Qu’est-ce ce qui, dans votre parcours, vous a amené vers les métiers de la cybersécurité ?

J’ai commencé ma carrière informatique dans les années 90, en me spécialisant dans la gestion des systèmes informatiques et la bureautique. Au fil du temps, j’ai eu l’opportunité d’accompagner de nombreux clients privés ainsi que des institutions européennes dans la transformation numérique des environnements de travail, en développant une entité dédiée au Digital Workplace et à la communication unifiée au sein du Groupe Capgemini à Luxembourg. À l’époque, il fallait déjà tenir compte de la sécurité des environnements, du poste de travail. À cette période, on parlait essentiellement d’antivirus, de chevaux de Troie, de sécurité périmétrique, de patching, de déni de service. Cela se limitait essentiellement à ces aspects. En 2013, Capgemini m’a demandé de créer et codiriger avec Vincent Laurens (dont la renommée n’est plus à faire) l’entité de Cybersécurité BeLux pour le Groupe. Notre stratégie était principalement axée d’une part sur le développement d’un SOC, afin de répondre aux exigences de nos clients européens en matière de détection, de réponse aux incidents et de Threat Intelligence, et d’autre part sur une cellule de pentesteurs. Cette équipe, plus que de challenger les infrastructures de nos clients, nous assurait que notre SOC reste vivant, proactif et ancré dans la réalité des menaces modernes. Sur base de cette expérience, en 2021, j’ai rejoint Quintet Private Bank pour renforcer les aspects de cybersécurité. J’ai pris la fonction de Group CISO en janvier 2023.

Comment avez-vous vu évoluer la fonction de CISO au fil des dernières années? En quoi devient-elle stratégique pour le business ?

Il y a une dizaine d’années, le CISO était souvent perçu comme un responsable technique, assurant la protection du système d’information et la mise en conformité ISO 27001. Avec la montée en puissance des cyberattaques et la
numérisation massive des activités, à travers l’adoption du cloud et du télétravail, la cybersécurité est devenue un enjeu majeur pour la survie même de l’entreprise.

Le CISO doit s’assurer de préserver la réputation de son organisation, veiller à garantir la continuité des activités, renforcer la confiance des clients et des partenaires, répondre à une croissance rapide et complexe des régulations,
accompagner l’innovation technologique en sécurisant dès le départ les projets.

Par-dessus tout, il lui incombe de créer de la valeur. Aujourd’hui le CISO est un acteur central de la résilience, de la confiance et de la compétitivité de l’entreprise.

« Le CISO , acteur central de la résilience, de la confiance et de la compétitivité de l’entreprise »

Pour un acteur européen de la banque privée comme Quintet, quels sont vos principaux défis en matière de cybersécurité ?

Quintet développe des activités dans plus de 30 villes en Europe et au Royaume-Uni. Notre groupe est constitué d’un ensemble de banques privées avec son siège ici au Luxembourg. Dans une démarche de consolidation
et d’harmonisation, nous opérons aussi une transition vers le cloud, nous dotant par la même occasion d’une architecture digitale au service d’une expérience client d’exception. Dans ce contexte, le défi majeur des équipes
en charge de la cybersécurité est d’assurer un niveau homogène de sécurité et de résilience sur l’ensemble du groupe. Pour cela, il faut appliquer des standards de sécurité communs, maîtriser les nouvelles surfaces d’attaques dès la conception des environnements, se conformer simultanément aux réglementations européennes et britanniques tout en maintenant des niveaux de sécurité cohérents pour éviter la création de « maillons faibles » liés à des disparités géographiques.

Dans cette optique, dès lors, nous alignons les mesures prises pour l’ensemble du groupe sur les exigences les plus élevées auxquelles nous devons nous conformer.

« Les attaquants ne se préoccupent pas de l’AI Act, des contraintes régulatoires. De ce fait, ils ont souvent une longueur d’avance »

Comment avez-vous vu évoluer les menaces ces dernières années ?

Nous sommes passés d’attaques opportunistes à des attaques ciblées et sophistiquées. La cybercriminalité s’est professionnalisée et industrialisée. On peut évoquer le recours à des modèles as a service, l’utilisation de l’intelligence artificielle au service de la mise en œuvre de campagnes de phishing plus abouties, l’automatisation de la recherche de failles ou encore l’usage de fakes.
Il est intéressant de noter que les attaquants ne se préoccupent pas de l’AI Act, des contraintes régulatoires, auxquelles des organisations comme la nôtre doivent se conformer. De ce fait, ils ont souvent un temps d’avance sur nous. Au-delà de la cybercriminalité, nous pouvons aussi être victimes de cybermenaces liées aux conflits géopolitiques. À cet égard, on a vu les campagnes DDOS s’intensifier fortement ces dernières années. Beaucoup, visant la déstabilisation de certains États ou économies, sont revendiquées par des hacktivistes défendant des positions politiques, en lien avec divers conflits.

Comment assurer une sécurité optimale alors que les environnements ont tendance à se complexifier et que la menace s’intensifie ?

Pour assurer une sécurité optimale dans un environnement toujours plus complexe, il faut innover, prioriser et savoir comment réagir. Il est nécessaire d’innover, en intégrant des modèles Zero Trust, en utilisant l’intelligence artificielle pour accélérer la détection des menaces ou en sécurisant dès la conception nos projets cloud.

Il est tout aussi important de prioriser, car tout ce que nous devons protéger n’a pas la même valeur, tout ce que nous faisons n’induit pas le même niveau de risque. Il faut donc concentrer les moyens sur nos systèmes critiques, nos données sensibles et nos services vitaux, et non chercher à vouloir tout sécuriser à l’identique. Enfin, il faut être prêt à réagir. Cela veut dire que nous devons nous doter de plans de réponse aux incidents robustes, faire des exercices de crise réalistes, et former les équipes à réagir rapidement. Enfin, pour revenir à votre question, il faut garder à l’esprit qu’on ne peut jamais garantir une protection totale contre les attaques.

