
- Speaker #1
Justement, cette matrice qui permet ce déclenchement, encore une fois, c'est la typologie qui permet de qualifier l'incident. L'incident, quand il est qualifié, cela permet de définir notre posture et cette posture permet de définir son dos. doit déclencher ou non notre cellule de crise. Alors bien sûr, je ne suis pas le seul décisionnaire dans ce cas-là. D'abord, j'ai un certain nombre de collaborateurs qui vont me faire des propositions. Je vais ensuite aller voir le directeur cybergroupe en lui proposant, selon l'idée que je me fais de la situation, le besoin de déclencher ou non la cellule de crise. Lui-même peut en référer à son supérieur. Et voilà. En fait, c'est quelque chose qui est un process qui est assez collaboratif pour définir si on doit oui ou non d'étanchéité cette crise.
- Speaker #0
Alors vous avez optimisé des procédures pour crise et des exercices au niveau stratégique. Or beaucoup d'exercices restent trop propres, sans dilemme, sans fatigue, sans communication sous incertitude. C'est vrai que quand on est dans une vraie crise, ça peut durer plusieurs jours, les équipes se fatiguent, c'est du H24 finalement. A quoi est-ce que ressemble un exercice que vous jugez utile ? Quelles sont les contraintes que vous vous imposez ? Et quel apprentissage récent vous a obligé à changer l'organisation réelle ?
- Speaker #1
Je pars du principe que l'exercice... ne peut pas avoir lieu si auparavant les personnes n'ont pas été correctement entraînées. Donc on a toute une phase préparatoire qui dure plusieurs mois en amont des exercices pour entraîner nos collaborateurs à tenir leurs fonctions dans le cadre de notre cellule de crise, dans les fameuses cellules C2, C3, etc. Ensuite, lorsque nous planifions un exercice, nous faisons en sorte qu'il soit le plus proche de la réalité possible. Donc nous mettons l'accent sur d'abord un scénario crédible, qui va être vraiment partagé. Donc il construit avec l'ensemble des parties prenantes un exercice typique au sein du groupe La Poste. Ça va jusqu'à 7 ou 8 cellules de crise, c'est-à-dire 7 ou 8 entités différentes. Donc on va trouver un scénario qui va être crédible pour l'ensemble de ses participants.
- Speaker #0
Et est-ce que les participants sont au courant que c'est un exercice ou est-ce qu'ils pensent que c'est... Bien sûr,
- Speaker #1
ils ont participé. Bien sûr, ils ont participé. Ils ont désigné... Alors il faut distinguer les joueurs et les complices qui vont aider à élaborer et à construire cet exercice. Donc les complices sont issus de chaque... quantité qui va jouer. Ce sont des gens qui, en général, connaissent très bien la technique, qui connaissent très bien leur métier, qui connaissent très bien un système d'information et ils vont aider à construire un scénario global qui permet de faire jouer tout le monde. Et donc, ces personnes-là, les complices, bien sûr, ne seront pas joueuses, mais elles connaissent très bien leur entité et donc, elles sont capables de construire quelque chose de très crédible. Et puis, on va ajouter bien sûr des injects. Des injects qu'on souhaite le plus proche aussi de la réalité, donc on passe par des prévisions. prestataires, bien sûr on ne fait pas ça tout seul, donc on va avoir des vidéos des extraits de journaux, bien sûr ce sont tous des faux, mais qui vont mettre dans l'ambiance en permanence et tout au long du jeu vont nous envoyer ces injects qui sont à la fois des choses techniques ou moins techniques ou parfois un peu stratégiques ou politiques et donc ça donne de la crédibilité à l'exercice et puis euh... Il y a aussi le tempo, le tempo qui rend la chose particulièrement difficile, parce qu'en réalité, dans un exercice, on va contracter le temps. Donc j'aurais tendance à dire que nos exercices sont presque plus difficiles que ce que nous subissons en général dans la réalité, en raison de la contraction du temps, qui fait que le temps de réaction, le temps d'analyse, est réduit à sa plus simple expression, et qu'il faut au contraire aller encore plus vite que dans la réalité. Donc si vous voulez, on se met dans la difficulté, mais on s'entraîne, et donc on se prépare à subir une crise majeure en... justement en développant tous ces skills et en faisant en sorte d'accélérer aussi notre capacité à traiter les informations, à les analyser et à produire une réflexion qui va conduire encore une fois à l'élaboration d'une stratégie de sortie de crise.
