Frank Van Caenegem (Schneider Electric) : « l’angle mort doit être l’obsession du CISO »
Par Bertrand Lemaire | Le | Gouvernance
Frank Van Caenegem est vice-president Cybersecurity et CISO EMEA de Schneider Electric. Il partage ici ses approches en matière de cybersécurité.
Aujourd’hui, que représente le groupe Schneider Electric ?
La raison d’être de Schneider est de permettre à chacun de tirer le meilleur de son énergie et de ses ressources, afin de concilier progrès et développement durable pour tous. Nous desservons des infrastructures critiques qui contribuent au fonctionnement de nos sociétés. En effet, nous équipons plus d’un million de bâtiments dans le monde, dont 40 000 installations de traitement de l’eau et des eaux usées, 40 % des hôpitaux mondiaux et les dix plus grands aéroports.
En 2022, Schneider Electric a réalisé un chiffre d’affaires de 34 milliards d’euros et possède une empreinte mondiale, comptant plus de 135 000 employés répartis dans plus de 100 pays.
Comment s’organise l’IT de Schneider Electric ?
Nous avons une gestion de l’IT centralisée au niveau du groupe. Elle est placée sous la responsabilité d’un Chief Information Officer (CIO). D’autre part, nous avons un RSSI global qui orchestre un réseau de RSSI régionaux. Ce réseau fait partie de la Gouvernance du groupe et rapporte au secrétariat du Conseil d’Administration. Cet organe central indépendant gère le portefeuille de cybersécurité à l'échelle de l’entreprise, coordonne l’exécution des initiatives stratégiques et opérationnelles, et orchestre une communauté plus large de praticiens de la sécurité répartis dans les territoires.
Retrouvez Frank Van Caenegem sur le club Hacktiv’Talk « Les nouveaux modèles de cyber-assurance »
Le Mardi 7 novembre 2023, de 19h00 à 23h00, Républik organise un club Hacktiv’Talk sur le thème « Les nouveaux modèles de cyber-assurance ». Frank Van Caenegem est sera le Grand Témoin aux côtés de deux représentants du courtier Marsh.
Les clubs Hacktiv’Talk sont des diners-débats confidentiels (aucun compte-rendu) qui permettent aux RSSI de grandes entreprises de pouvoir échanger librement dans un hôtel du quartier des Champs-Elysées à Paris. Le lieu exact est révélé aux seuls inscrits validés.
Schneider Electric est une entreprise industrielle. La cybersécurité groupe couvre-t-elle de la même façon l’IT de gestion et l’IT industrielle ?
Traditionnellement, la gestion de la cybersécurité priorise l’IT. Or, le digital s’invite également dans les milieux opérationnels avec les « Usines 4.0 » ou « l’industrie du futur », qui incluent des véhicules autonomes, l’utilisation de la 5G sur des cobots, la reconnaissance d’images, et d’autres innovations bien connues. Cette transformation nécessite d'étendre le champ d’action de la cybersécurité, car la surface d’attaque s’est également élargie.
Ainsi, notre responsabilité de CISOs ne se limite pas à l’IT, mais consiste plutôt à s’assurer que les risques sont traités là où ils sont créés. Il ne s’agit donc pas seulement de l’IT ou de l’OT, mais aussi du risque d’arrêt d’une usine lié à l’IT, l’OT et l’IoT. L’angle mort doit être notre obsession quel que soit la technologie. Ainsi, nous devons nous appuyer sur une double connaissance, car le paysage actuel n’oppose plus IT et OT.
Quels sont vos grands enjeux en cybersécurité en tant qu’entreprise industrielle ?
Nous avons trois enjeux principaux.
Nous existons dans une chaîne de valeur, avec des acteurs en amont, au sein de l’entreprise et en aval. Il y a donc l’enjeu de sécuriser toute cette chaîne d’approvisionnement.
Il y a ensuite un enjeu de résilience, d’être capable d’absorber un choc, d’avoir une stratégie en tiroir pour résister en cas d’attaque grâce à des plans de continuité établis et sur lesquels nous nous sommes entraînés.
Finalement, nous fournissons des produits qui se veulent sécurisés dans des environnements qui ne le sont pas nécessairement. On est donc aussi tributaire d’un enjeu qui n’est pas entièrement notre : la sécurisation de l’environnement client.
Comment sensibilisez-vous vos collaborateurs, y compris cols bleus, à la cybersécurité ?
En plus d’une formation obligatoire pour tous les employés, nous organisons des formations spécialisées, notamment pour les employés travaillant dans nos usines, sur nos chaînes de production, mais aussi pour nos employés qui ont un pied chez le client, que ce soit pour de la vente ou de la maintenance. Ces formations-là sont obligatoires pour ces populations ciblées et doivent être rafraîchies annuellement. Ces formations se matérialisent par un badge visible, connu par le client.
