Quel est votre parcours ?
Je suis diplômé de l’Ecole Centrale Paris. J’ai débuté ma carrière chez IBM (37 ans) en tant qu’architecte informatique et chef de projets. Mes principales missions concernaient l’infogérance, le contrôle de gestion, le marketing et la sécurité informatique. En 2010, j’ai pris la fonction de Risk Manager de BP2I (joint-venture de production bancaire entre IBM et BNP Paribas) et j’ai rejoint Trax en 2019 pour mener à bien la localisation de l’application de cartographie et gestion des risques vRisk. Directeur de projets de mise en conformité des SMSI à la norme ISO 27001 dont je suis auditeur certifié, je suis plus généralement expert senior dans la gestion des risques de cyber sécurité.
Pourquoi avoir rejoint Trax ?
J’ai rencontré François Lorek, co-fondateur de Trax, en 2017 lors d’un audit de sécurité qu’il conduisait chez BP2I et j’ai rapidement manifesté mon intérêt pour les travaux de l’AFNOR et de l’ISO. Chez Trax, je collabore avec des experts engagés comme moi sur les sujets de conformité numérique. Cette opportunité me permet de transmettre des connaissances et d’échanger sur le thème du management du risque et de ses enjeux.
Quels sont les objectifs d’un auditeur de sécurité ?
Ils consistent à expliciter la norme et à s’assurer du respect de la conformité. Pour y parvenir, il doit appréhender l’entreprise, comprendre ses enjeux et savoir capter les particularités de l’organisation, lors d’échanges avec ses protagonistes. C’est ce que j’appelle la « cross-fertilisation ».
En quoi la conformité est-elle importante ?
La conformité est un niveau d’exigences qui contribue à la diminution des risques de sécurité des systèmes d’information, d’un point de vue technique. Elle devient aujourd’hui un atout commercial en un gage de crédibilité qui répond à une demande du marché.
Quel est le risque de la non-conformité ?
La non-conformité est indissociable du risque. Elle expose l’entreprise à des risques intenses et peut entraver sa relation avec ses contreparties, en ruinant la confiance qu’elles plaçaient en elle.
Comment appréhender cette menace ?
La menace, difficile à contrôler, impose que l’on s’en protège en s’assurant que l’ensemble des mesures de conformité aux règles de sécurité sont prises et que les vulnérabilités peuvent être traitées, c’est à dire limitées ou neutralisées. Globalement, la norme, une fois adoptée et appliquée, répond aux objectifs de sécurité.
Quel est intérêt d’une entreprise à appliquer la norme ?
Le nombre croissant d’entreprises qui choisissent la conformité à la norme annonce les premières statistiques probantes : la conformité protège les entreprises sur leurs périmètres certifiés. Les entreprises peuvent cependant accepter un niveau de risque déterminé, mais en pleine conscience de leur exposition.
Qu’est-ce que vRisk ?
vRisk est un outil de gestion et de cartographie des risques, aux fonctionnalités étendues, qui permet de partager simplement des informations. Adaptable et modulable, il accompagne l’utilisateur en fonction de sa maturité à la gestion des risques.
Pourquoi cartographier le risque ?
Cartographier le risque donne l’assurance de considérer l’intégralité de son périmètre. Aussi, l’outil vRisk permet de sensibiliser tous les protagonistes de l’entreprise à la lecture et l’appréhension du risque, quelles que soit leurs prérogatives et leurs positions hiérarchiques,
Peut-on intégrer tous les risques dans le logiciel vRisk ?
Oui, si l’on parvient à identifier chaque risque par ses deux critères de détermination (probabilité et conséquence), la modularité de l’application vRisk permet en théorie d’y intégrer et donc de pouvoir traiter tous les risques.