Pour pallier un manque de compétences internes en cybersécurité, le fabricant français d’huiles de moteur et de lubrifiants industriels Motul a adopté une approche innovante et externalisée. Sous l’impulsion de son DSI Matthieu Blin, arrivé en 2020, l’entreprise s’est dotée d’un binôme d’experts externes : un RSSI senior à temps partiel et un spécialiste cyber junior. Une organisation qui a permis à Motul de moderniser ses outils, d’établir une cartographie des risques et de sensibiliser ses équipes à la cybersécurité.
L’externalisation au cœur de la stratégie cyber
Face à l’absence de compétences internes en cybersécurité, Matthieu Blin, DSI de Motul a d’abord tenté de gérer cette problématique en interne. Une première tentative d’externalisation avec Axians, visant à définir une politique de sécurité des systèmes d’information (PSSI), n’a pas abouti. Mais en 2021, Motul se tourne vers i-Tracing, prestataire rencontré via le Club des experts de la sécurité de l’information et du numérique (Cesin). Cette collaboration marque un tournant : i-Tracing propose un binôme constitué d’un RSSI senior, Nicolas Pauty, à raison de deux jours par semaine, et d’un RSSI junior, présent également deux jours par semaine.
Cette organisation flexible a permis de structurer une roadmap cyber ambitieuse. « J’avais besoin d’un temps partiel au départ, car nous manipulons peu de données sensibles et n’avons pas de B2C », précise Matthieu Blin. Le RSSI senior a pris en charge la définition des priorités et le choix des outils, notamment le renouvellement de l’EDR (Endpoint Detection and Response), l’adoption de Prisma Access (solution SASE de Palo Alto Networks) et le déploiement d’un outil de protection des emails. « La mise en place de Prisma Access a été un peu longue, mais nous sommes pleinement satisfaits du résultat », se félicite le DSI.
Le RSSI junior, quant à lui, gère des tâches quotidiennes comme le suivi des logs et d’autres actions opérationnelles. Grâce à cette équipe externalisée, Motul a également finalisé sa cartographie des risques cyber en s’appuyant sur la méthodologie du guide d’hygiène informatique de l’ANSSI.
Sensibilisation et montée en compétences des équipes
Avec i-Tracing, Motul met en place des campagnes de phishing et des formations pour acculturer ses collaborateurs à la cybersécurité. Plus de la moitié des employés sont formés, ce qui renforce la culture cyber au sein de l’entreprise.
Pour l’instant, Motul ne recrute pas de RSSI interne, privilégiant l’externalisation pour gérer ses priorités. Un SOC sera déployé en 2025, ouvrant la voie à une potentielle organisation hybride (interne et externe). Cette stratégie agile permet à Motul d’avancer efficacement sur ses objectifs cyber.
Une opportunité pour les étudiants de l’ESGI : l’alignement entre cybersécurité et transformation numérique
L’exemple de Motul montre comment une entreprise, confrontée à une dette technique et à des défis de cybersécurité, peut adopter des solutions innovantes et externalisées pour protéger son SI tout en modernisant ses infrastructures. Cette approche agile, combinant expertise externe et montée en compétences interne, peut inspirer les étudiants de l’ESGI, futurs experts en cybersécurité et gestion des systèmes d’information.
