Aujourd’hui, je vous propose une interview de Ludovic Lecomte, ancien collègue consultant et ami. Il est RSSI et DPO (Data Protection Officer) d’Inova Software depuis presque 1 an et demi.
J’espère que cet entretien vous éclairera un peu plus sur le passage de consultant à RSSI et sur ce métier de Responsable Sécurité des Systèmes d’Information d’une entreprise à taille humaine, innovante et évoluant dans l’univers du Cloud / SaaS.
Bonne lecture !
Ludovic, pourrais-tu nous présenter ton parcours ?
Je suis Ludovic LECOMTE et j’ai intégré Inova Software en qualité de Chief Information Security Officer (CISO) et Data Protection Officer (DPO) en début d’année 2018. Inova est un éditeur de solutions Cloud. Nous sommes une équipe d’environ 60 personnes réparties entre Lyon, New York et Tokyo. Nos applications en mode SaaS (Software as a Service) offrent à nos clients la possibilité de gérer leurs partenariats et alliances avec les autres entreprises pharmaceutiques et biotechnologies. Nous partageons l’ambition de favoriser et d’accélérer ces partenariats biopharmaceutiques et ainsi participer à notre niveau aux avancées de la médecine (inova-software.com).
Mon parcours dans le milieu de la cybersécurité est assez classique. Diplômé en 2010 d’un Master 2 en Management et Sécurité des SI de santé à l’ISSBA (Polytech Angers), j’ai fait mes premières armes dans le conseil et l’audit en sécurité des Systèmes d’Information. Mes compétences principales étaient plutôt orientées Qualité et gestion des risques. Après 8 années dans le consulting, des dizaines de missions très variées (banque, santé, industrie, luxe) et des sujets plus ou moins techniques, j’ai acquis pas mal de compétences sur la sécurité informatique et fait de la gestion de risques informationnels mon sujet de prédilection (#ebioslover)
Comment devient-on RSSI / CISO ?
Ce qui est sûr c’est qu’on ne naît pas CISO. C’est plutôt pour ma part un concours de circonstances !
Après plusieurs années sur Paris, j’étais lassé du fameux adage “Métro / Boulot / Dodo” (3h de transport en commun par jour). Le rythme imposé par mes missions et les perspectives professionnelles qui m’étaient proposées par mon entreprise n’étaient plus alignés avec mes attentes personnelles. Fort d’une expérience significative et de motivation à répondre à de nouveaux challenges, je me suis dit que j’étais prêt à devenir “CISO”.On a tous nos bonnes raisons d’occuper ce type de poste. Dans mon cas, cela fait écho à ma curiosité naturelle. J’avoue être un peu “Geek”. J’adore l’innovation et le fait de découvrir sans cesse de nouvelles technologies, de nouvelles méthodes, etc. On me reconnaît souvent le défaut d’être “bavard”, mais je pense que c’est un vrai atout dans mon quotidien. La communication est une part prédominante de mes activités que ce soit avec les équipes opérationnelles comme avec l’équipe stratégique. Enfin, j’assouvis une partie de mon besoin d’entreprendre à travers ma fonction. Le métier de CISO est très transverse (d’autant plus lorsque vous êtes directement rattaché au directeur général) et j’ai la chance de pouvoir gérer ma mission avec beaucoup d’autonomie que ce soit concernant nos objectifs sécurité, le choix des méthodes et de nos partenaires ou encore les arbitrages financiers. Pour cela, je remercie l’ensemble de l’équipe dirigeante d’Inova Software pour la confiance et le soutien qui m’est alloué dans la réalisation de ma mission.
Tu es passé de l’autre côté du miroir (ou du côté lumineux de la Force) en passant de consultant à RSSI. Quels ont été les plus grands changements pour toi ? Les plus grandes difficultés ?
Le plus grand changement pour moi, si on met de côté la découverte d’une ville où il fait très bon vivre (Lyon), est d’avoir à me projeter sur des expériences et des échéances plus longues. En effet, fini le conseil et les missions courtes à objectifs de résultats. Il est maintenant nécessaire de soutenir une “Roadmap” sécurité et des objectifs sur plusieurs années. Il faut arriver à donner du sens à chacune des actions en les rattachant à des risques terrain, en respectant un budget limité d’une PME et les orientations stratégiques de l’entreprise. Ainsi, le “R” de RSSI prend alors tout son sens (Responsable). Challenge relevé !
