Interview Cédric Thévenet Capgemini

Surfez sur la cybervague avec Capgemini– L’interview de Cédric Thévenet

Participer au déploiement du nouveau plan de cybersécurité de Capgemini pour 2022-2025, ça vous tente ? C’est l’opportunité que vous offre Cédric Thévenet (ESLSCA Business School 07), Vice President-Group Chief Cybersecurity Officer de Capgemini.

«Forte de ses 310 000 collaborateurs à travers le monde, l’activité de Capgemini se concentre autour de l’informatique, de l’outsourcing, des développements applicatifs et de la transition digitale. Notre business est donc très lié à la sécurité informatique» introduit Cédric Thévenet, Vice President-Group Chief Cybersecurity Officer de Capgemini. « L’accroissement de la cybermenace, ces dernières années, est indéniable. La crise sanitaire nous a contraints à faire transiter des centaines de milliers de collaborateurs du bureau jusqu’à chez eux. Ce « work from home » adopté par 98 % de nos salariés a constitué une mise à l’épreuve de nos dispositifs de cybersecurité. »

Interview Cédric Thévenet Capgemini

Des équipes très impliquées

L’équipe cybersécurité de Capgemini (350 personnes dans le monde) assure une permanence des opérations grâce à une répartition géographiquement en mode « follow the sun » : suivre un incident en se relayant par fuseau horaire jusqu’à sa complète remédiation. Cette équipe a pour mission de protéger le groupe des menaces qui pourraient affecter son business, ses opérations et sa réputation. « Nous intervenons auprès des lignes de services business pour vérifier que les actions sont en conformité avec les législations et les exigences de sécurité de nos clients dans chaque pays ». La protection des données fait également partie de ses attributions, afin d’éviter toute fuite d’informations ou atteinte à l’intégrité et à la confidentialité des données de Capgemini ou de ses clients. Enfin, comme dans tout grand groupe, l’équipe de cybersécurité doit mettre en place des mécanismes de confiance réciproque au sein de son écosystème : clients, fournisseurs mais aussi Etat, collectivités et organismes spécialisés…

Un nouveau plan contre la cybermenace

Compte tenu de l’évolution des pratiques digitales (recours croissant au cloud et à des applications « as a service »  fournies par des tiers, télétravail depuis les quatre coins du globe…) le ComEx de Capgemini a récemment validé le changement de paradigme cyber du groupe, qui va passer en trois ans d’un model « château fort » à un model « aéroport » reposant sur les concepts du Zero Trust. « L’idée est de compartimenter l’intérieur de l’entreprise avec une vérification précise des accès et des identités, afin de circonscrire l’impact d’une éventuelle cyberattaque ». La mise en place de ce nouveau paradigme s’entendra de 2022 à 2025 et va nécessiter de lancer les appels d’offres, de bâtir les équipes « build », tout en continuant à gérer le « run » au quotidien.

Une expérience multisectorielle

Cédric Thévenet a d’abord travaillé au sein de la Direction des Renseignements généraux du ministère de l’Intérieur, au début des années 2000, aux prémices de la cybermenace. « Il m’a fallu comprendre l’écosystème du hacking, identifier les risques, rencontrer les différents acteurs, afin d’éclairer les autorités sur les différents domaines du risque cyber ». Cette expérience débouche même sur la co-écriture d’un livre blanc de la cybersécurité. Ensuite, il fait un passage au sein du Cabinet Risk&Co avant d’être recruté par la direction de l’Audit Interne Groupe de Sodexo avec une mission simple : attaquer les filiales un peu partout dans le monde pour tester leur niveau de détection et de protection. « L’audit internet est une bonne école, car elle permet de bien maîtriser les process internes, d’échanger avec les CxOs. On en apprend beaucoup sur l’entreprise ». Il y occupe ensuite pendant 4 ans le poste de Chief Information Security Officer (CISO), responsable d’une Business Unit regroupant 35 pays, quand il décide de changer complétement de secteur pour rejoindre le monde bancaire. A la Société Générale, il participe activement à la transformation digitale de la banque en s’appuyant sur une équipe de près de 350 personnes et d’un budget conséquent. « La sécurité est un élément clé pour les banques car la confiance des clients dans la protection de leurs données est essentielle. Elles sont également étroitement surveillée par les régulateurs. »