- Speaker #0
Et quand vous parlez de temps, justement, combien de temps peut durer un exercice de crise ?
- Speaker #1
Alors un exercice de crise, typiquement, on le joue sur deux jours. Deux jours, pas la nuit.
- Speaker #0
Oui.
- Speaker #1
On peut le jouer également au cours de la pause méridienne. on peut faire vraiment du... 9h-18h pendant deux jours. C'est très dense. Et cette durée est généralement suffisante. Je peux vous garantir qu'au bout de deux jours, les gens ressortent vraiment exsangues parce que c'est très contraignant en raison de la contraction du temps que je vous ai discuté. En fait, on est vraiment en stress permanent. Et on rend également tout ça crédible avec l'intervention ou le jeu également de services qui ne sont sont pas forcément en prise directe avec la... les cyber, mais qui en réalité sont des acteurs importants. Le département juridique, la direction de la communication, évidemment, et puis bien sûr tous les services métiers qui sont impactés dans le jeu.
- Speaker #0
Combien de temps ça vous prend de préparer un exercice ?
- Speaker #1
Un exercice, c'est entre trois et quatre mois de planification.
- Speaker #0
à temps plein. C'est un énorme travail. Et là je parle que des exercices de niveau stratégique au niveau groupe, mais nous menons également des exercices techniques, donc des exercices intersocles car nous avons plusieurs... SOC au sein du groupe La Poste. Nous les entraînons. Là, nous ne le faisons qu'une fois tous les deux ans parce que la planification de ce type d'exercice est encore plus compliquée et prend quasiment un an. Donc, un exercice cyber SOC dans la planification dure un an qui a lieu donc tous les deux ans. les deux ans et un exercice cyber group de niveau stratégique dont la planification prend 3 ou 4 mois et qui est joué tous les ans.
- Speaker #1
D'accord alors j'aimerais maintenant qu'on élargisse un petit peu, qu'on comparte sur des prospectives pour les prochains mois. Selon vous quel est l'état de la menace à l'heure actuelle en décembre 2025 ?
- Speaker #0
Alors en tant que monétaire j'ai beaucoup déménagé et j'ai cassé ma boule de cristal lors du dernier déménagement. Néanmoins je lis quand même ce qu'il se passe. Et donc, j'ai aussi, bien sûr, je constate les choses. je dirais que pour 2026 les rançons logicielles vont être vont continuer à être quelque chose de très impactant le DDoS également nous subissons toujours beaucoup d'attaques par DDoS souvent sans grand impact sans beaucoup d'effet parce que nous avons appris aussi et nous avons mis en place des systèmes anti-DDoS qui sont performants donc nous subissons de moins en moins ces DDoS mais néanmoins on subit ces attaques malgré tout elles existent Merci. Je dirais que le phishing aussi va perdurer. Le phishing, d'après nos propres statistiques, c'est la cause initiale d'une attaque réussie sur deux au sein du groupe. C'est-à-dire qu'en fait, nos collaborateurs sont directement responsables pour avoir, bien finalement, donné leurs identifiants à l'attaquant en étant peu attentifs à un certain nombre de phishing. avec l'intelligence artificielle ils sont de plus en plus crédibles, cohérents. Donc ça devient de plus en plus difficile. Mais justement, c'est aussi notre responsabilité d'expliquer tout cela à nos collaborateurs et de les former à détecter ce qui était auparavant beaucoup plus facilement identifiable. Mais en tout cas, le phishing restera sans doute quelque chose de très prégnant parce que c'est la porte d'entrée principale aujourd'hui de ce que nous constatons au niveau du groupe La Poste pour accélérer un système d'information. Je dirais également que les infrastructures SaaS seront particulièrement visées. également les attaques via la supply chain je pense que c'est quelque chose qui va augmenter et puis un point que nous constatons aussi beaucoup au sein du complot poste ce sont les fausses revendications vous allez me dire en quoi c'est gênant et bien une fausse revendication lorsque sur Telegram ou sur le DAC il est publié des données prétendument appartenant au complot poste Le problème... c'est que nous il faut vérifier. Il y a l'emballement médiatique, dans la presse spécialisée, sur LinkedIn, ailleurs, où parfois des personnes relaient des informations qui n'ont pas été vérifiées, le groupe La Poste a été attaqué, Colissimo a été attaqué, voilà, etc., Chronopost et d'autres. Nous en fait, cela nous oblige à vérifier, donc ça détourne nos moyens de leurs activités, de leur véritable métier c'est très consommateur en temps Et c'est problématique parce qu'en réalité, c'est un moyen finalement peu onéreux pour les attaquants de nous détourner de nos activités et de nous obliger à consommer des ressources pour des choses qui finalement ne sont pas avérées.