Le poste de CISO dans une petite entreprise n’est pas aisé. Les ressources et budgets sont très limités et il faut sans cesse réaliser des optimisations sur les coûts de la maîtrise des risques. Il m’arrive aussi parfois de ressentir de la solitude sur certains projets, le défaut d’être CISO dans une PME…
Plus une crainte qu’une difficulté, j’étais assez angoissé à l’idée d’exercer une fonction sédentaire. Passer du consulting où j’étais sans cesse en mouvement pour rencontrer nos clients et exécuter mes missions, à un poste de CISO à 100% du temps au bureau a été un changement important dans mon quotidien. Et le souci, c’est que j’aime bien bouger !
J’ai donc assez naturellement entrepris d’avoir une activité complémentaire pour sortir de ma bulle de temps en temps et partager mon savoir-faire avec des étudiants futurs ingénieurs de Polytech Angers pour préparer les RSSI et DPO de demain.
Tu es un membre actif du CESIN. Peux-tu nous expliquer en quoi c’est important pour toi de partager avec tes pairs, en tant que « jeune » RSSI ?
J’ai toujours aimé les liens sociaux et m’enrichir des retours des autres professionnels de la cybersécurité. Je pense que c’est lié à mes lacunes techniques qui m’ont indirectement forcé à accentuer la recherche d’informations dans le but d’acquérir le plus rapidement possible les connaissances dont j’ai besoin pour progresser.
J’ai participé à d’autres clubs d’experts (Clusif, club EBIOS, club 27001…), mais une communauté exclusive de RSSI comme le CESIN (plus de 400 adhérents) est un atout : cela me permet de compléter ma veille technologique et réglementaire, de partager des problématiques communes avec mes pairs, d’avoir des avis/recommandations sur les solutions de sécurité ou des prestataires de services.
Je recommande le programme de Mentorat du CESIN à tous les CISO/RSSI et ce peu importe leurs expériences. La confrontation des pratiques dans différents domaines d’activités, des entreprises de taille variable, avec des enjeux et objectifs parfois très différents, est extrêmement riche. Nous organisons des rencontres mensuelles avec mon Mentor (salutation P. BELIN !) pour partager nos pratiques, outils et solutions sur une thématique (gestion des incidents, politique du SMSI, gestion des risques, sensibilisation du personnel, durcissement des postes de travail…).. Nous sommes même allés jusqu’à organiser des audits croisés de nos entreprises respectives. À travers cet échange de “bon procédé”, nous avons trouvé intéressant de pouvoir mettre à profit nos compétences pour aider l’autre à réaliser l’audit interne du Système de Management de la Sécurité de l’Information (SMSI).
Tu partages aussi beaucoup via les réseaux sociaux, sur Twitter et LinkedIn, de la veille, mais également des retours d’expériences. Pourquoi c’est important pour toi ?
Cela serait difficile de nier que je suis “hyperconnecté” 😊 (Ting! Ma watch qui me rappelle de m’hydrater). J’aime les réseaux sociaux et cela ne me coûte pas grand-chose de partager ma veille, mes expériences ou d’essayer de sensibiliser mon réseau via ces plateformes. Si cela peut être utile ne serait-ce qu’à quelques personnes, alors c’est un plaisir ! Et puis, cela permet de suivre experts cybersécurité du monde entier ou encore d’échanger avec des personnes qui ne seraient pas abordables IRL, j’adore !
J’ai récemment partagé sur LinkedIn une copie d’un courrier d’arnaque GDPR reçu chez Inova et une retranscription de mon appel téléphonique avec le fraudeur. J’ai été très surpris de l’ampleur de la diffusion du message qui a été vu plus de 300 000 fois et a même été relayé par la CNIL ! Je me suis réjoui des nombreux retours d’entreprises qui m’ont remercié de leur avoir évité d’être victimes de cette fraude grâce à mon alerte.
