LMi-MAG 11 Dec - Flipbook - Page 11
Le stade de l’Olympique lyonnais accueille des
matchs de football, mais également des concerts
grâce à son infrastructure modulaire.
Sur la cybersécurité, on adresse des besoins en interne
avec notre équipe cyber, on suit les recommandations
de l’Anssi et on applique la norme 27001. Pour gagner en
maturité, des campagnes de sensibilisation auprès des
collaborateurs sont menées pour bien faire comprendre
que la cyber, c’est l’affaire de tous. Nous durcissons aussi nos infrastructures matérielles et logicielles pour se
préparer aux attaques les plus répandues, comme le
phishing, les ransomware ou l’intrusion sur les réseaux
physiques. On s’appuie sur des SOC externes et on mène
des campagnes régulières de scans de vulnérabilités,
dans la chaîne de production logicielle, on réalise aussi
des tests d’intrusion.
Cela comprend-t-il une composante DevSecOps ?
confondus. Cela va concerner l’ensemble des assets, du
courant aux équipements réseaux, à l’éclairage pour
définir des scénarios d’usage en fonction de l’instant
et du moment. L’ensemble de la documentation technique sera consigné dans ce jumeau numérique et cela
va permettre de faire gagner du temps aux équipes
de maintenance et de terrain, et également de réduire
les déplacements pour préparer les événements, la
disposition des salles, le positionnement des intervenants, des hôtesses d’accueil, de la sécurité... L’efficacité opérationnelle sera améliorée et tout le monde
sera gagnant. Pour autant, on ne va pas encore aller
sur le terrain de la réalité augmentée. On est pour le
moment en veille sur ce sujet, mais à date nous n’avons
pas de scénario de production de processus critique
à exploiter.
Quelles mesures prenez-vous en termes
de sécurité des données, tant au niveau cyber
qu’à celui de l’exploitation des données
personnelles de vos clients ?
FD : L’enjeu sur la partie dev n’est pas que technique.
Si on veut s’en tenir aux normes et au GDPR, le concept
de privacy et de security by design doit être relié au
processus de gestion de projet de l’entreprise auquel
on sensibilise les directions métiers dès les PoC et
phases d’expression des besoins. Il s’agit de suivre
une trajectoire et d’adapter le curseur sur des règles
à suivre en termes de sécurité. On a la chance d’avoir
une DSI unifiée et à taille humaine et, autour d’elle,
les métiers prennent en compte les thématiques de
gestion de projet et de sécurité en même temps. Nous
travaillons en bonne intelligence, il n'y a pas de problèmes de gouvernance avec d'un côté les équipes de
production et de l'autre les développeurs. Même si
de temps en temps la patrouille vient faire quelques
rappels à l’ordre. La DSI n’est pas là pour bloquer les
choses, mais pour permettre de les exécuter le plus rapidement possible dans un environnement sécurisé.
APPROFONDIR
FD : Aujourd’hui, nous avons 2 millions de visiteurs
physiques sur le site chaque année et il faut imaginer
un même niveau de volume sur le parcours en ligne.
Depuis 2010-2011, nous prenons le sujet de la protection
des données personnelles à bras le corps et on a travaillé pour cela avec la Cnil. Notre activité nous amène
à traiter des sujets en lien avec les forces de l’ordre et à
suivre des décisions administratives, car la sécurité est
à assurer dans notre enceinte. En termes de RGPD, une
cellule DPO portée par le service juridique et la DSI a
été mise en œuvre, elle travaille sur la cartographie des
traitements, les mécanismes d’anonymisation, de pseudonymisation, d’archivage des data, de la gestion d’optin et opt-out... Ce sont des chantiers au cœur de nos
échanges et sur lesquels on travaille main dans la main.
ÉCOUTER EN LIGNE
Entretien/Podcast
cutt.ly/podcast-david
LIRE EN LIGNE
Entretien
cutt.ly/article-david
11