- Speaker #1
Et puis c'est une atteinte réputationnelle facile.
- Speaker #0
Et c'est une atteinte réputationnelle facile, exactement.
- Speaker #1
Très bien. Bon, écoutez, merci pour ces informations. Une dernière question pour vous, Philippe. Les menaces hybrides qui mêlent à la fois à des informations, comme vous le disiez, sabotage, cyberattaque, ça devient la norme. Merci. La cyberdéfense doit-elle s'élargir à d'autres dimensions, réputations, justement, géopolitiques, éthiques ?
- Speaker #0
Alors, en ce qui concerne la géopolitique... Les cyberattaques sont depuis longtemps un moyen pour certains pays, certains cybercriminels ou adversaires, de déstabiliser les entreprises et bien sûr nous n'échappons pas non plus à cette règle. Ces considérations géopolitiques sont prégnantes. dans la prise en compte holistique d'un événement de cybersécurité. D'ailleurs, au niveau de l'État, c'est absolument bien pris en compte par l'ANSI, mais également par d'autres acteurs, et c'est également pris en compte aussi au niveau de l'Union Européenne. Donc en fait, ces aspects géopolitiques, ils sont déjà depuis très longtemps bien pris en compte, et on le voit très bien. à travers les attributions publiques qui sont faites, qui sont toujours pesées avec beaucoup de précaution, justement en raison de ces aspects géopolitiques qui sont importants. En ce qui concerne l'éthique, moi je pense que, bien entendu, nos adversaires, l'éthique, ce n'est pas leur problème. En ce qui nous concerne, et nous en tout cas au niveau du groupe La Poste, je pense que les questions éthiques ne se posent pas, je pense qu'il ne faut pas ouvrir ce débat, il faut laisser ça aux éthiciens. il faut laisser ça aux législateurs, il faut laisser ça aussi aux services avec un grand S qui sont au mieux à même de juger de ce qui est éthique ou pas. Et même si ça ne l'est pas, ils peuvent mener des actions qui ne sont pas bien sûr du ressort d'une entreprise telle que le groupe La Poste. Donc je pense que ce débat, il ne faut surtout pas s'en écarter.
- Speaker #1
Une fois n'est pas coutume, je vous propose une suite à cet épisode que nous avons tourné en décembre 2025. quelques jours. avant l'attaque des DOS qui a ciblé le groupe La Poste. J'ai le plaisir et la chance d'interroger à nouveau Philippe Pacom et je pense que cette partie va être particulièrement intéressante et fera écho à nos échanges sur l'anticipation et la gestion du risque. Alors Philippe, nous allons vous demander de manière très concrète comment vos équipes et vous avez géré cette crise cyber. Et pour commencer, quelques éléments de contexte. Le 22 décembre 2025, juste avant Noël, La Poste est ciblée par une attaque. par Denys Services Distribués, plus connu sous le nom de DDoS. Alors, comment est-ce que vous l'avez appris, cette attaque ? Est-ce que vous étiez sur place au moment des faits ? Et comment est-ce que vous avez réagi ?
- Speaker #0
Alors, c'était un samedi après-midi. Et je dois dire, je n'étais pas au bureau. En revanche, nous avons des équipes qui assurent une permanence. Et donc, je l'ai appris, effectivement, le samedi après-midi, vers 18h20. Donc, en fait, l'attaque a commencé vers 16h. Mais vous savez que dans l'hôpital cyber... Au début, il est toujours très difficile de savoir s'il s'agit véritablement d'une attaque ou d'une panne. Donc il faut quand même un petit peu de temps aux équipes techniques, en dépit de leur performance et de leurs compétences, il faut toujours du temps pour vraiment s'assurer qu'il s'agit bien d'une attaque, qu'il y a derrière une intention malveillante, que ce n'est pas simplement une panne. Et donc c'est pour ça que le délai, 16h, 18h20, c'est le délai qu'il a fallu pour vraiment s'assurer qu'il s'agissait d'une attaque. Donc moi, je l'ai appris à peu près vers 18h20. L'attaque s'est arrêtée d'elle-même vers 20h. Bye. samedi et bien entendu nous avons mis ce temps qui nous a été donné, nous l'avons mis à profit pour se préparer parce qu'on pense toujours à une résurgence de l'attaque. Donc les équipes ont travaillé, nous avons affiné nos procédures prêts à reprendre le contrôle des opérations dès lors que l'attaque reprendrait et c'est ce qui s'est effectivement passé le 22 décembre vers 6h30 du matin.
