Le Groupe Encevo est présent tout au long de la chaîne de valeur de l’énergie et repose sur trois piliers représentés essentiellement par trois entités distinctes et leurs filiales respectives : la fourniture d’énergie et la génération d’énergies renouvelables à travers Enovos, l’opération de réseaux à travers Creos et les services autour de l’énergie (production décentralisée, efficience énergétique, écomobilité, …) à travers Enovos Services. Encevo est ainsi un acteur clé de l’économie luxembourgeoise. De la bonne gestion de son activité dépend l’approvisionnement en énergie de la plupart des acteurs luxembourgeois. Conscient de sa responsabilité, et pour mieux appréhender de nouvelles menaces en matière de cybersécurité, le groupe a revu sa gouvernance en la matière. « Depuis deux ans, en réalité, il y a une réelle prise de conscience au niveau du groupe d’un besoin accru en sécurité informatique, commente Jean-Marc Verdure, le Chief Information Officer de Creos et du Groupe Encevo. Un vaste travail d’analyse de la situation, visant à qualifier le niveau de maturité de nos structures vis-à-vis des enjeux actuels, a alors pu être mené avec le soutien d’Excellium Services. Ce travail a notamment permis d’établir une gouvernance nous permettant une gestion plus efficiente et cohérente de la sécurité à l’échelle du groupe. » 

Placer la sécurité au-dessus de l’IT

Sur base de cette analyse, le Groupe Encevo a pris conscience de l’exigence d’élever son niveau de sécurité. Rouages essentiels du bon fonctionnement de la société, dans la mesure où de nombreux services en dépendent, les acteurs de l’énergie sont en effet de plus en plus souvent la cible d’acteurs malveillants. « L’IT du groupe, récemment réorganisée, est aujourd’hui logée au sein de Creos. Enovos dispose de sa propre équipe, lui permettant de mener ses propres projets, notamment en matière de développement applicatif, poursuit Jean-Marc Verdure. Cependant, afin de garantir une meilleure cohérence en matière de cybersécurité, une gouvernance unique a été définie et est désormais pilotée au niveau du groupe. Elle intègre les enjeux de sécurité et de respect de la vie privée, ou encore certaines considérations relatives à l’architecture. » 

Pilotage transversal

La démarche visait notamment à donner plus d’autorité à l’équipe chargée de veiller aux enjeux de sécurité informatique. « Aujourd’hui, ces enjeux sont donc pilotés de manière cohérente et transversale, commente Yannick Baudesson, Chief Information Security Officer du Groupe Encevo. À partir de là, nous avons pu déployer un plan d’amélioration de la cybersécurité sur trois ans. Dans un premier temps, il a été question d’une remise à niveau, d’un rattrapage à opérer, à la lumière des résultats de l’analyse réalisée et en tenant compte des recommandations formulées par Excellium. Des points d’amélioration ont été identifiés dans une dizaine de domaines, tant au niveau technique qu’organisationnel. Ce chantier nous a occupés pendant plusieurs mois. » 

Une approche globale tenant compte des contraintes de chacun

Les réponses apportées visaient à améliorer la résilience des systèmes en travaillant tant sur les enjeux de protection, de détection des failles et de réponse aux incidents. Les exigences attendues dans le cadre de GDPR ou encore de la directive NIS ont directement été intégrées dans l’approche globale de gestion de la sécurité. « Au cœur du groupe, chaque entité est responsabilisée vis-à-vis de la gestion de ses risques, en tenant compte des contraintes qui lui sont propres. Creos, en tant que gestionnaire d’une infrastructure nationale critique, doit répondre à un niveau d’exigence plus élevé que les autres entités du groupe, commente Yannick Baudesson. Toutefois, la gouvernance telle que définie, en mettant en œuvre les standards les plus élevés en matière de gestion de la sécurité informatique au regard des risques rencontrés par chacun, comme prescris dans le socle de normes ISO2700x, permet de garantir une grande cohérence dans l’approche. »