Pour conclure une police de cyber-assurance, les RSSI doivent répondre à de lourds questionnaires. Le cyber-rating est décrié mais est-il cependant utile ?
L’activité des cyber-assureurs est très similaire à notre démarche par rapport à nos tiers, c’est-à-dire l’estimation la plus pertinente de la maturité cyber d’une tierce partie. Le cyber-rating est décrié, mais il n’en reste pas moins très utile car il permet de voir si les sociétés adressent les différents résultats obtenus dans le temps, ce qui témoignerait d’une démarche d’anticipation et non d’attente qu’il y ait un problème. En effet, la correction des petits écarts poussée par les résultats d’une agence de rating est extrêmement importante et assez nouvelle. Elle démontre une bonne hygiène et une mise en place de process.
Toutefois, le rating n’est pas un Graal mais juste un indice très utile, qui, utilisé en combinaison avec des questionnaires et des indicateurs techniques, permet de bien comprendre le niveau de maturité d’une société. Il est important que les courtiers et les assureurs fournissent un effort pour avoir une standardisation qui permettrait, entre autres, une plus grande portabilité.
Enfin, nous avons également le besoin de pouvoir réaliser des questionnaires techniques pour obtenir des remontées internes de l’entreprise, afin de comprendre son hygiène quotidienne de l’intérieur et non pas uniquement à partir des visions extérieures que permettent les questionnaires de cyber-rating d’aujourd’hui.
Etes-vous concernés par la pénurie des talents IT ? Quelles initiatives menez-vous en la matière ?
Comme tous aujourd’hui, nous faisons face à ces problématiques. Nous avons une vision macro de notre communauté cybersécurité car nous sommes capables de recenser plusieurs centaines de personnes.
Nous avons un comité opérationnel ainsi qu’un comité stratégique où sont décidées quelles sont les compétences d’aujourd’hui et quelles sont les compétences recherchées de demain. Ces comités décident aussi si nous faisons du « make or buy » sur ces compétences, quels sont les postes ouverts, qui sont les personnes disponibles afin de faire des ponts entre les deux approches, quels sont les besoins de formation. Ces décisions sont menées de manière stratégique.
Par ailleurs, nous avons une approche propre à certains pays, comme par exemple la France. Nous mettons à profit des partenariats avec des universités et des écoles, qu’elles soient spécialisées en cybersécurité ou non, pour attirer de jeunes talents. De là, nous mettons en place des dispositifs tels que l’alternance, ou le VIE (Volontariat international en entreprise), pour faire monter ces jeunes en compétences et leur offrir à l’issue de cette expérience la possibilité de rester parmi nous.
Retrouvez Frank Van Caenegem à la Cybernight
Frank Van Caenegem est membre du jury des Trophées de la Cybernight 2023.
Le palmarès défini par le jury sera dévoilé à l’occasion de la Cybernight le 27 novembre 2023 au Théâtre de la Madeleine à Paris (inscription validée obligatoire).
Frank Van Caenegem interviendra sur scène, revenant sur ses enjeux et expliquant les choix du jury.
Vous êtes membre actif de plusieurs associations professionnelles (CESIN, CLUSIF…). Pour quelles raisons ? En quoi ces participations sont-elles utiles à votre métier et vos fonctions ?
J’ai à peu près tout appris à l’intérieur de ces associations, y compris Le Forum des Compétences (RSSI Finances). Ces associations permettent de rester ouvert avec ses pairs et de combattre l’isolement du CISO qui survient beaucoup trop souvent en entreprise. Cela permet d’avoir un retour réel sur les différentes solutions et les politiques d’implémentation dans une entreprise, et les promouvoir dans son entreprise.
De plus, on apprend beaucoup du point de vue de la communication. En général, le CISO n’est pas un grand communicant. À travers les associations, il va pouvoir choisir les bons mots, les bons angles pour pouvoir promouvoir une stratégie en interne ou la partager avec des partenaires ou des clients.
Ces associations permettent aussi et enfin d'établir des liens avec d’autres CISO. Le jour où il y a un incident, avoir une proximité avec le CISO de la société avec laquelle on veut rentrer en contact permet une meilleure collaboration et de ressentir la sécurité collective. Il n’y a pas de concurrence entre CISO mais une forte entraide.
Quels sont vos défis actuels ?
C’est un défi personnel : découvrir une entreprise que je viens de rejoindre et garder suffisamment d’humilité pour comprendre que c’est un modèle très différent et qu’il faut apprendre à s’intégrer. Ce n’est pas si simple mais tout à fait passionnant. Le changement est enrichissant et dynamisant.
Le texte de cette interview a été revu par la direction de la communication de Schneider Electric.