Sylvain Laheurte (DSI, SSL Healthcare) "Un audit nous a permis de cerner les défauts de notre politique de sécurité IT"
La filiale française du laboratoire pharmaceutique et parapharmaceutique a remis à plat ses flux EDI pour y intégrer la facturation, mais aussi mis en place SAP. Un déploiement qui s'inscrit dans un projet du groupe.
JDN Solutions. En quoi consistent vos principales missions en tant que DSI de SSL Healthcare en France ?
Sylvain Laheurte. SSL Healthcare est une filiale de SSL International. Cette société est un distributeur de produits podologiques et de bien être sexuel, notamment sous les marques Scholl et Durex. En tant que DSI France, j'ai en charge la gestion informatique de la filiale française, en termes d'infrastructure système et réseau, et d'applicatifs.
En matière de logiciels métier, notre système d'information couvre trois domaines principaux : la gestion des forces de vente, la communication clients, et la gestion des relations avec les partenaires. SSL International compte 5000 personnes au niveau mondial, et 120 salariés en France.
Quels sont vos principaux projets 2008 et 2009 ?
Nous avons implémenté SAP en France. Ce projet s'inscrit dans le cadre d'un chantier lancé au niveau du groupe. L'objectif était principalement d'adapter le progiciel aux spécificités françaises. Nous avons notamment interfacé l'ERP avec notre applicatif de gestion de la force de vente. Il a été également intégré avec nos flux EDI, et connecté à notre système décisionnel.
Un autre grand chantier mené récemment a consisté à intégrer de nouveaux types de message à notre plate-forme d'EDI. L'idée était d'introduire l'échange de factures électroniques. Nous nous adossons pour ce faire au standard Edifact D96A.
Dans quelle mesure faites-vous appel à des prestataires ?
Notre équipe est mixte. Nous travaillons beaucoup avec des prestataires pour tous ce qui concerne des expertises un peu poussées. C'est le cas notamment sur la partie applicative pour les outils de force de vente, mais également pour la partie audit de sécurité par exemple.
"Le PRA une solution très structurante pour l'activité quotidienne de la DSI"
Quel était l'objectif de l'audit de sécurité que vous amené avec l'aide de Sogeti ?
A l'origine, nous avions des besoins d'analyse préventive de la sécurité. C'était important pour nous dans la mesure où nos systèmes sont fortement interconnectés, que ce soit en interne ou avec des partenaires.
L'idée était par conséquent de nous appuyer sur une société de services qui pourrait porter avec un regard extérieur sur cette activité. C'est-à-dire un expert qui a les outils et les compétences pour mettre en place un dispositif d'audit, dans l'optique de contrôler nos méthodes et nos infrastructures de sécurité informatique.
Nous avons fait appel à Sogeti pour mener cette mission. L'analyse technique a notamment porté sur les pare feu, mais aussi sur la politique de sécurité des accès, notamment liée à Active Directory.
Sur la partie management, les processus de gestion du changement et de suivi de la sécurité ont été passés au crible. Pour mener à bien cet audit, Sogeti a réalisé des tests de configuration et mené des entretiens au niveau de l'informatique, mais aussi d'autres directions.
Quelles ont été les conclusions de cet audit ?
Des recommandations ont été réalisées par Sogeti, à la fois techniques et managériales. Elles nous ont amenés notamment à nous lancer dans l'élaboration d'un Plan de continuité d'activité.
C'est un élément qui manquait à notre politique de sécurité. Nous avons également rédigé une charte d'utilisation du système d'information qui nous faisait également défaut. Elle a été présentée aux délégués du personnel avant d'être signée par les salariés. Sogeti nous a épaulés pour mettre en œuvre ces deux nouveaux projets.
Quels sont les principaux processus intégrés à votre Plan de continuité d'activité ou PCA ?
C'est une solution très structurante pour l'activité quotidienne de la DSI. A chaque changement informatique, nous étudions les impacts éventuels sur le PCA, et le cas échéant nous le mettons à jour. Nous avons retenu un société de services pour répliquer notre système d'information dans un centre de données. En cas de sinistre, cette solution peut nous permettre une reprise d'activité rapide.
Nous avons élaboré une documentation portant sur la restauration de nos systèmes de telle façon qu'elle puisse être consultée et appliquée à distance par un membre d'une DSI de SSL Healthcare d'un autre pays.
Nous avons testé et validé ce dispositif en impliquant une DSI d'un autre pays.