Amélioration continue

Au-delà de la mise à niveau des mesures de cybersécurité, l’ensemble du groupe s’est inscrit dans une nouvelle dynamique. « Une meilleure prise de conscience des risques systémiques liés à notre activité a permis d’envisager la cybersécurité suivant une démarche d’amélioration continue, explique le CISO d’Encevo. Si un incident est toujours possible, notre responsabilité est de tout mettre en œuvre pour en limiter l’impact. L’idée n’est plus d’ « acheter » sa couverture, à travers l’acquisition d’un arsenal technique ou technologique toujours plus important, mais bien d’adopter les bons outils et les bonnes pratiques suivant une roadmap et des priorités bien définies. » 

La cybersécurité occupe désormais une place importante dans l’agenda des dirigeants. Dans cette optique, un important travail sensibilisation de tous les acteurs a été mené, pour permettre à chacun de se poser les bonnes questions et mettre en place une organisation garantissant une sécurité en ligne avec l’appétit au risque du groupe. 

“Excellium accompagne aujourd’hui ses clients sur l’entièreté du scope des prestations de cyber-sécurité. Référence en terme de service de surveillance et de réponse aux incidents en 24*7 sur la place, nous nous attachons à définir le niveau de sécurité de nos clients, de définir les enjeux et objectifs de gestion du risque afin d’apporter une réponse adaptée. Avec près de 120 collaborateurs notre groupe est en mesure d’apporter des réponses concrètes et pragmatiques à des clients aux enjeux forts comme le Groupe Encevo.” commente Christophe Bianco.

La cybersécurité, un enjeu business

Alors que le premier plan pluriannuel d’amélioration arrive à son terme en fin d’année, la cybersécurité est aujourd’hui mieux ancrée dans la culture de l’entreprise. « Désormais, la mise en œuvre des procédures est prise en compte au travers des projets, dans une démarche de privacy by design et de security by design », commente Jean-Marc Verdure. Le défi, pour les années à venir, sera de continuer à renforcer les enjeux de sécurité en les alignant avec ceux du business. « Dans ce contexte, il nous faut mieux mesurer ce qui se passe, mieux comprendre les risques pour mettre en œuvre les mesures les plus appropriées. La culture de la sécurité doit percoler à tous les niveaux de l’entreprise, du board jusqu’aux équipes opérationnelles », précise Christophe Bianco, co-fondateur d’Excellium Services. « Nous travaillons aujourd’hui sur toute la chaîne de valeur de la sécurité, de la prise de conscience jusqu’à la réponse aux incidents, en passant par la remédiation, la prévention, la détection.», confirme Yannick Baudesson. 

Éliminer le risque ou vivre avec

En trois ans, les équipes veillant à la sécurité du Groupe Encevo sont parvenues à intégrer la cybersécurité dans les enjeux business. « Au final, il appartient à l’équipe dirigeante de considérer les risques en présence au regard de la continuité de l’activité, de les assumer, de les éliminer, de les mitiger ou de les assurer, commente Yannick Baudesson. Dans l’éventualité où il n’est pas possible d’éliminer un risque, il faut envisager comment vivre avec, en les monitorant de manière permanente, en veillant à limiter au maximum les impacts en cas d’incident et en se préparant à y apporter une réponse rapide et adéquate. Hope for the best, plan for the worst, report for the rest »

[colored_box color=”blue”]Renforcer la sécurité, réduire les contraintes
La grande difficulté réside souvent dans la mise en œuvre d’une politique de cybersécurité équilibrée, qui garantit une protection optimale, sans entraver la réalisation des objectifs business. « Il faut évidemment investir à bon escient, en tenant compte des risques mais aussi des contraintes liées à la bonne marche de l’activité, explique Jean-Marc Verdure. Dans cette optique, il faut parvenir à renforcer la sécurité sans que cela soit contraignant pour les équipes, en faisant tout pour qu’elle soit la moins visible et la plus intégrée possible. Dans ce contexte, il nous faut trouver les solutions technologiques les plus adaptées. Il est plus facile de faire accepter une politique de mots de passe stricte quand elle s’accompagne de Single Sign-on et de reconnaissance biométrique.»[/colored_box]