- Speaker #1
Comment est-ce que vous l'avez vécu, vous, quand vous avez appris cette... cette menace justement ?
- Speaker #0
Alors, au début, on n'est pas particulièrement paniqués, puisque les attaques qu'on subit tous les jours, tous les mois, donc des attaques des DOS, la plupart du temps, on en a beaucoup, on subit beaucoup d'attaques des DOS, mais la plupart du temps, elles sont mitigées par le système anti-DOS. Donc là, on a quelque chose qui est particulièrement singulier, qui déroge aux choses que l'on traite d'habitude, on a une attaque qui réussit, et qui réussit durablement. On a déjà le vent. On s'attend bien sûr, comme je l'ai dit. dit à ce qu'elle reprenne, effectivement le dimanche il ne se passe rien, on met ce temps à profit pour se préparer, parce qu'on anticipe la résurgence de l'attaque, le 22 elle se produit de manière très violente, encore plus violente que le 20, et là on est tous sur le pont bien sûr, tout le monde est motivé, tout le monde est vraiment... Prêt à faire face à cette attaque, avec les difficultés que j'ai évoquées, c'est-à-dire des vacances, des gens qui ne sont pas là, et donc une réorganisation du dispositif à mettre en place. Lorsque ça se termine le 24, il y a un soulagement. ils sont sympas, ils vont nous laisser passer un bon Noël, et c'est ce qui se produit effectivement. Lorsque ça reprend le 1er janvier, très honnêtement, c'est psychologiquement très dur, parce qu'on se dit, mais quand est-ce que ça va se terminer ? Ce type d'attaque finalement, ces capacités de j'ai vécues... avec les botnets, les attaquants ne le disposent pas forcément en propre. En fait, ils louent des capacités et c'est très peu cher. Finalement, ce sont quelques milliers de dollars. Au final, sur une attaque telle que celle-ci, qui a duré moins de trois semaines, c'est peut-être quelques dizaines de milliers de dollars, mais pour des cybercriminels qui sont bien dotés, finalement, ce n'est pas très cher. Donc, on se dit qu'il y a une capacité derrière à financer ce type d'attaque. Après tout, qu'est-ce qui peut les décourager ? Qu'est-ce qui peut les inciter à arrêter ? Nous, on est sur le pont depuis déjà 15 jours, on attaque notre troisième semaine, les gens sont fatigués, les équipes IT comme Cyber sont extrêmement fatigués, sont tendus, en signe de crise. Cette cellule de crise, c'est jusqu'à 70 personnes. Dans cette cellule de crise, on a évidemment tout l'écosystème cyber, mais on a aussi tout l'écosystème IT qui est là. Il y a des décisions à prendre, il y a parfois des décisions qui sont difficiles à prendre. Il y a parfois des moments tendus, on n'est pas forcément d'accord.
- Speaker #1
Parce que vous êtes 70 dans cette cellule de crise.
- Speaker #0
Heureusement, tout le monde ne parle pas. Heureusement, il y a seulement quelques personnes qui sont là. Il y a beaucoup de gens qui sont en back-up, en back-seat, pour justement donner des informations à leur porte-parole, Merci. qui, globalement, apportent parole par branche, par entité impactée, mais ça pèse beaucoup de monde. Il faut gérer la frustration, il faut gérer les incompréhensions, parfois, il faut gérer l'urgence, cette urgence qui rend les choses particulièrement difficiles et tendues, et donc, il y a un stress, il y a vraiment une tension, une véritable tension, et cette tension, vous la ressentez. En tant que chef de la cellule de crise, parce que vous devez, bien sûr, faire en sorte que le débat se déroule de manière la plus Je ferai le possible. mais ce n'est pas toujours le cas. Il faut parfois prendre sur soi, il faut parfois être un peu plus incisif, il faut parfois dire aux personnes qui parlent merci de traiter ce sujet dans une autre instance. On va rester là. au sujet qui concerne vraiment l'ensemble des parties prenantes présentes. Il y a plein de choses à faire. Et c'est vraiment très... Bien sûr, il faut préparer les slides, il faut faire les comptes rendus. On ne fait pas une cellule de crise comme ça sans avoir rien préparé. Il faut être précis, il faut être efficace, il faut être concis. Ça demande de la préparation. Donc, en fait, entre deux réunions plénières, vous travaillez. En fait, vous avez à peine fini la réunion plénière, que vous faites le compte-rendu, que vous l'envoyez et que vous préparez les slides. de la réunion suivante qui aura lieu 2-3 heures plus tard. C'est un marathon. C'est un marathon, il faut récupérer les informations, il faut bien sûr vérifier ces informations, il faut parfois rappeler les gens pour leur demander s'ils sont bien sûrs, s'ils valident toujours ce qu'ils vous ont indiqué. Parfois, il y a des gens qui retardent un peu dans la transmission de leurs données, ça crée du stress supplémentaire. Et donc, c'est vraiment quelque chose qui est extrêmement pesant, extrêmement stressant. Mais en fait... Vous ne le subissez pas, ce stress, malgré tout. En fait, vous êtes tellement sous adrénaline que vous avez l'impression que vous allez pouvoir tenir comme ça pendant plusieurs semaines. Et c'est ce qui se passe. Vous tenez, vous tenez véritablement. Vraiment, c'est comme une compétition. Vous êtes vraiment sous stress, mais pas un stress inhibiteur. Un stress qui vous fait tenir.
