En 2021, el fabricante francés de aceite de motor y lubricantes industriales Motul decidió unirse a una parte externa RSSI senior en su equipo, así como un especialista cibernético Junior también externo. Todo comenzó en 2020, cuando llegó el nuevo CIO, Matthieu Blin. Luego tuvo que abordar la transformación de una organización anticuada, así como una deuda técnica imponente. Además, la compañía se había sometido a lo largo de los años varios ataques de phishing, un ataque DDoS y un fraude al presidente a través de WhatsApp. Para implementar una política cibernética hasta la tarea, con habilidades limitadas en la materia interna, el CIO, por lo tanto, recurrió a un proveedor.

Motul diseña aceites y lubricantes mezclando 3 a 10 ingredientes. Tiene un sitio de producción único y un centro de I + D, esencial para su actividad, en vaires-sur-marne (Sena-et-marne). "Nuestro catálogo incluye entre 3000 y 4000 referencias únicas y algunos de nuestros productos fueron diseñados en los años 70 y 80", dice Matthieu Blin. "Tenemos aceites para un mercado de automóviles antiguos.

Deuda técnica y desafíos cibernéticos

Motul emplea a mil personas en 20 países y distribuye sus productos en 160 países. Funciona en un modo centralizado que no escapa al CIO. "Estamos organizados de tal manera que todos, sea cual sea el país, funcionan para el cuerpo", explica Matthieu Blin. Por lo tanto, el CIO funciona en este mismo modelo, no ubicado. Tenemos un especialista en finanzas en Brasil, que sin embargo funciona para todo el negocio. "El CIO ya está acostumbrado a funcionar con personal externo, ya que representan aproximadamente la mitad de su personal de 50 personas. Para este último, tenemos líderes tecnológicos, como en la cadena de suministro, por ejemplo ", dice Matthieu Blin.

Matthieu Blin, dsi de Motul. (Photo Motul)

Hasta la llegada de Matthieu Blin, el CIO ejerció más el papel del director del programa SAP, como explica su sucesor. "Así que tuve un equipo puramente orientado hacia SAP y la infraestructura", dice. "Es cierto que ERP apoya el 80% de nuestro volumen de negocios, pero también debemos trabajar en CRM, B2B, etc.». Hemos avanzado en la deuda técnica del sistema, pero en el lado cibernético, todavía tenemos que pasar los interruptores, los firewalls, en la misma versión. Todavía trabajamos, por ejemplo, con las reglas de compartir SharePoint ”.

Un RSSI externo a cargo de la hoja de ruta cibernética

Al principio, debido a la falta de habilidades cibernéticas, el CIO se está apegando a la tarea. Luego, Motul hizo un primer intento de subcontratación con axianos, comenzando con la definición de un PSSI (política de seguridad del sistema de información). Pero el fabricante de petróleo no logra estar de acuerdo con su proveedor de servicios en la configuración de un dúo RSSI Senior y RSSI Junior RSSI que quería. Después de un año, la compañía recurrió a I Tracing, un proveedor de servicios se reunió a través de Cesin (Club de Información y Expertos de Seguridad Digital), que le proporciona el binomial correspondiente a sus necesidades. "Para comenzar, solo necesitaba un tiempo de parte, porque no tenemos B2C y pequeños datos confidenciales", explica Matthieu Blin. Y opté por 2 días a la semana de un senior, y 2 días de junior ”. [Endpoint detection and response] ", Especifica a Matthieu Blin.

"Y hemos implementado una solución de protección por correo electrónico". También trabajó en la selección de entornos SAS (Secure Access Service Edge) y DLP (prevención de pérdidas de datos). "Tuvimos Fortinet, pero la renovación de las licencias nos habría vuelto tan querida como el despliegue de un SASE con mi RSSI, optamos por el acceso a Palo Alto es un poco largo, pero no nos arrepentimos de la limpieza. Bonificación Según el CIO, el RSSI externo tiene acceso a los recursos de rastreo I, cuando necesita una respuesta a una pregunta particular.

El RSSI Junior, por su parte, se encarga de las tareas diarias de gestión cibernética, como el monitoreo de registros, por ejemplo. "Además, mantengo una posición de CISO", agrega Matthieu Blin, con la definición y el dominio de la estrategia general. Superviso el DPO, cumplimiento de NIS2 o GDPR, Cyberassurance, etc. ».

Motul también solicitó el rastreo de su cartografía de riesgo cibernético, que había comenzado con los axianos. Si bien este último había llevado a cabo un análisis bastante global, el RSSI externo aplicó una metodología más detallada, sobre la base de la Guía de higiene informática ANSSI. I-Tracing también proporciona al industrial un conjunto de herramientas para acultivar equipos comerciales en ciberseguridad, con campañas de phishing, módulos de capacitación, etc. Más de la mitad de los empleados han sufrido capacitación sobre el tema, con un muy buen nivel de satisfacción.

No hay reclutamiento interno ... por ahora

Si trabaja de forma remota, el RSSI senior participa en numerosas reuniones, incluido el punto trimestral en la hoja de ruta cibernética para evocar la criticidad, el cargo estimado, los presupuestos, etc. Hoy, Matthieu Blin cree que ha manejado los principales sitios cibernéticos y está encantado de haber logrado posicionar su RSSI en el equipo de DSI. "Su perfil tiene mucho que ver con eso. "Para esto, especialmente no queríamos una ayatolá de cibernético, un RSSI con 20 años de carrera en el campo, sino alguien que conoce lo operativo".

Hoy, Matthieu Blin tampoco planea regresar a su organización y reclutar un RSSI interno. Para empezar, teme los altos niveles salariales de estos perfiles que considera injustificados, pero también considera que su CIO aún no está lo suficientemente maduro. "Esta organización puede no ser sostenible eternamente", admite, "pero primero debemos plantear los equipos de habilidades en cibernética. Sin embargo, estamos lanzando una llamada de licitaciones a principios de 2025 para un SoC. En un año, debemos tener suficiente vencimiento y este SOC, para considerar al menos un duplicado entre un perfil interno de RSSI y un external y un externo de 6 a 8 meses de SOC, voy a mirar nuevamente ...". "". "". "." ".". "." ".". "". "