CIO of the Year: quelle est l’importance de la sécurité pour les nominés?

Pensez-vous encore à votre vote pour le titre de CIO of the Year? Pour vous aider, les trois nominés vous permettent ci-après de jeter un regard dans leur jeu. Aujourd’hui, ils abordent pour vous un thème aussi important que la (cyber-)sécurité.

Le 26 septembre, nous avons annoncé les trois nominés pour le titre de CIO of the Year 2023. La rédaction a choisi trois CIO qui ont misé pleinement sur la transformation numérique de leur organisation ces dernières années: Herbert Carracillo (Chief Information Officer chez Sibelga), Michal Paprocki (Chief Information Officer chez Euroclear Group) et An Swalens (Chief Information Officer à la Banque Nationale de Belgique). Tous trois disposent d’un solide mandat en vue de moderniser, de numériser, d’optimiser et de préparer leur organisation pour l’avenir. Jusqu’au 20 octobre, vous pouvez voter pour votre candidat préféré. Mais peut-être avez-vous besoin d’un peu d’aide? Dans les prochains jours, nous publierons un certain nombre d’articles qui vous donneront une meilleure idée de ce que les candidats représentent et de ce qu’ils font. Aujourd’hui, ils répondent à la question suivante: ‘Quelle est l’importance de la sécurité?’

An Swalens: ‘La sécurité ne fait que gagner en importance’

‘La sécurité est très importante et le deviendra toujours plus. Cela est dû à coup sûr à notre environnement et à nos activités – comme par exemple sur les marchés financiers – et parce qu’il y va tout particulièrement de notre réputation. Nous disposons d’un puissant governance & risk framework (cadre de gouvernance des risques), et toutes nos activités sont soumises à une forte réglementation. Nous suivons une méthodologie stricte en matière de risques tant opérationnels qu’informatifs. En plus de la gouvernance formelle, nous organisons des contacts étroits et des entretiens avec des spécialistes de BNB dans différentes zones à risque (juridique, mise en conformité, data, IT) et avec des partenaires de confiance comme d’autres banques centrales.’

‘Pour la sécurité IT, nous investissons dans l’expertise, les processus et les technologies sophistiquées. Nos services de sécurité IT effectuent les évaluations et les contrôles nécessaires, surveillent l’architecture de protection et la security by design, et gèrent la sécurité dans son  ensemble. Notre paysage IT est subdivisé en plusieurs zones de protection en conformité avec notre stratégie. Dans notre programme anti-risques IT, nous gérons des projets et des initiatives à objectifs clairs, ainsi que les mesurages requis pour une amélioration. Nous exigeons également des normes de protection élevées de la part de nos fournisseurs.’

‘Le facteur humain est essentiel sur le plan de la sécurité, et nous investissons donc en vue de faciliter les choses à ce niveau (pensez à l’authentification sans mot de passe) et de propager la connaissance et la prise de conscience (pensez aux security champions). En font aussi partie, et c’est normal, des exercices et des contrôles réguliers, destinés à garder notre personnel continuellement en alerte.’

Herbert Carracillo: ‘Les campagnes de conscientisation sont essentielles‘

‘La question n’est pas de savoir si, mais quand votre organisation sera piratée. Voilà pourquoi la sécurité occupe une place centrale chez Sibelga. Les réseaux de distribution de l’électricité et du gaz sont en effet considérés comme une infrastructure critique. Chaque perturbation dans le fonctionnement de ces réseaux peut être lourde de conséquences, en ce inclus des risques pour la sécurité publique et des répercussions économiques. Grâce aux services que nous fournissons à nos clients, nous traitons également des informations sensibles et confidentielles, dont des données de clients, des configurations de réseaux et des renseignements sur la consommation énergétique. La protection de ces données contre le vol, la manipulation ou la divulgation est essentielle, aussi pour satisfaire à la réglementation.’

‘Pour garantir un niveau de sécurité élevé et pour éviter les cybermenaces, nous avons investi dans du personnel et des technologies, afin de toujours garder une vision de ce qui se passe dans notre infrastructure, mais aussi pour pouvoir réagir de manière proactive. Cela inclut une approche Managed Detection and Response (MDR) avec surveillance constante des systèmes et réseaux IT, détection poussée des menaces, afin d’éviter ou de minimiser les risques, et analyse des comportements permettant de détecter des écarts au niveau des réseaux ou des systèmes.’

‘Mais pour garantir le plus haut niveau en sécurité IT, il est essentiel d’aborder également l’aspect humain, parce qu’il est souvent l’élément favori pour accéder à nos systèmes. Dans 70 pour cent des problèmes de sécurité, des employés sont directement impliqués. Nous y parvenons en investissant dans des campagnes de conscientisation. Et dans nos campagnes, nous passons de l’hameçonnage par courriels aux clés USB, à Microsoft Teams et à Whatsapp. Ce faisant, nous couvrons tout le spectre des points d’entrée possibles à notre infrastructure et à notre réseau via notre personnel. Là où c’est nécessaire, nous complétons aussi en continu notre équipe de sécurité par du talent supplémentaire, qui nous amène de nouvelles compétences (analytiques). Nous collaborons du reste dans ce but aussi avec Passwerk.’

Michal Paprocki: ‘Nos investissements dans la sécurité protègent aussi l’ensemble de l’écosystème‘

‘Depuis plus de 55 ans, nous sommes une infrastructure fiable du marché financier, ce qui est notre bien le plus précieux. Une partie de la confiance que nous avons accumulée sur ce marché, repose sur la sécurité que nous offrons. Il est donc évident que la cybersécurité constitue une importante composante de notre stratégie professionnelle. La cybersécurité, la business resilience et la gestion des risques d’exploitation sont du reste toutes des éléments essentiels de notre transformation IT.’

‘Les menaces évoluent aussi en permanence avec sans cesse de nombreux nouveaux vecteurs d’attaque. Les entreprises doivent donc s’adapter continuellement et tester proactivement leur défense, ce que nous faisons du reste nous-mêmes aussi. Nous avons entre-temps déjà doublé le nombre de fonctions de sécurité IT et les étendons encore et toujours. Nous continuons également d’investir, parce que selon moi, notre tâche consiste non seulement à protéger notre entreprise, mais aussi l’écosystème plus large que nous supportons. On pourrait dès lors dire que notre travail n’est jamais terminé.’