- Speaker #1
En survie,
- Speaker #0
quoi. Moi, je dormais 3h par nuit. Je ne suis pas le seul. J'ai dormi 3h par nuit. Pas plus.
- Speaker #1
Vous avez des dizaines d'arbitres à faire par jour en fait ?
- Speaker #0
Tout à fait, oui bien sûr.
- Speaker #1
Quel type d'arbitrage par exemple concrètement pour que les gens comprennent sur le réseau ?
- Speaker #0
Oui, la plupart du temps ce sont des arbitrages concernant des interconnexions qu'il faut couper ou pas couper avec, comme je l'ai indiqué, des impacts sur d'autres en aval. Vous avez ce type d'arbitrage à rendre mais vous avez aussi des arbitrages où on avait plusieurs solutions anti-DDoS euh Et on a éprouvé des difficultés dans la mise en œuvre des solutions qui nous ont vendues. Et donc, à un moment donné, il a fallu prendre la décision, par exemple, de passer d'une solution à une autre, parce qu'une solution ne fonctionnait pas telle qu'on l'aurait souhaitée. des choix techniques à faire, il faut prendre des décisions très rapidement, alors c'est le côté IT mais en fait on travaille tous ensemble et donc tout ça c'est géré dans la même instance dans cette cellule de crise cyber donc vous avez ce type de décision à prendre il faut aussi informer le COMEX la cellule COMEX La scène de crise de l'homètre s'est réunie aussi. Il faut être très précis. Et puis, là, il faut... Les questionnements, les enjeux posés par la PDG ne sont pas ceux que nous nous posons. Nous restons au niveau opérationnel, technique. À son niveau, bien sûr, ce sont d'autres sujets. Donc, il faut être capable aussi de fournir la bonne information, ne pas noyer les personnes du comètre sur des détails techniques qui ne les intéressent pas. Il faut être capable de répondre à leurs questionnements, à leurs enjeux. Et ça, ça demande une gymnastique permanente. qui rend les choses extrêmement tendues, compliquées et je souligne encore une fois le fait que vous êtes tellement sous adrénaline que finalement vous ne vous tenez pas à la fin au bout de 3 semaines, 1 mois là vous avez vraiment ça pèse sur vos épaules et vous ressentez une grande fatigue que vous mettez plusieurs semaines à effacer concrètement,
- Speaker #1
vous annulez vos vacances vous restez 10 jours sur place à dormir 3h. par nuit pour trouver une solution arbitrée. Le 31 décembre, vous vous octroyez une petite journée en famille pour fêter, pour réveillonner finalement. Et là, qu'est-ce qui se passe ?
- Speaker #0
Je pars à La Rochelle, où j'ai ma famille. J'arrive à peine à La Rochelle. Je suis tellement fatigué qu'en réalité, je ne profite même pas du 31. Et vers 5h30 du matin, mon téléphone se met à vibrer, Ça recommence. Là, je me dis, tiens, ce n'est certainement pas pour me souhaiter une bonne année. Et effectivement, ce n'est pas le cas. C'est pour m'informer qu'il se passe encore plein de choses. Et là, on est reparti sur un nouveau cycle de réaction. Je m'oblige d'ailleurs à rentrer à Paris très rapidement, je fais la route de nuit pour revenir à Paris. Sous la neige. Voilà, je rentre à Paris le 2 janvier à 2h30 pour être prêt pour la prochaine scène de crise des 6h30, 7h du matin.
