Au fil de votre parcours, qu’est-ce qui vous a amené à la cybersécurité ?

J’ai débuté ma carrière en 1994 dans une société de services informatiques au Luxembourg. L’expérience acquise dans ce contexte m’a permis de rejoindre des sociétés de renom, actives dans le domaine de l’audit, du conseil et de la domiciliation en tant que responsable informatique. Alors que j’évoluais chez Alter Domus, on m’a offert l’opportunité d’endosser la responsabilité de CISO. Nous étions en 2014 et il fallait créer la fonction.
Celle-ci exigeait en l’occurrence de mobiliser des compétences techniques, mais aussi une expertise stratégique et managériale liée à la sécurité des systèmes d’information.

A l’époque, on ne parlait sans doute pas de sécurité comme aujourd’hui. Quels étaient les principaux défis auxquels vous étiez confronté ?

Ils étaient nombreux, tant sur le plan technique qu’au niveau de la gestion. Alter Domus s’inscrivait dans un développement international. La gestion de la sécurité à grande échelle nécessite la mise en place de politiques  robustes au départ d’un cadre fort. Conscient de cela, j’ai choisi d’élargir mes connaissances et de renforcer mon expertise, en retournant à l’école.
J’ai entrepris un Master en Sécurité des Systèmes d’Information à l’Université du Luxembourg. La formation m’a permis d’acquérir les compétences nécessaires pour exceller dans mon rôle de CISO. J’avais les bases et la passion qui, combinées à la formation continuée, m’ont permis de relever de nombreux défis.

Comment qualifieriez-vous le niveau de menaces de l’époque ?

La sécurité devenait un sujet sérieux, notamment pour des sociétés de cette envergure. Nous étions confrontés à des virus et à des ransomwares qui menaçaient la continuité des activités. La réponse à l’évolution des menaces a impliqué de mettre en place des procédures, mais aussi de renforcer l’équipe en charge de la sécurité. Au départ, j’étais seul. Puis, progressivement, des collègues m’ont rejoint. Il était aussi nécessaire d’intégrer des solutions, s’appuyant sur l’intelligence artificielle notamment, pour renforcer nos capacités d’analyse de l’activité au coeur des systèmes informatiques, détecter les anomalies et y répondre.

Comment avez-vous vu évoluer les enjeux liés à la cybersécurité et l’importance de la fonction de CISO au fil du temps ?

Ils ont fortement évolué. Les menaces étaient autrefois essentiellement techniques et limitées. Aujourd’hui, elles sont extrêmement sophistiquées et ciblent toutes les organisations.

Leur objectif peut être de compromettre l’infrastructure, d’exfiltrer des données ou encore de détourner des fonds. Au regard de ces évolutions, la fonction de CISO est devenue de plus en plus stratégique. Le responsable de la sécurité n’est plus uniquement un technicien. Il doit aussi être en mesure de définir une stratégie, alliant expertise technique et vision d’ensemble. Il doit pouvoir travailler avec l’ensemble des parties prenantes, du conseil d’administration aux équipes opérationnelles.
La technologie évolue aussi très vite. L’intelligence artificielle, par exemple, ouvre de nouvelles perspectives pour tous les métiers. En parallèle, elle introduit de nouveaux défis en matière de sécurité et de préservation de la confidentialité des informations.

Comment, de CISO, en êtes-vous venu à développer une société de services dédiée à la cybersécurité ?

En 2021, une opportunité inattendue s’est présentée. Jean-Guy Roche, CEO de Rcarré, qui a aussi été mon tout premier collègue, m’a approché avec une proposition ambitieuse : lancer une entreprise spécialisée dans la cybersécurité pour les petits et moyens comptes.

Qu’est-ce qui vous a tenté dans cette aventure ?

D’une part, j’avais la possibilité de mettre mon expertise en cybersécurité au service du groupe, qui rassemble plusieurs structures dont Rcarré et Rcube, qui opère des services de gestion d’infrastructures et de cloud et qui agit en tant que PSF de support. En tant que CISO du groupe, j’allais pouvoir l’aider à renforcer les pratiques de sécurité. D’autre part, l’idée de construire une entreprise en partant de zéro m’a motivé. C’est l’aventure entrepreneuriale, très différente du rôle de CISO dans un grand groupe, qui m’a séduit.

Quand on parle de PME et de PMI, quels sont les principaux enjeux en matière de cybersécurité ?

Pour une PME, les risques et les menaces sont similaires à ceux d’un grand groupe. Mais ces structures ne disposent généralement pas des ressources, tant financières qu’humaines, pour y répondre efficacement. Cela les rend donc particulièrement vulnérables. Or, ce n’est pas parce qu’elles sont plus petites qu’elles sont moins ciblées par des attaques que les sociétés d’envergure plus importante. Au contraire, les attaquants, disposant de moyens importants, cherchent à exploiter chaque faille pour arriver à leurs fins. Or, pour une PME, il est très difficile de se relever d’une attaque, d’un ransomware ou d’une perte de données.

Les PME sont-elles exposées à des risques particuliers ?

Non, ce sont les mêmes que pour les grands groupes – les ransomwares, le phishing, le vol de données. Cependant, les risques sont souvent moins bien identifiés en amont de l’attaque, les équipes moins sensibilisées face aux tentatives d’hameçonnage, de fraude au président, d’usurpation d’identité. Il faut aussi évoquer les attaques sur la chaîne d’approvisionnement. En tant que sous-traitants ou partenaires d’entreprises plus grandes, les PME peuvent être ciblées en tant que point d’entrée pour infiltrer des organisations plus importantes. Les cyberattaquants cherchent à exploiter les maillons les plus faibles de la chaîne de sécurité. En cela, les PME sont des cibles privilégiées.

