Lors de la conférence Innovation Supplychain du Monde Informatique du 28 janvier 2020, nous avons réuni Gilles Berthelot, RSSI Groupe de la SNCF et Paul Guillemin, CEO et cofondateur de Fretlink pour parler cybersécurité de la supplychain et optimisation de son organisation. Pour nos deux intervenants, tout est question de confiance.

Fretlink est une jeune pousse née en 2015 qui veut déployer un nouveau standard de collaboration entre les grandes supplychains, en particulier dans la grande distribution, et les petits acteurs régionaux du transport routier de marchandises. Quant à la SNCF, si tout le monde la connait, elle vient de se réorganiser pour se préparer à la concurrence prochaine. La holding chapeaute désormais cinq filiales. Trois d’entre elles s’occupent du réseau et de l’infrastructure, des gares et du transport de voyageurs. Keolis et Geodis, elles, ont en charge le transport de voyageurs en secteur urbain et l’assemblage de chaîne logistique pour le transport à l’international. Ce sont les deux structures qui se développent à l’étranger.

Des plans de transport trop statiques et une chaîne de valeur opaque

Pour détailler son activité, Paul Guillemin, CEO de Fretlink explique que les grands industriels maîtrisent de moins en moins leurs appels d’offre de transport, trop statiques pour s’adapter. De plus, leur chaîne de valeur comprend de nombreuses zones d’opacité sur le prix, l’identité et la fiabilité des prestataires ou encore le suivi de la marchandise. Mais plutôt qu’une carence technologique, le startuper blâme l’absence de maîtrise de l’organisation de la sous-traitance. Pour lui, la technologie est désormais suffisamment bien maîtrisée et doit servir de support à de véritables solutions organisationnelles pour les problèmes de fond.

 


Paul Guillemin, CEO de Fretlink, insiste sur l’importance de la modélisation des flux pour optimiser les plans de transport des grandes entreprises et l’activité des petits transporteurs routiers. Une innovation bien plus organisationnelle que technologique.

Fretlink rapproche les grandes supplychains et les petits acteurs régionaux du transport routier au travers d’une plateforme de pilotage et d’optimisation de leurs flux de transport. Pour ce faire, il récolte les données les plus détaillées possible sur le plan de transport de donneurs d’ordre comme Nestlé, Ferrero, P&G ou le brasseur ABin Bev. « La problématique d’un chargeur avec des milliers de camions et avec 50, 100, voire 150 millions d’euros de marchandises à sécuriser dans son plan de transport, insiste Paul Guillemin, c’est de s’assurer qu’il dispose de la capacité de transport et de la qualité de service adéquates. » C’est l’analyse des données de l’ensemble de ses clients et des transporteurs utilisateurs de sa plateforme qui permettent à Fretlink d’optimiser les plans de transports des chargeurs et de densifier les trajets des transporteurs.

L’indispensable « security-by-design » pour les flux diffus de la supplychain

Gilles Berthelot abonde dans le sens de Paul Guillemin pour affirmer que la technologie n’est qu’un moyen. « Le burin ne fait pas le Rodin, s’amuse-t-il pour illustrer son propos. Derrière la solution technologique, il y a la recherche d’une résolution de problème. » Et dans ce cadre-là, pour le RSSI de la SNCF, on est obligés de prendre en compte la sécurité informatique dès la racine, car par définition, les flux logistiques sont diffus. Cette précaution évite les problèmes d’intégrité, de traçabilité, de confidentialité de certaines données. « Embarquer la « security-by-design » dans le modèle économique est essentiel, poursuit-il. Derrière les données, il y a des décisions d’arbitrages. Et on peut tout à fait prendre une mauvaise décision avec un raisonnement juste, mais des données fausses ! » Pour le RSSI, le « security-by-design » garantit ainsi l’indispensable confiance sans laquelle aucun partage, aucun business ne peut se faire.