- Speaker #1
Et là,
- Speaker #0
ça s'est enchaîné encore pendant quelques années. Ça s'est enchaîné. Officiellement, il a fallu qu'on fixe une date de fin. Donc, nous l'avons fixée au 6 parce qu'à partir du 6, vraiment tous les impacts étaient atténués. Nous étions maîtrisés total de l'attaque. Mais nous avons poursuivi nos cellules de...
- Speaker #1
Donc il y a eu en fait une vraie phase de doute, de baisse de morale, d'inquiétude où vous ne voyez pas le bout du tunnel. Et puis finalement, en fait, à la fin, on se rend compte que vous avez quand même malgré tout réussi à tout maîtriser dans un temps long. Donc peut-être que c'est ça qu'on pourrait dire à nos auditeurs. C'est même quand vous êtes au cœur de la crise et que vous ne voyez pas le bout du tunnel, il y a toujours une lumière.
- Speaker #0
Il y a toujours une lumière. Je souligne aussi que... que c'est l'entraînement qui permet, bien sûr, l'organisation, les procédures, tout ce qui peut être anticipé à l'avance, ça c'est primordial. Mais après l'entraînement, d'ailleurs nous sortons de notre exercice de crise annuel, qui dure deux jours, nous l'avons fait mercredi et jeudi dernier. C'est très amusant d'ailleurs de constater qu'après avoir vécu une telle crise, au cours de cet exercice, qui était pourtant un exercice avec plus de 200 joueurs sur deux jours, avec plus de 7 000 de crise. impactées, etc. En fait, je n'ai pas personnellement, en tant que directeur de la crise, je n'ai pas ressenti la même pression. En dépit d'un exercice pourtant extrêmement crédible.
- Speaker #1
On sait que c'est pour de faux.
- Speaker #0
pression que j'ai ressentie durant la crise, en fait, on ne peut pas la reproduire vraiment sur un éthaciste. Alors, bien sûr, l'éthaciste, elle était très bien et parfaite. Elle nous enseignait beaucoup de choses qui vont nous permettre d'améliorer encore un certain nombre de choses. Mais vraiment, la crise, je parlais de Battle of the Conquerors tout à l'heure, la crise, c'est le révélateur. C'est vraiment le révélateur. On peut s'entraîner, il faut s'entraîner, il faut absolument s'entraîner. Mais vraiment, le vrai révélateur, c'est la vraie crise.
- Speaker #1
Est-ce qu'il y a eu des décisions difficiles à prendre, justement ?
- Speaker #0
Alors... Les décisions difficiles, oui, il y en a toujours parce que compte tenu de l'interconnexion de nos systèmes d'information au sein du groupe La Poste avec des business uniques, des métiers très différents, mais avec ces interconnexions, il est parfois nécessaire de prendre la décision de couper une interconnexion. mais il faut très rapidement être en mesure d'analyser les impacts possibles en aval sur le consommateur d'un service qui n'est pas le titulaire du service que vous pensez couper. il faut être en mesure de réagir très rapidement. Ces décisions se prennent de manière collégiale au sein de cette cellule de crise cyber. Et c'est là que les procédures, notre organisation, l'entraînement, la connaissance aussi personnelle et individuelle de tous les acteurs permet de très rapidement prendre ce genre de décision, même si c'est toujours très difficile, et si parfois il faut faire remonter un arbitrage au niveau du COMEX, parce que en tant que directeur d'une cellule de crise cyber, on ne peut pas prendre toutes les décisions. Certaines décisions qui ont vraiment un impact business doivent être arbitrées par le niveau supérieur, le niveau commerce.
- Speaker #1
Est-ce que vous avez eu peur pour le groupe La Poste ? Parce qu'il y avait quand même un gros enjeu. Vous le disiez juste avant Noël, tout le monde voulait recevoir des colis. Puis il y avait aussi la banque postale où il y avait cet enjeu de pouvoir retirer de l'argent pour faire ses achats, de pouvoir déposer de l'argent. Donc, est-ce que vous avez eu peur ?
