La sécurité technique est en ordre ? Oui. Mais qui est responsable de quoi ? Quels risques passent sous le radar ? Que se passe-t-il si un fournisseur externe commet une erreur ? Xpo Group voulait une réponse claire et formellement documentée à ces questions. Cingulum les a aidés à y voir clair, et a posé les bases d’une approche qui va au-delà des outils et des systèmes.
1. La situation
Xpo Group est une organisation de taille moyenne, avec environ 140 collaborateurs, active dans le secteur de l’événementiel. Elle organise des foires et des expositions, sur son propre site à Courtrai et à l’international. Son environnement informatique est donc particulier : pendant un événement, tous les systèmes doivent fonctionner parfaitement. Avant et après, la pression est moins forte. Cette charge variable rend l’environnement plus complexe qu’il n’y paraît.
L’équipe IT interne est restreinte. Pour la gestion informatique quotidienne, Xpo Group travaille avec un managed service provider. Pour les nouveaux systèmes, elle s’appuie de plus en plus sur des fournisseurs externes ou des développements sur mesure, dans et en dehors de son propre environnement cloud. Cette dépendance augmente, et l’organisation voulait en prendre conscience et y répondre de façon structurée.
C’est pourquoi Xpo Group applique une habitude bien ancrée : tous les deux à trois ans, elle fait réaliser un audit complet de son environnement, en alternant entre volet technique et volet politique et processus. Trois ans auparavant, elle avait testé sa résilience technique via un pentest. Il était désormais temps de s’intéresser à l’autre côté de la médaille.
Xpo Group a réalisé ce trajet grâce au VLAIO Cybersecurity Verbetertraject, un dispositif de subvention du gouvernement flamand permettant aux PME de financer jusqu’à 50 % de leur trajet cybersécurité. Elle a opté pour le package MEDIUM : une analyse approfondie de l’ensemble de l’environnement de sécurité, suivie de journées de conseil et d’implémentation sur mesure.
2. Les points d’amélioration
Les premières conversations ont révélé que la sécurité technique des systèmes critiques était bien en place. Xpo Group avait elle-même conscience qu’il y avait de la marge pour progresser sur le plan des politiques et des processus. C’est précisément cette prise de conscience qui l’a conduite à faire appel à Cingulum.
Les principaux points d’amélioration se situaient à trois niveaux : la structure interne, la collaboration avec des tiers et la sensibilisation des collaborateurs. Qui est responsable de quoi ? Comment les accords avec les fournisseurs sont-ils formalisés et suivis ? Et comment faire en sorte que la sécurité ne repose pas uniquement sur le département IT ?
Une attention particulière a été portée à la migration cloud en cours. De nouveaux systèmes sont développés par des parties externes, chacune avec sa propre approche. Xpo Group voulait mettre en place une structure claire pour pouvoir suivre et ajuster ce processus à l’avenir.
3. Notre approche
Cingulum a réalisé un Security Maturity Assessment basé sur la norme ISO 27001, complété par une gap-analyse approfondie. Au cours de sept à huit entretiens, toutes les parties prenantes concernées ont été réunies : le CEO, le managed service provider, le responsable IT interne, le facility manager, le gestionnaire ERP et les RH. Le fait que toutes les parties, y compris les externes, aient participé de façon constructive dès le départ, a fait toute la différence. Cette vision d’ensemble a permis d’obtenir un tableau complet et fidèle de la situation.
Tous les entretiens ont eu lieu sur site, chez Xpo Group. L’approche a été adaptée à leur contexte spécifique, avec une attention particulière pour la stratégie cloud et la collaboration avec des parties externes. Ces échanges ont rapidement mis en lumière que plusieurs domaines techniques étaient bien maîtrisés : de la segmentation réseau à la configuration d’Active Directory, en passant par les sauvegardes. Une visite des lieux a confirmé par ailleurs la qualité de la sécurité physique.
Les constats ont été partagés directement, comme base pour des actions ciblées. La direction n’a pas été surprise, mais a apprécié le niveau de détail et de profondeur de l’analyse.
4. Ce qui a été livré
À l’issue de l’assessment, Xpo Group a reçu bien plus qu’un score par section de la norme ISO : un plan d’action complet, avec des étapes concrètes classées par ordre de priorité. Le tout a été adapté à leur contexte spécifique :
- Une politique de sécurité définissant le cadre minimal, incluant le processus de gestion des risques et les principes d’amélioration continue
- Un inventaire des applications avec toutes les colonnes pertinentes : application owner, lieu d’hébergement, responsables internes et externes, avec les informations déjà disponibles pré-remplies
- Un formulaire d’évaluation pour les futurs développements cloud
- Un cadre de gestion des risques liés aux fournisseurs, avec un inventaire et des accords types en matière de sécurité
Chaque constat a été associé à une mesure concrète : ce que l’on traite maintenant, et comment éviter que cela ne se reproduise.
5. Le résultat
Xpo Group dispose désormais d’un registre des risques clair et priorisé, d’une politique de sécurité formalisée et d’un point de départ solide pour gérer ses risques. Les bases sont posées, et c’est précisément ce que ce trajet devait accomplir.
Que ce trajet se soit déroulé de façon aussi fluide est aussi le mérite de Xpo Group. Dès le départ, la direction a clairement indiqué vouloir savoir où elle en était, et a porté cet engagement à travers toute l’organisation. Tout le monde a collaboré de façon ouverte et constructive, ce qui a rendu une approche approfondie possible.
L’organisation a ainsi identifié les prochaines étapes et les priorités sur lesquelles agir en premier. C’était l’objectif du trajet, et cet objectif est atteint.
Au fil des entretiens, plusieurs quick wins ont également émergé, des points relevés sur le moment grâce à la présence des bonnes personnes autour de la table. Ce dialogue élargi entre toutes les parties prenantes a fait la différence.
« Nous accordons une grande importance à la sécurité. Grâce à Cingulum, nous savions où nous en étions et nous avons reçu un plan clair qui nous a permis de poser les bons gestes. » Vincent Windels, IT & Digital Innovation Manager, Xpo Group
Vous souhaitez savoir où se situe votre organisation ? Prenez contact avec Cingulum pour un entretien sans engagement. www.cingulum.eu