Pour Bruno Berthelot, RSSI groupe de la SNCF, le « security-by-design » est essentiel, car on peut prendre une mauvaise décision avec un raisonnement juste, mais des données fausses. (Photo B.Levy)

Paul Guillemin reprend lui aussi à son compte ce mot-clé de confiance. « Bien sûr, nous disposons d’une imposante équipe technique pour assurer la sécurité de nos systèmes. Mais, ce qui est central pour nous, ce sont les données. » Les petits transporteurs routiers s’inquiètent du traçage de leurs informations par la startup et de la possible altération de leur activité par ce biais. De leur côté, les clients industriels de Fretlink rechignent souvent au premier abord, à partager leurs informations. Pour obtenir la confiance de toutes les parties prenantes, Fretlink s’appuie sur deux leviers principaux. Pour commencer, il ne se connecte jamais directement aux systèmes d’information des transporteurs, mais leur fournit une interface pour partager leurs données de façon sécurisée.

Plus les données sont partagées, plus les recommandations sont avisées

Et surtout, il démontre qu’en échange des informations détaillées sur les entrepôts, le nombre et le type camions, les zones géographiques servies, il va donner aux transporteurs un accès à de très grands clients qu’ils n’auraient jamais atteints autrement et un flux régulier et bien rémunéré pour optimiser leurs véhicules. Quant aux industriels et aux acteurs de la grande distribution, Fretlink leur démontre que plus il dispose globalement de données dans le secteur, plus ses recommandations sont avisées. « Si certains clients réticents comme Procter & Gamble nous donnent aujourd’hui accès aux horaires d’enlèvement, aux retards, aux litiges et non plus uniquement au point d’enlèvement et à celui de livraison, c’est que nous sommes revenus les voir avec des tableaux de bord et des modèles qui leur permettent désormais d’être prédictifs plutôt que réactifs. »

Gilles Berthelot poursuit à l’adresse de Paul Guillemin : « Avec la maturité, vous montez dans la chaîne de valeur. La valeur de votre solution est en croissance. En conséquence, les enjeux de cybersécurité sur la protection des données qui sont amassés et ont pris de la valeur deviennent de plus en plus importants. Il faut vraiment une vision cyclique, régulière, de révision de ces enjeux de cybersécurité et de ces risques de façon à suivre cette courbe de maturité de la croissance de votre plateforme. »  Plus on a de données pertinentes, on a de valeur, plus on est sous la menace d’attaquants potentiels.

 

Pour Paul Guillemin, CEO de Fretlink, les grands clients et les transporteurs acceptent le partage sécurisé de leurs données quand on leur démontre la valeur obtenue en échange. (Photo B.Levy)

 

Sécuriser pour mieux partager, et non pour bloquer

Mais Gilles Berthelot rappelle que la sécurisation des systèmes n’est pas un frein, une contrainte, mais bien le meilleur moyen de favoriser le partage de données tel que le pratique Fretlink et ses clients et partenaires. « La plateforme de collecte doit être sécurisée, car elle est le point de concentration des data, poursuit le RSSI groupe de la SNCF. Car finalement sécuriser mieux ne conduit pas à fermer. Bien au contraire, cela permet un partage plus grand. Il ne faut surtout pas voir la sécurité comme un blocage, mais bien comme un gage d’ouverture. »

Pas de murailles, pas de ponts-levis, mais le port permanent de l’armure

Comme le rappelle le RSSI, longtemps, les entreprises ont disposé d’un réseau interne qu’elles considéraient comme un réseau de confiance. Mais cet entre-soi a disparu avec la souscription de services SaaS et avec le cloud. Aujourd’hui, on accède à des services à l’extérieur et ce sont eux qui doivent assurer la sécurité et le cloisonnement. « Là encore, sans confiance, le modèle s’écroule sur lui-même, insiste Gilles Berthelot. Finalement, pratiquer le « zéro trust », c’est un peu estimer que le réseau d’accès à l’entreprise, qu’il soit local ou que ce soit Internet, c’est une sorte d’Internet d’entreprise. Et c’est aux applications de porter la confiance vis-à-vis de leurs utilisateurs. Ça change le paradigme. Désormais, on ne doit plus considérer qu’on est protégé par des murailles et des ponts-levis. En revanche, il faut porter son armure en permanence ! »

Emmanuelle Delsol