Externaliser la cybersécurité : le choix de Pomona et du groupement Les Mousquetaires

Alain Clapaud,
Linkedin
nokia-amazon-web-services

Ils sont désormais nombreux les RSSI qui externalisent des pans entiers de la cybersécurité, à commencer par l’emblématique SOC. Témoignages de Hervé Dubillot, CISO du groupe Pomona et Fabrice Bru, Directeur cybersécurité du groupement Les Mousquetaires (STIME).

>> Hervé Dubillot, CISO du groupe Pomona

« Tout peut s’externaliser, sauf le pilotage . »

Hervé Dubillot – CISO du groupe Pomona

« Il faut choisir ses combats : en matière d’externalisation, ce qui importe, c’est le pilotage de la cybersécurité. Pour piloter la cybersécurité, il faut être impartial dans ses jugements, ce qui implique de garder une expertise technique. Cela exclut l’exploitation qui est très chronophage et n’apporte pas de plus-value en termes de pilotage. Il faut accorder une attention aux indicateurs qui doivent être irrépudiables lorsqu’on challenge un fournisseur.
En-dehors de ces points, tout peut être externalisé. Aujourd’hui il y a un réel souci en matière d’expertise, de main-d’œuvre. Si on veut absolument avoir du personnel en interne, cela devient très difficile. L’idée n’est pas d’entrer en résistance avec cette tendance de fond, mais d’influer sur la stratégie. Il y a quelques années, on a beaucoup bataillé avec le CTO sur l’infrastructure. Aujourd’hui, ces relations sont apaisées, il faut avoir ce type de rapport avec les acteurs externes, notamment ces prestataires de sécurité pour nous aligner et ne plus être en positions antagonistes. »

>> Fabrice Bru, Directeur cybersécurité de STIME (groupement Les Mousquetaires)

« Nous nous sommes fixés un objectif de 7 collaborateurs internes pour 3 externes. »

Fabrice Bru – Directeur cybersécurité de STIME

« L’externalisation doit être choisie et non pas imposée. Lorsqu’on construit une équipe, trouver des ressources et internaliser une compétence peut demander beaucoup de temps. On commence donc par l’externe. Puis le choix est simple : si on souhaite pérenniser une compétence, on l’internalise. Dans le cas contraire, on continue à l’externaliser.
C’est toute la STIME qui est confrontée à la problématique du Make or Buy. Nous nous sommes fixés un objectif avec le comité de direction pour être à 70% interne et 30% d’externe, soit 7 collaborateurs internes pour 3 externes. C’est notre stratégie, car habituellement, le groupement aime faire par lui-même et c’est notre ADN. Il s’agit d’une externalisation choisie car j’ai besoin d’une compétence que je n’ai pas ou il s’agit d’un métier que je ne souhaite pas internaliser comme c’est le cas de notre SOC qui est totalement externalisé. »