Ces derniers mois, en effet, on a beaucoup parlé de résilience, de la nécessité de renforcer la capacité des organisations à se relever suite à une attaque ou un incident. Comment ces enjeux sont-ils appréhendés à l’échelle de votre organisation ?

Nous avons renforcé de manière significative notre dispositif de résilience digitale en 2024. Cela s’est concrétisé par une refonte complète de notre taxonomie des risques, qui a donné lieu à une extension du périmètre de la 2e ligne de défense, assurée par mon équipe, à un cadre plus large. Nous parlons désormais de Digital Operational & Resilience Risk.

Cette approche couvre non seulement les risques technologiques et cyber, mais intègre également la gestion des fournisseurs tiers, la gestion de la continuité des activités ainsi que la sécurité physique et des environnements de travail. L’objectif est d’avoir une vision globale, transversale et pilotable de notre résilience, à la fois technique, organisationnelle et humaine.

Côté sauvegarde et protection des données critiques, une pratique recommandée pour les organisations réside dans la mise en place d’une solution de restauration, en complément des solutions de backup traditionnelles.

En quoi cela consiste-t-il ?

On recommande aujourd’hui de mettre en place des solutions qui contribuent à protéger l’organisation contre les cyberattaques émergentes, y compris la destruction de données, la manipulation de données et le chiffrement des données via un ransomware. Il s’agit en particulier de mettre en oeuvre des sauvegardes intégralement isolées de l’environnement de production, sans aucun lien avec l’extérieur.

On parle de Cyber Recovery Vault, reposant sur le processus dit des « 3I », pour « Isolation », « Immutabilité » et « Intelligence ». Les éléments sauvegardés sont donc isolés. Le Vault, où ils sont préservés, est déconnecté et ne partage pas de composants externes.

Il ne fait pas non plus l’objet de mise à jour imposée depuis l’extérieur. On parle d’immutabilité pour signifier que l’ensemble des données sont protégées de tout changement humain ou effectué via un processus opérationnel. Enfin, les données critiques répliquées dans le Vault, via Airgap, sont analysées par CyberSense. Cette solution intelligente sert à détecter tout comportement inhabituel qui pourrait indiquer une cyberattaque ou une compromission des données.

Au-delà de la sauvegarde, l’enjeu est aussi de pouvoir restaurer efficacement et sans risque ?

Oui. Ce type de solutions doit aussi être associé à des capacités de restauration, elle aussi indépendante de l’environnement de production compromis, afin notamment de garantir la continuité de service tout en préservant les possibilités de mener des investigations.

Quelles autres pratiques contribuent-elles au renforcement de la résilience ?

Face à l’imprévu, il faut pouvoir se préparer. Chaque mois, nous réalisons des tests de restauration sur une infrastructure indépendante, via des playbooks spécifiques par application, afin de garantir que nos RTO (Recovery Time Objective) et RPO (Recovery Point Objective) définis soient réalistes et tenus en cas d’incident. Ce dispositif est supervisé de façon continue par un SOC indépendant, assurant une détection et une réponse rapide aux menaces.
En résumé, notre stratégie est alignée avec les exigences DORA et repose sur trois piliers : une gouvernance intégrée du risque, une approche robuste autour des sauvegardes et une exécution régulière de tests de crise pour garantir notre capacité à répondre efficacement aux menaces numériques tout en assurant la continuité de service à nos clients.

Quels sont les sujets qui vous ont principalement occupé ces derniers mois?

Nous travaillons à renforcer la protection de nos données. La résilience reste un point d’attention dans la mesure où tout n’est pas encore opérationnel. Mais l’agenda d’un CISO est vaste et on doit aussi veiller à se préparer aux risques liés aux technologies émergentes comme l’IA, les deepfake ou encore les ordinateurs quantiques.

Tout cela représente des investissements importants. Comment ces aspects sont-ils appréhendés ?

Au regard de l’évolution de la menace, je pense que chaque organisation doit être préparée au pire. Oui, cela a un coût. Mais c’est devenu indispensable. Au-delà de la mise en oeuvre d’une solution de restauration, comme celle évoquée, il y a de nombreux autres aspects à considérer. Une préparation efficace à un incident de cybersécurité repose sur une approche anticipative, structurée et transverse.

Il faut anticiper en identifiant clairement les actifs critiques de l’entreprise et leur dépendance avec des tiers. Il est aussi nécessaire d’analyser en permanence les risques, qu’ils soient cyber, technologiques ou liés à un tiers. Nous devons en permanence évaluer les menaces au travers d’un cadre de Threat Intelligence. Cela nous permet d’adapter les mesures de détection et de surveillance au niveau du SOC, qui dispose d’un CSIRT capable d’intervenir
24×7. Enfin, il faut multiplier les playbooks, afin de couvrir les types d’attaques les plus répandues.

Nous devons nous doter d’une approche structurée, avec un plan de réponses aux incidents documentés, testés, avec les rôles et les responsabilités clairement définis, le tout complété avec un plan de gestion de crise.

En quoi est-il important d’avoir une approche transverse ?

Dans une situation de crise, tous les départements doivent être représentés. Les exercices de simulation doivent donc impliquer le business, le légal, la communication, les opérations, le CISO, DPO, l’IT, etc. Enfin, la cybersécurité est l’affaire de tous. Une bonne culture du risque au sein de l’entreprise est essentielle. Chacun peut en effet faire l’objet d’une tentative de manipulation ou d’une tentative de phishing. Il faut pouvoir les détecter, savoir comment réagir et apprendre de nos erreurs.