A la rencontre de Jean-Christophe Mathieu, Head of Industrial Security

Sa première immersion au sein d’une usine a été un déclencheur. Le bruit, le gigantisme, les odeurs…  A l’époque, Jean-Christophe Mathieu est en stage au sein de la manufacture Michelin. S’en suit une maîtrise en génie électrique et informatique industrielle qui le conduira chez Peintamelec Ingénierie. Il est alors automaticien chef de projet, un poste à responsabilités pour un jeune diplômé. Jean-Christophe est en effet en charge de mener des projets d’installations industrielles dans leur globalité, de leur conception à leur mise en service et ce pour des secteurs d’activité très variés. Encadrant les diverses composantes, mécaniques, électriques, automatismes, ses missions sont aussi diversifiées que les régions du monde dans lesquelles elles le conduisent. S’il travaille parfois en équipe réduite, il collabore souvent avec une vingtaine d’autres experts, locaux ou expatriés comme lui. Un démarrage sur les chapeaux de roues qui aurait pu en inquiéter plus d’un, mais il semble que Jean-Christophe aime par-dessus tout l’aventure, quelle qu’elle soit. « J’ai adoré avoir ces responsabilités, bouger partout dans le monde. Longtemps, j’ai eu des difficultés à me projeter dans une carrière en France. J’ai mené des missions dans des pays où la situation était complexe et parfois même dangereuse. Ça aussi, ça m’a plu. Et puis, ce sont des régions du monde où peu de monde souhaite se rendre. Cela m’a permis de travailler sur des projets difficiles mais exceptionnels pour lesquels les candidats n’étaient pas légion », dit-il en souriant.

Une première expérience qui ne fait que confirmer son goût pour le monde industriel. « Rapidement je me suis aperçu que c’était les technologies de l’automatisation qui m’attiraient le plus. Piloter, contrôler des procédés industriels c’était techniquement passionnant. Mettre en mouvement des ensembles mécaniques complexes permettant de fabriquer un produit fini ou concevoir le contrôle commande d’un procédé continu sont autant de domaines qui font la richesse de ce métier d’automaticien que j’ai exercé avec passion », détaille-t-il.

En 2002, il rejoint Siemens, groupe au sein duquel il évoluera pendant 18 ans. Il est alors ingénieur d’assistance technique. Son travail : comprendre le besoin des clients avec les commerciaux et participer à la conception et la mise en place des architectures nécessaires pour mener chaque projet à bien. Là encore, chaque nouvelle mission le mène au cœur d’une usine, mais cette fois-ci en France. Cela durera pendant presqu’une dizaine d’années. « La connaissance du terrain est indispensable pour assurer la pertinence des offres », dit-il.

En 2006, il est promu référent technique national des réseaux industriels. « Dans les grands groupes, les gammes de produits sont vastes. Certains experts doivent alors se spécialiser. Pour moi, ça a été les réseaux. J’ai ainsi fait partie des équipes qui ont fait entrer Ethernet dans les usines, nous participions sans le savoir à la convergence IT/OT », se rappelle-t-il. Quid de la cybersécurité à l’époque ? Jean-Christophe explique : « Nous étions encore aveugles. Le sujet était très rarement abordé, et lorsque c’était le cas, ce n’était jamais prioritaire pour les dirigeants. Les premières attaques ont amorcé l’ère de la sécurisation des systèmes de contrôle-commande ».

Une affirmation lourde de sens pour Jean-Christophe, qui se retrouve en première ligne quand le virus Stuxnet se répand au sein des ordinateurs du monde entier. « C’était le 10 juillet 2010 », dit-il subitement, presque comme un réflexe, avant d’ajouter : « Ce jour a marqué un tournant dans ma vie, d’un point de vue professionnel comme personnel ».

Pour rappel, Stuxnet est un virus informatique conçu pour ralentir le programme d’enrichissement nucléaire iranien, ciblant plus particulièrement les centrifugeuses de la centrale de Natanz. L’idée de cette cyber-arme était d’en perturber imperceptiblement le fonctionnement. Exploitant diverses vulnérabilités dans les produits Microsoft et Siemens, l’attaque modifiait également la programmation des automates SIMATIC présents sur ces installations. « Comme tout le monde, nous avons appris la nouvelle par les médias. Une fois passée la phase de compréhension de l’ampleur de l’évènement, ça a été un véritable choc », explique Jean-Christophe.