Quels sont les principaux leviers de renforcement de la sécurité de l’information des PME ?

Il faut travailler sur plusieurs leviers essentiels : l’Humain, l’Organisation et les Processus. Dans cette optique, nous avons mis en place une approche baptisée HOP, qui permet d’aborder les bonnes pratiques de sécurité, de manière pragmatique.
Parlons d’abord de l’humain. Beaucoup de PME sous-estiment encore les risques numériques, pensant qu’elles ne sont pas des cibles prioritaires. Il est donc important de sensibiliser l’ensemble des équipes, de former les dirigeants, d’effectuer des exercices pour permettre à chacun de prendre conscience des menaces, de leurs impacts sur l’activité, mais aussi de pouvoir mieux y répondre.

Au niveau organisationnel, il faut pouvoir analyser ce qui est mis en place pour garantir la sécurité et envisager les possibilités d’améliorer la posture de l’entreprise. Cela va de la définition des règles pour garantir l’accès aux informations ou encore au bâtiment, pour sécuriser les connexions, jusqu’à l’architecture des systèmes et à leur configuration. Au niveau des processus, il s’agit d’établir un ensemble de règles, de contrôles, de cadrer efficacement les démarches en lien avec la protection de l’environnement de l’entreprise. Il est important d’établir les exigences, les rôles et responsabilités qui contribuent à renforcer la sécurité. Je dis souvent qu’il faut établir un cadre, un code à respecter. Si rien n’est défini, tout est permis et l’on s’expose à des risques.

Cela ne fait-il pas beaucoup pour une PME ? Ont-elles les moyens de se défendre ?

Les PME ont effectivement des budgets restreints. Elles n’ont pas la possibilité d’investir dans des solutions de sécurité avancées ou de libérer du personnel afin de leur permettre de se former sur ces sujets. La complexité des outils de cybersécurité les rend souvent difficiles à comprendre et à déployer dans le cadre d’entreprises qui ne disposent pas forcément de l’expertise technique. Notre volonté, dès la création de Rsecure, a été de démocratiser l’accès à une cybersécurité fiable pour tous ces acteurs. C’est d’autant plus crucial qu’elles sont de plus en plus nombreuses à devoir mettre en oeuvre des politiques de sécurité conformes aux nouvelles exigences réglementaires, comme DORA ou NIS2. C’est un défi supplémentaire pour beaucoup d’acteurs, qui doivent par exemple nommer un CISO.

Comment les aidez-vous à répondre à tous ces défis ?

Il faut accompagner les acteurs, les sensibiliser aux risques et aux menaces, pour leur permettre d’y répondre efficacement. Malgré des ressources limitées, il est tout à fait possible d’adopter des mesures efficaces en suivant une approche structurée et adaptée.
Cela passe, comme je le disais, par la sensibilisation et la formation des employés, afin de leur permettre d’acquérir les bons réflexes : éviter de cliquer sur des liens suspects, renforcer ses mots de passe, éviter de les rendre accessibles…

Avec la mise à jour des logiciels et la correction des vulnérabilités, on peut efficacement soutenir la sécurité de l’entreprise. Les accès sensibles peuvent être protégés par la mise en place d’une authentification à deux facteurs. Enfin, il faut aussi s’assurer que des sauvegardes sont régulièrement menées et conservées dans un espace distant et, si possible, déconnecté de la production.
Nous aidons les PME à répondre à ces défis à travers un ensemble de services externes, notamment notre solution de CISO as a Service.

En quoi consiste cette solution ?

Grâce à cette offre de CISO as a Service, une PME accède à une expertise en cybersécurité sans devoir la recruter. Le service est modulable, adapté aux besoins de l’entreprise, des exigences auxquelles elle doit répondre. Il peut inclure des audits, des conseils stratégiques, de la formation, la réalisation de tests ou une assistance technique.
Au-delà de l’accompagnement proposé au travers de ce mandat de CISO, on peut répondre aux besoins des PME en nous tournant vers des fournisseurs qui offrent des solutions clé en main, faciles à déployer. On trouve par exemple des outils de sauvegarde automatique, des pare-feu gérés ou encore des plateformes de détection et de réponse aux menaces très performantes et toujours accessibles.
Le marché évolue vers des solutions plus accessibles, personnalisées et plus adaptées aux contraintes des PME et nous entendons pleinement y contribuer.

Comment répondre aux besoins de certaines PME appelées à mettre en place des solutions de sécurité avancée, parce qu’elles gèrent des données sensibles ou que leurs clients l’exigent ? Ces acteurs peuvent-ils accéder à des solutions de type SOC ?

Des outils permettent de détecter rapidement les menaces, d’alerter en cas de danger ou de renforcer les défenses sans nécessiter des expertises techniques approfondies en interne. Pour les acteurs qui souhaitent des solutions encore plus avancées, nous avons mis en place un SOC, qui garantit une surveillance de l’activité des systèmes de l’entreprise en 24/7, à des coûts abordables pour les plus petites structures. Ce service répond aux besoins des acteurs dont les environnements se complexifient, notamment en raison d’une adoption croissante de solutions cloud.

Ces services sont réputés onéreux. Comment êtes-vous parvenu à les démocratiser ?

Le plus souvent, les services SOC s’appuient sur le volume de logs analysés. Notre modèle de tarification, lui, est fonction du nombre d’utilisateurs ou de terminaux entrant dans le périmètre surveillé.
Pour accompagner les PME, nous avons aussi décidé de ne pas refacturer nos investissements en R&D pour monter ce service. LE SOC permet d’intégrer des applications spécifiques (métier) suivant analyse avec le client et le fournisseur. Ce SOC permet en outre d’intégrer une grande diversité d’environnement – Apple, Microsoft ou Linux – et plus de 200 intégrations/technologies différentes.