- Speaker #0
Alors, je vais vous dire, je dirais que l'intensité est... est telle dans ce type de crise qu'en fait, on n'a pas le temps d'avoir peur. On n'a pas le temps d'avoir peur. En revanche, effectivement, le doute peut nous saisir à un moment, surtout lors d'une crise qui a duré aussi longtemps, puisque, comme je vous l'ai dit, du 20 décembre au 6 janvier, et même au-delà en réalité, puisque notre dernière salle de crise s'est tenue le 27 janvier. On a considéré qu'à partir du 6 janvier, nous étions en maîtrise totale de l'attaque. C'est pour ça que la date officielle de fin, c'est le 6 janvier, mais ça fait déjà une période assez longue, du 20 décembre au 6 janvier. Donc en fait, le doute effectivement... à un moment nous a saisi, lorsque nous avons compris que l'attaquant était capable de s'adapter aux mesures que nous étions en train de prendre, aux mesures techniques que nous prenions, donc ça a été inquiétant. Et à un moment donné, effectivement, on s'est dit, est-ce qu'on va être capable de tenir dans la durée, est-ce qu'on va être capable de s'adapter, puisqu'en face on a quelqu'un qui visiblement joue Ausha et à la souris avec nous. Là, c'était un vrai humain, en fait.
- Speaker #1
Ce n'était pas une vieille botte.
- Speaker #0
Oui, oui. Alors, ces bottes, bien sûr, ils sont pilotés par des décisions humaines. Derrière, oui, bien sûr, il y a des humains. Tout à fait. Donc, ce découragement peut, à un moment, effectivement, nous saisir. De toute façon, il faut aller de l'avant. Il faut réagir. Et grâce, encore une fois, à la qualité des postiers au niveau... Au niveau métier, au niveau cyber, grâce à cet entraînement, à cette organisation, grâce aussi aux procédures dégradées qui existent et qui sont documentées, le groupe a été capable de faire face à cette situation et finalement la majorité... des services a été maintenu même si effectivement le suivi des colis a pâti de cette attaque donc en fait les clients pouvaient toujours recevoir leurs colis, déposer leurs colis qui ne fonctionnaient pas c'était le suivi informatique sur votre smartphone du colis, qui est à moindre mal. Donc, l'essentiel des services a été assuré. C'est ça qui est important.
- Speaker #1
Oui, bravo. Finalement, c'est une belle victoire pour le groupe La Poste.
- Speaker #0
Bien sûr, bien sûr. Et j'ajoute d'ailleurs que, contrairement à ce qui a pu être dit dans la presse, il n'y a eu aucune intrusion, aucune perte de données. C'est normalement une attaque des doses. Donc, en fait, une saturation des équipements, mais aucune intrusion, aucune perte de données pour les clients.
- Speaker #1
Et grâce à votre préparation.
- Speaker #0
En effet, on peut le dire comme ça.
- Speaker #1
Est-ce que malgré tout, il y a eu, selon vous, des erreurs stratégiques en amont de l'attaque qui auraient pu peut-être permettre de l'éviter ?
- Speaker #0
Après une telle crise, il faut toujours faire un retour d'expérience, un retest. Nous avons diligenté un retest, nous avons pris une société externe pour ne pas être jugé parti. C'est les résultats de ce retest qui vont nous indiquer s'il y a eu des erreurs qui ont été commises. et auquel cas, nous les prendrons compte. avec les recommandations de ce rétexte, nous ferons en sorte que ces mêmes erreurs, si tant est qu'il y en ait eu, ne se reproduisent pas. Mais je préfère garder confidentiel les résultats de cet été.
- Speaker #1
Bien sûr. À titre personnel, est-ce qu'il y a des choses que vous referiez différemment dans le déroulé de la gestion de cette crise ?
- Speaker #0
Différemment, probablement pas, mais plutôt, oui. Je donne un exemple. À un moment donné, au cours de la crise, il s'est posé la question de prendre des décisions plus rapidement parce que notre organisation, le CG2C, que j'ai... décrit dans notre précédente interview, au plus fort de la crise se réunit deux à trois fois par jour. Mais cette temporalité n'est pas suffisante lorsqu'il s'agit de prendre une décision extrêmement rapide. Donc, au cours de crise, nous avons décidé collégialement, avec l'IT et la cyber, de mettre en place une cellule décisionnelle IT permanente, très resserrée, H24, pour permettre justement de prendre des décisions très rapidement sans attendre la réunion d'un CG2C pléni. Merci. Donc ça a été particulièrement efficace et je pense que nous aurions pu mettre en place cette structure plus tôt. En tout cas, si jamais une tech qui se reproduit, c'est un retour d'expérience que nous capitalisons et que nous saurons mettre en œuvre plus tôt et plus rapidement.