Un quotidien très riche

C’est cette expérience multi-sectorielle de la sécurité des systèmes d’information qu’il met depuis deux ans à profit chez Capgemini en tant que Group Chief Cybersecurity Officer. Ses missions au quotidien? Moins opérationnelles qu’à ses débuts, mais plus politiques et stratégiques. S’assurer que ses équipes détectent les incidents, conduisent les investigations et accompagnent les différentes entités du groupe face aux défis cyber, en s’appuyant à la fois sur le CERT (Computer Emergency Response Team) et sur un SOC (Security Operations Center). Le monitoring des assets digitaux et des remédiations est primordial pour détecter et corriger rapidement les menaces, qu’elles viennent de l’extérieur (hackers, groupes sponsorisés par des Etats) ou bien de l’intérieur (erreur humaine, manque de vigilance, comportement inadapté, voire malveillance et fraude interne). Parmi les autres missions de Cédric Thévenet, citons la réalisation de reportings pour tenir régulièrement informés le ComEx et le Comité des Risques de l’état de la cybermenace. Plus « ludique », organiser des actions de « RedTeaming», des équipes attaquant le groupe pour trouver les vulnérabilités et les exploiter. « Cela permet d’entrainer à la fois les équipes d’attaque et celles de défense. Nous faisons également des tests de pénétration avant la mise en production d’une nouvelle application pour vérifier qu’il n’y a pas de vulnérabilité ». Enfin, sensibiliser et former aux bonnes pratiques tous les collaborateurs de ce groupe en forte croissance qui accueille des dizaines de milliers de nouvelles recrues chaque année. « Il est nécessaire de mettre en place un programme d’acculturation afin que la cybersécurité soit ancrée dans les habitudes, avec l’acquisition des bons réflexes et la connaissance des « choses à ne pas faire ». Nous faisons d’ailleurs régulièrement des tests de phishing pour contribuer à cette éducation des collaborateurs. »

Jeunes diplômés bienvenus

Pour mener à bien son nouveau plan cybersécurité 2022-2025, mais aussi pour répondre à la demande de ses clients, Capgemini recrute de nombreux talents. « Les jeunes diplômés ont cette fraîcheur, cette naïveté, cette capacité à faire bouger les lignes et à penser « out of the box », quand nous avons tendance, au fil du temps, à reproduire les mêmes. La mixité intergénérationnelle est en cela très riche ». Et d’ajouter : « la cybersécurité ce n’est pas que du code et de la technique! Les soft skills sont essentiels ». Ingénieurs comme jeunes managers sont donc bienvenus pour répondre aux besoins de la cybersecurity community recouvrant 5 familles de rôles : Managers, Auditeurs et Pentesters, Consultants et chefs de projet, Spécialistes de solutions et Analystes dans les Security Operations Centers ». Et de conclure : « Capgemini est une entreprise à la fois bienveillante, formatrice et exigeante. Il y a vraiment de quoi s’épanouir pour les jeunes! »

Conseil de VP

« La réussite ne passe pas forcément par le management. Pour s’épanouir, l’envie reste le moteur essentiel. N’hésitez pas à faire un test de personnalité pour trouver ce qui vous correspond. Puis continuez à apprendre toute votre carrière »

Mon ESLSCA

« C’est une formation incroyable. On y apprend la négociation, la psychologie, le contact humain, la prise de recul…en somme, une nouvelle façon de voir le monde. »

Contact :

cedric.thevenet@capgemini.com
olga.walaszczyk@capgemini.com


https://www.capgemini.com/fr-fr/carrieres/offres-emploi/