Il est arrivé chez Livio à la fin du mois de février 2022 en tant que directeur des systèmes d’information (DSI), après une vingtaine d’années passées dans les milieux bancaire et pharmaceutique (Delpharm et Weleda). Laurent Gervilliers prend la suite de l’ancien responsable informatique de chez Livio, bientôt à la retraite, avec pour nouvelle mission : la protection des données du groupe vosgien de BTP basé à Fresse-sur-Moselle. "Il nous manquait certaines compétences et réflexions sur le sujet, confirme la cogérante Anne-Claire Goulon. Il nous fallait un DSI généraliste et multisite. Un pilote capable d’être en alerte". Dès sa prise de poste, Laurent Gervilliers s’est lancé dans une mise à plat de l’ensemble du système de protection informatique. Sa mission, trouver tous les leviers existants pour rehausser le niveau de sécurité du groupe et ainsi éviter le pire : l’acte de malveillance, la cyberattaque ou encore l’incendie qui ferait perdre l’ensemble des données du groupe aux 400 salariés et aux 65 millions d’euros de chiffre d’affaires. "Chez Livio, nous avons des données clients, des plans de structures de génie civil, des heures consolidées d’études. Si cela nous arrivait, ce serait une vraie gestion de crise. Maintenant, tout l’enjeu est de trouver la juste mesure de protection et de mettre en place un système efficace de reprise d’activité sachant qu’un jour, nous nous ferons attaquer."
Tentatives de fraude
Même s’il n’a pas encore connu de cyberattaque en tant que telle, le groupe Livio doit aujourd’hui faire face à des mails piratés et des tentatives de fraude au président. "Nous sommes régulièrement attaqués pour des détournements de trésorerie, confie Anne-Claire Goulon. Et la pression s’est accrue depuis presque trois ans. C’en est devenu infernal. Nous avons prévenu la gendarmerie et nous avons d’excellents collaborateurs qui ont le réflexe de vérifier n’importe quel transfert d’argent ou d’information. Nous posons également des questions systématiques à nos fournisseurs pour savoir ce qu’ils font de nos données et où ils les hébergent. Mais cela reste incroyable tout ce qu’on peut savoir sur nous et notre organigramme. Ils connaissent tout." Une menace d’autant plus pesante qu’elle semble se rapprocher de jour en jour.
Nouveaux réflexes
D’où la nécessité d’ériger des protections efficaces le plus rapidement possible. Après un premier diagnostic, le nouveau DSI a proposé un plan d’action divisé en six chantiers. Le premier concerne la sensibilisation des salariés, qu’ils soient sur site (un tiers d’entre eux) ou en déplacement (les deux tiers restants). "Il faut d’abord sensibiliser nos collaborateurs à la bonne utilisation des clés USB et à la bonne réception des mails pour éviter toute fraude au phishing, détaille Laurent Gervilliers. Autre problématique, celle des mots de passe avec un nombre de caractères minimum et des renouvellements tous les 90 jours." À ce sujet, le responsable informatique se base sur les recommandations de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Un axe de travail qui, selon Anne-Claire Goulon, n’ira pas forcément de soi : "Ce ne sera peut-être pas le chantier le plus difficile au niveau technique, mais ce sera le plus long en termes de réflexes à adopter." De nouvelles pratiques qui seront présentées aux collaborateurs dès la mi-juin et la tenue d’un comité exécutif. "Beaucoup vont faire part de leur mécontentement, prévient Laurent Gervilliers. Mais si nous voulons travailler correctement, nous n'aurons pas le choix. Nous allons les accompagner de manière progressive, filiale après filiale".
Prix à payer
Autres chantiers engagés : le changement d’antivirus, la mise en place de plans de reprise et de continuité d’activité (PRA-PCA), la sécurisation du VPN via une double authentification, la mise en revue de l’ensemble des bornes wifi et le renforcement de la protection des GSM via des conteneurs professionnels et privés. Un plan d’action global de plusieurs dizaines de milliers d’euros finalement accepté dans sa totalité par la direction. "Pour une entreprise du bâtiment comme la nôtre, ce n’est pas neutre, rappelle Anne-Claire Goulon. Mises bout à bout, toutes ces mesures représentent des sommes que nous n’aurions pas imaginé dépenser il y a encore trois ou quatre ans." Au total, ce sont entre 50 000 et 100 000 euros d’investissements qui sont envisagés. "C’est le prix à payer pour notre sécurité", répond Laurent Gervilliers. Et la facture pourrait encore s’alourdir puisque Livio étudie actuellement la possibilité de souscrire à une assurance cyber et de renforcer ses équipements informatiques avec un progiciel de gestion intégré (PGI) ou encore un système d'intégration d'applications d'entreprise (IAE).