- Speaker #1
Alors on l'a dit, le groupe La Postre s'en grandit de cet épisode avec un bilan quand même très positif, pas de fuite de données, qui est quand même une très belle performance quand on regarde ce qui se passe. et aussi une continuité de service, 180 millions de colis distribués pendant les fêtes de fin d'année, comme ce qui avait été prévu finalement. Qu'est-ce que vous avez appris de cette situation sur le plan professionnel et sur le plan personnel ?
- Speaker #0
Alors sur le plan professionnel, cela m'a conforté dans l'opinion. que l'organisation, l'entraînement, la connaissance des personnes avec qui vous devez travailler, avec lesquelles vous allez gérer une crise, sont clés pour ce type d'événement. Cette organisation n'avait pas subi son matin du feu. Nous l'avions mobilisé à plusieurs reprises, mais pas sur une crise d'une telle ampleur. Et donc, ce que je retiens d'un point de vue professionnel, c'est que cette organisation, finalement elle a été totalement pertinente elle a prouvé sa pertinence et aujourd'hui elle est battle proven. Donc ça c'est très important. Sur le plan personnel, j'ai constaté déjà la grande qualité des gens qui travaillent dans les cellules IT, dans les cellules cyber. On est dans une période difficile avec beaucoup de personnes parties en vacances et malgré tout certaines personnes ont annulé leurs vacances, se sont portées volontaires pour venir nous renforcer au sein de cette crise et ça je retiens donc ce côté humain qui est essentielles aussi pour gérer la crise. également parce que cette crise a duré assez longtemps, il faut tenir compte de ces difficultés qui vont se produire au cours de la crise et être en mesure, je pense, d'assurer dès le début la mise en place de bordées, de manière à assurer une continuité d'activité, une relève. Parce que tenir sur une telle durée et de manière aussi intense, ça laisse des traces psychologiquement, physiquement, pour tous nos collaborateurs et pour moi également. et donc mettre en place ces rotations, ces bordées. aussi à mon avis un élément clé du succès dans ce genre d'attaque.
- Speaker #1
On a appris un peu plus tard que l'attaque avait été revendiquée par le collectif prorusse NoName57. Est-ce que vous pensez que le groupe La Poste a été ciblé spécifiquement ou est-ce que c'était dû au hasard ?
- Speaker #0
En se disant ça, le groupe NoName57, nous avons écarté très rapidement cette revendication. Ce groupe n'a pas les capacités de mener ce type d'attaque et ce ne sont pas ses modes d'action. En revanche, Vous le savez, nous sommes un groupe public avec une très grande visibilité. Et je ne crois pas au hasard. Nous sommes dans une situation politique complexe. Et si je regarde la temporalité avec le président de la République qui, chaque année, fait son discours, qui adresse ses vœux aux Français le 31 décembre, je ne crois pas au hasard, encore une fois. Et je pense que, parce que nous sommes un groupe public... avec une situation politique compliquée. Il s'agissait, en attaquant le groupe La Poste, finalement, d'affaiblir la parole présidentielle, d'affaiblir la France, quelque part. Donc moi, je pense que nous ne saurons certainement jamais qui nous a attaqués exactement, mais encore une fois, je pense que nous avons été ciblés délibérément dans le cadre d'un jeu géopolitique qui nous dépasse, nous, en tant qu'entreprise. Très bien.
- Speaker #1
C'est la fin de cet épisode. Merci beaucoup, Philippe Pacom, de vous être traité au jeu de mes questions. La cyberdéfense n'est plus une spécialité technique, c'est une discipline de confiance. À travers son expérience, Philippe Pacom nous a rappelé que la résilience dépend avant tout de la préparation collective, de la lucidité dans la crise et d'une vision partagée du risque. Alors que les menaces se diversifient et que l'intelligence artificielle s'invite dans la bataille, le groupe La Poste nous a montré qu'il est possible de défendre nos sociétés connectées avec la même rigueur que nos infrastructures physiques et surtout de gagner face à l'adversaire. Merci à tous qui nous écoutez. J'espère que cet épisode vous a plu. Retrouvez les clips vidéo de cet épisode sur mon LinkedIn, Anne-Laure Delarivière. N'hésitez pas à nous suivre sur toutes les plateformes d'écoute et à nous laisser 5 étoiles sur Apple Podcast. A très bientôt dans l'œil de la cyber.