Passer au contenu

Le premier schéma directeur est lancé

Dans un secteur peu sensibilisé au risque informatique, Bouygues Construction a nommé son RSSI en 2001 et démarré un schéma directeur sécurité cet été.

En octobre 2001, Bouygues Construction, qui regroupe les filiales BTP de Bouygues, nomme, pour la première fois, un directeur de la sécurité de son système d’information, Harouna Bagayogo. Dès juillet 2002, le premier schéma directeur de sécurité informatique de l’histoire de la société est validé. Le processus vers une politique globale de sécurité a donc été rapidement enclenché. Mais plutôt tardivement aussi pour un groupe qui, en 2001, comptait quarante mille collaborateurs et réalisait un chiffre d’affaires de 6,3 milliards d’euros, dont plus de la moitié à l’international. “Le BTP est historiquement peu sensible au sujet, explique Harouna Bagayogo. Il y a dix ans seulement, chez Bouygues, le système d’information de la construction était majoritairement orienté vers les outils de gestion. Aujourd’hui, il intègre la gestion des plans, la documentation sur les chantiers, les tableaux de bord de suivi d’activité, etc. Mais les mentalités évoluent lentement, et cette entrée de l’informatique sur les chantiers s’est faite presque sans qu’on le réalise. Aujourd’hui, pourtant, il faut la prendre en compte. Si un serveur accessible depuis les chantiers s’arrête, fini les échanges avec les architectes, les bureaux d’études, etc. Le chantier est en retard, générant d’importantes pénalités, que l’on sait tout à fait calculer !”A son arrivée, le directeur de la sécurité a identifié deux obstacles à la mise en ?”uvre d’une politique globale. En premier lieu, jusque-là, la sécurité n’était pas totalement absente. Mais elle ne faisait l’objet que d’actions ponctuelles, localisées, et rarement coordonnées. Certes, l’entité informatique de la direction audit du groupe menait chaque année des audits. Mais ceux-ci identifiaient essentiellement des “dysfonctionnements d’ordre technique, très peu organisationnel, comme le précise Harouna Bagayogo. De plus, nous n’avions pas de moyens de vérifier l’efficacité de ces audits d’une année sur l’autre “. Les projets ponctuels suivaient la bonne volonté des collaborateurs concernés ou les habitudes du marché ?” installation de pare-feu, choix d’antivirus, etc. Ainsi, en 1999, sensibilisé par quelques attaques et la médiatisation de certains virus, Bouygues Construction a déployé une stratégie antivirus. Un logiciel a été installé au niveau du réseau, et un autre sur les postes. “Mais on ne calculait jamais l’impact réel sur les systèmes d’information”, insiste Harouna Bagayogo.

Un recensement des données à protéger par métiers

La création, en janvier 2001, du GIE informatique Structis a réglé une partie du problème. Les filiales, qui s’appuyaient jusqu’alors sur des pôles de décision informatiques différents, bénéficient désormais d’une politique et de ressources communes et cohérentes. L’autre obstacle à la mise en place d’une politique de sécurité globale résidait dans l’absence totale de classification des données en fonction de leur valeur pour l’entreprise ?” qu’il s’agisse d’en protéger l’intégrité ou de les utiliser comme preuve. Sur quelles informations fallait-il investir lourdement en matière de sécurité ? Sur quelles autres n’était-il pas nécessaire de s’attarder ? Rien ne permettait alors de statuer. Première action concrète, Bouygues Construction procède donc, dès octobre 2001, à un échantillonnage des données. L’entreprise organise des entretiens avec les différents responsables métier. “Au sein de Bouygues Construction cohabitent des filiales du bâtiment, des travaux publics et de l’électricité, précise Harouna Bagayogo. Il nous fallait absolument décliner la sécurité en fonction de ces métiers.” Deuxième étape : la firme demande un audit à IBM Global Services, sur la base de ce début de classification et de recensement des besoins. Menée à bien entre octobre 2001 et février 2002, l’opération vise à identifier les points forts et les points faibles de l’entreprise pour, ensuite, déterminer besoins et enjeux. Il en découle la définition des règles de fonctionnement de l’entreprise en termes de sécurité informatique. Pour ce faire, à partir des résultats de l’audit, Bouygues Construction sollicite alors un autre prestataire, Thalès Secure Solutions en vue d’établir un schéma directeur de la sécurité sur trois ans.Un certain nombre d’actions ont démarré dès la validation du plan en juillet dernier. C’est le cas des procédures de sauvegarde sur les postes nomades, par exemple. “Sur les chantiers, toutes les données essentielles se trouvent sur les portables des collaborateurs, explique Harouna Bagayogo. Pourtant, en cas de vol ou de problème technique, aucun mécanisme de sauvegarde fiable n’avait été prévu jusque-là. A part une copie sur Zip peu fiable.” Bouygues Construction étudie aujourd’hui une solution de sauvegarde via internet. L’entreprise a également identifié un problème de multiplicité de mots de passe, lié au grand nombre d’outils logiciels utilisés. “Certains collaborateurs avaient jusqu’à six ou sept mots de passe, confie Harouna Bagayogo. Dans ce cas, leur demander de les changer tous les deux mois n’a aucun sens. Ils sont obligés de les noter pour les retenir.”