Car Stuxnet a infecté bien plus que l’usine de Natanz. C’est vraisemblablement via une clé USB infectée, appartenant à l’un des employés ou un sous-traitant, que le virus aurait passé les barrières de l’usine. Le mode de propagation utilisé pour atteindre la cible a touché de nombreux autres sites à travers le monde mais officiellement sans faire aucun dégât matériel.

« Nous nous sommes retrouvés au sein d’une tourmente géopolitique et médiatique sans précédent. Très exposés, il a fallu gérer la crise mais surtout l’après », explique-t-il. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a en effet lancé des groupes de travail pour la cybersécurité des systèmes industriels qui mèneront à la rédaction de guides de bonnes pratiques. Toujours en collaboration avec les experts de l’ANSSI, Jean-Christophe participe à des travaux de certification et de qualification d’une gamme complète d’automates programmables. Une première mondiale, qui a nécessité près de quatre années de travail.

« J’ai énormément appris au contact des spécialistes de l’ANSSI. Ces années ont été complexes mais elles m’ont donné des responsabilités que je n’aurais même jamais imaginé avoir. Ça a été une chance sans précédent, qui m’est tombée dessus sans prévenir. Cette expérience m’a aussi fait grandir et a renforcé la passion que j’avais pour mon métier, et pour l’industrie », explique-t-il, avant d’ajouter : « L’eau, l’électricité, les transports… nous prenons cela pour acquis, mais ce sont des privilèges que nous devons protéger. Dans un écosystème de plus en plus régi par le digital, la cybersécurité est essentielle ».

S’il concède volontiers être tombé « du jour au lendemain » dans la cyber, il a depuis pris le sujet à bras le corps et fait partie de ceux qui ont écrit les premières pages de la cybersécurité industrielle en France. Une aventure que Jean-Christophe poursuit encore aujourd’hui.

En janvier dernier, L’Usine Nouvelle le nomme parmi les 100 de la cybersécurité, dans la catégorie des fournisseurs stratégiques. Au magazine, il explique qu’il vit sa mission comme « un engagement au quotidien […] au service de la tranquillité et du bien-être de chacun ».

En juin dernier, Jean-Christophe rejoint Orange Cyberdefense en tant que Head of Industrial Security. « Je voulais être au cœur du réacteur de la cybersécurité », explique-t-il. Ses missions : piloter l’équipe qui écrit la feuille de route de l’entreprise en matière de cyberprotection industrielle, et leur apporter son expérience et sa grande connaissance du secteur. « L’IT et l’industrie se parlent, mais ne se comprennent pas toujours. Mon rôle, c’est aussi celui d’interprète. J’accompagne les ingénieurs au sein des usines et je fais en sorte que tout le monde parle le même langage », explique-t-il.

L’un de ses objectifs est aussi de faire monter en compétences les experts déjà spécialisés en sécurité industrielle. Pour cela, il a déjà organisé plusieurs sessions de formation. « L’industrie, c’est très concret. Pour la première session de formation, j’ai choisi d’apprendre aux experts à programmer des automates, développer des interfaces hommes machines basiques mais aussi découvrir les fondamentaux de la sécurité fonctionnelle. C’est à l’IUT de Saint-Etienne, auprès de spécialistes qu’ils ont pu découvrir cela ». Une fois de plus, son amour du terrain le porte. Alors qu’il a pris la tête d’une task force qui réunit toutes les business units de l’entreprise, son premier réflexe a été de leur faire visiter les installations techniques d’un métro automatisé. « Nos clients ne sont plus seulement les RSSI, mais aussi les techniciens et ingénieurs qui vont utiliser nos solutions. Nous devons les rencontrer pour prendre en compte la réalité de leur métier et adapter notre proposition de valeur », explique-t-il.

Au quotidien, simplicité et efficacité semblent être ses maîtres-mots. « J’essaye d’apporter un maximum de fluidité dans les processus et pourquoi pas, si les équipes sont réceptives, des procédures inspirées de l’industrie qui ont fait leur preuve », explique-t-il avant d’ajouter une nouvelle fois : « Cela nous permet de nous rapprocher de méthodes de travail industrielles efficaces, répondant aux contraintes spécifiques des environnements clients ».

Ce qu’il aime le plus dans ses fonctions ? Etre au cœur de l’innovation, découvrir un nouvel univers et tisser des liens avec de nouvelles personnes. Si le travail a une place très importante dans sa vie, Jean-Christophe concède trouver du temps pour une autre passion : les sports de montagne. Un goût du challenge et de l’aventure qui, sans aucun doute, lui permettront de continuer de faire partie des experts qui renforcent la cybersécurité industrielle en France et en Europe.