En 2019, quels sont les grands défis d’un RSSI d’une structure comme la tienne ?
Il est évident que je pourrais vous faire rêver en vous parlant des grands projets d’Inova Software concernant l’Intelligence Artificielle, le Multi-cloud ou encore le Big Data, mais je me contenterai de vous partager notre stratégie “Sécurité”.
Après une année passée à implémenter les basiques de la sécurité et formaliser les bonnes pratiques de sécurité, le moment est venu de lancer un projet que l’on pourrait nommer : “Security is all about Trust”.
En effet, en début d’année, en faisant une rétrospective du niveau de sécurité d’Inova et de l’apport de ma fonction avec la direction (création de poste), nous nous sommes dit que nous pourrions aller plus loin, dépasser le simple fait de gérer des risques informationnels ou de mettre en place des solutions de sécurité… Entre experts de l’ISO 27001, on s’accordera à dire que l’on implémente une SMSI pour rassurer les parties prenantes, mais pour Inova Software, qui doit traiter les données sensibles d’alliances et partenariats de centaines d’entreprises biopharmaceutiques, nous ne souhaitons pas uniquement rassurer nos clients, nous voulons “créer” un service de confiance ! C’est ambitieux, mais c’est aussi ce qui me motive dans ce programme qui comporte trois étapes majeures :
1/ Obtenir la certification ISO27001 pour la fin de l’année 2019. Ce sera l’aboutissement d’une première étape. Nous ne pourrons être que fiers d’avoir implémenté un système de management de la sécurité de l’information en une année seulement.
2/ Renforcer les relations avec nos clients. Je suis convaincu que les questionnaires de sécurité à rallonge ne sont pas un moyen adapté pour partager les risques avec nos clients et les aider à prendre leur décision d’externaliser (ou non) leurs données. J’espère pouvoir mettre en place, en travaillant conjointement avec nos clients, une méthode qui permettra d’identifier leurs craintes (événements redoutés) et apporter des réponses techniques et organisationnelles pertinentes par rapport à ces scénarios de risques. Le reste, c’est de l’hygiène informatique et un bon plan d’assurance sécurité, n’est-ce pas? 😊
3/ Créer une communauté avec nos clients autour de la valeur et la protection des données biopharmaceutiques. En effet, la transition numérique et les évolutions technologies (Big Data, Intelligence Artificielle, multi-cloud …) ne pourront pas se faire sans prendre en compte la transparence des traitement de données personnelles, mais aussi, la protection des intérêts économiques de chacun des acteurs du domaine.
Quels conseils peux-tu donner aux personnes (de plus en plus nombreuses) qui veulent s’orienter vers le secteur de la cybersécurité ?
Les métiers de la cybersécurité, dont le RSSI fait partie intégrante, sont des postes de passionné. Je crois que les conditions pour s’orienter vers ce secteur sont : aimer les nouvelles technologies, les relations humaines et adhérer à l’intérêt collectif de protéger des informations de valeur (que ce soit pour une entreprise ou une nation 😉 ANSSI) . L’expertise et les méthodes s’acquièrent relativement facilement et de manière continue par l’exercice de la sécurité et/ou la réalisation de formation certifiante. Et puis vous pouvez être rassuré, on arrive toujours à trouver un expert d’une technologie ou d’une méthode pour venir nous épauler !
Pour rebondir sur ta remarque, les personnes intéressées sont peut-être de plus en plus nombreuses, mais cela reste insuffisant par rapport au besoin du marché du travail. C’est aussi pour cela que je m’investis en tant que maître de conférences pour Polytech Angers dans la conception, la réalisation et la promotion de formation qui me semblent plus en adéquation avec les besoins que je rencontre. Je profite de ton interview pour faire un petit “placement de formation”, mais nous avons construit un Diplôme Universitaire à Polytech Angers pour former des RSSI et DPO expert de la Sécurité et la Protection des données de santé. Alors, n’hésitez pas à me contacter si vous êtes intéressé !
Merci de t’être prêté au jeu !
Un grand merci à toi Nicolas !
Bullshit marketing, comme d’habitude…