Mots de passe indispensables sur les chantiers “hostiles”

Pour fédérer la gestion des mots de passe, mais aussi l’authentification des utilisateurs, la firme fait d’ores et déjà migrer ses applications en “Single Sign-On “. Une démarche d’autant plus utile sur les chantiers distants ou “hostiles “. C’est ainsi que le BTP qualifie les chantiers partagés entre entreprises souvent concurrentes. En complément et, entre autres, pour authentifier les collaborateurs autorisés sur ce type de chantiers, Bouygues Construction envisage aussi d’installer une infrastructure à clés publiques. Elle a, par ailleurs, segmenté son réseau afin d’en délimiter clairement l’accès. Un premier niveau, noyau dur protégé, se situe entièrement à l’intérieur des pare-feu. Un deuxième niveau donne accès aux collaborateurs du groupe. Et un troisième, enfin, est accessible hors Bouygues ?” sur les chantiers, par exemple.Une deuxième vague d’actions plus lourdes démarrera dès 2003. La classification de l’information constitue l’une des interventions les plus importantes. “Dans ce cas, la démarche sécurité peut être assimilée à une démarche qualité, explique Harouna Bagayogo. Nous pouvons, par exemple, rebondir sur la certification ISO 9000 version 2000, qui implique, entre autres, une classification.” C’est donc à la direction de la qualité qu’incombe ce projet. Tout comme le plan mis en ?”uvre pour répondre à l’obligation de continuité de service ?” reprises sur incidents, back up, etc. Celui-ci intègre notamment des mécanismes de redondance sur des applications critiques, comme la messagerie. Harouna Bagayogo raconte ainsi volontiers combien cet outil est devenu indispensable à tous, et comment un arrêt complet de quasiment une journée en fin 2001 a pu traumatiser l’entreprise.

Une charte des bons usages pour toute l’entreprise

La sensibilisation des utilisateurs constitue un autre grand projet. Celui-ci est budgété pour 2003 et décliné en quatre grands thèmes : le partage des informations sur les chantiers, la gestion des postes de travail en général et leur verrouillage en particulier, et, enfin, une charte du bon usage et de la sécurité de l’informatique. Sur l’ensemble de ces éléments, Harouna Bagayogo collabore avec la direction de la communication.Quant à la charte à proprement parler, elle s’est révélée utile à tous les métiers Bouygues ?” médias, service, etc. ?”, et pas uniquement à celui de la construction. Elle devra s’appliquer à l’ensemble du périmètre Bouygues et s’intégrer au règlement intérieur : elle est ainsi à la charge d’un comité central, qui implique, entre autres, la DRH et la direction juridique. Enfin, le planning 2003 prévoit également le choix de deux outils de tableau de bord. Le premier servira tout simplement à surveiller l’évolution des problèmes techniques. Le second outil décisionnel sera utilisé pour vérifier l’efficacité et les apports du plan sécurité, mais aussi pour identifier les risques qui n’auront pas pu être évités. Et ce pour permettre à l’entreprise d’ajuster le plan. Un tableau de bord décisionnel qui aura également pour vocation non négligeable d’aider à sensibiliser toujours plus la direction générale au rôle de la sécurité informatique.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Emmanuelle Delsol