Projets

Comment les aéroports de la Côte d'Azur ont fait de la cybersécurité un sujet d'entreprise

Les aéroports de la Côte d’Azur ont fait appel à Sarapis pour aligner la sécurité des systèmes d’information avec les enjeux stratégiques et métiers.

Accompagné par le cabinet Sarapis, les aéroports de la Côte d'Azur ont positionné la sécurité des systèmes d'information comme un sujet central, en menant une analyse centrée sur les risques stratégiques et métiers.

PublicitéLe groupe Aéroports de la Côte d'Azur gère trois aéroports, dont celui de Nice Côte d'Azur, troisième aéroport de France après ceux de Paris. En 2016, le groupe a décidé de renforcer l'équipe dédiée à la cybersécurité pour faire face à la croissance exponentielle des risques cyber. Pour l'accompagner dans la mise en oeuvre d'une démarche de sécurisation globale, l'équipe a fait appel au cabinet Sarapis et s'est appuyée sur la méthode d'analyse des risques de celui-ci, basée sur une vision métier.

« Décision a été prise de sortir la mission de sécurité SI des équipes purement techniques afin de prendre en compte l'ensemble des problématiques de l'entreprise », explique Cathy Solal, responsable de l'organisation de la sécurité et de l'urbanisation du système d'information des aéroports Nice Côte d'Azur. Son équipe reporte à la direction générale. « Il s'agissait de montrer où nous allions, de rassurer et de prendre des décisions plus globales et collégiales sur la sécurité des SI », poursuit-elle.

Partir des besoins métiers

La mise en place de cette fonction allait de pair avec le lancement d'un grand projet de sécurisation des systèmes sensibles. Pour celui-ci, l'équipe a lancé une consultation afin de trouver un partenaire sur l'assistance à maîtrise d'ouvrage, ainsi qu'une solution pour analyser les risques. « Nous avions déjà travaillé avec Sarapis auparavant, sur des campagnes de sensibilisation des utilisateurs au phishing. Ceux-ci ont répondu à cette consultation et nous avons retenu leur proposition », relate Cathy Solal. « Leur outil d'analyse de risques, Small1, est conforme aux normes ISO/CEI 27 000 et part d'éléments concrets, fonctionnels et surtout métier. Il permet de mettre rapidement en évidence les risques métier. Par rapport à d'autres solutions du marché, très puissantes, mais qui demandent un investissement trop lourd pour la taille de notre entreprise, cette approche correspondait mieux à nos attentes », confie la responsable.

Fin 2017, le groupe a déployé la solution d'analyse des risques. Sarapis a ensuite accompagné les aéroports de la Côte d'Azur durant plusieurs années, sur différents projets souvent partis de l'analyse de risques, mais aussi sur la sensibilisation des collaborateurs. Le cabinet a également conseillé le groupe sur les axes prioritaires et l'intégration, et effectué des audits sur le système d'information afin de mettre en évidence les points d'amélioration. « La démarche mise en oeuvre permet à toutes les parties prenantes de parler le même langage : direction générale, direction financière, direction des systèmes d'information et directions métier. De cette façon, les décisions sont prises de façon partagée », apprécie Cathy Solal. L'outil fourni par Sarapis propose également un questionnaire pertinent pour nous positionner par rapport aux normes ISO.

PublicitéUne progression sur de nombreux sujets

« Cet accompagnement nous a permis de monter en compétences sur la cybersécurité », souligne Cathy Solal. Aujourd'hui, le groupe a progressé sur de très nombreux axes : gouvernance, pilotage et maîtrise des risques, sensibilisation, améliorations techniques renforçant la sécurité des systèmes existants, mise en place de solutions complémentaires de protection et d'analyse. « Nous avons déployé une cybersécurité à l'échelle de l'entreprise, avec une implication des directions métiers et des utilisateurs, ainsi qu'un comité de sécurité qui valide les choix stratégiques et les priorités », conclut Cathy Solal.