Daria Meyer, CISO chez Panalpina
Le rôle d'un RSSI a considérablement évolué au fil des ans, le cyber-risque ayant gagné en visibilité au plus haut niveau de nombreuses organisations. Que signifie donc être RSSI aujourd'hui ? Selon Daria Meyer, CISO chez Panalpina : "Vous devenez connu en tant que CISO lorsque vous apportez une valeur ajoutée à l'entreprise, mais vous êtes apprécié lorsque vous guidez avec succès l'entreprise à travers un incident cybernétique".
"Mon parcours dans le domaine de la cybersécurité a commencé par un cours pratique de sécurité 101. Après avoir obtenu mon diplôme en ingénierie des télécommunications et des réseaux, j'ai accepté un emploi dans une équipe d'assistance à distance. J'ai eu l'occasion d'acquérir une expérience pratique en matière d'ingénierie de la sécurité. J'ai vraiment apprécié cette période de ma carrière et après quelques années, j'ai élargi mon savoir-faire en matière de gestion de projet, où je gérais la cybersécurité dans le cadre de grands projets de fusion et d'acquisition à l'échelle mondiale. C'est à ce moment-là que ma carrière a vraiment décollé.
J'ai commencé à me concentrer sur les opérations de cybersécurité, la réponse aux incidents et la gestion des risques liés aux fournisseurs, et j'ai acquis de plus en plus de responsabilités en matière de gouvernance de la sécurité et des risques. Je suis devenu responsable de la gestion, du contrôle et du renforcement de la protection de la sécurité de l'information, de la gestion des budgets pour la fonction globale ainsi que pour les projets globaux. J'ai également acquis une expérience précieuse en travaillant dans un environnement hautement réglementé et en gérant une équipe internationale et diversifiée.
Mon travail acharné a porté ses fruits et je suis devenu responsable de la plus grande division de Novartis : Pharma. J'étais chargé de définir et d'exécuter la stratégie cybernétique globale, de diriger une organisation mondiale et de veiller à ce que les activités pharmaceutiques mondiales et l'ensemble des produits, projets et services informatiques commerciaux - "aller sur le marché" - soient développés et fournis de manière sûre et conforme. Ce rôle s'accompagnait également de responsabilités accrues en matière de gestion et de budget. Avant ma nomination, ce rôle et cette organisation n'existaient pas. Je les ai donc conçus et mis en place à partir de zéro, en recrutant les personnes dont j'avais besoin en cours de route.
Lorsque l'on m'a proposé de devenir CISO de Panalpina, je n'ai pu que dire oui. Je savais que c'était l'occasion pour moi de façonner la vision de l'organisation en matière de cybersécurité et d'avoir un impact réel sur la société. Chez Panalpina, je rends compte directement au DSI et au conseil d'administration ; je façonne la vision et la stratégie de l'organisation en matière de sécurité et je me concentre sur la création de valeur pour Panalpina et ses clients. Je siège également aux conseils consultatifs de grandes entreprises de technologies de l'information, de start-ups de pointe et de forums mondiaux sur la sécurité."
Pour Daria, accepter un poste de RSSI ne signifiait pas seulement assurer la sécurité de son organisation au jour le jour. Daria s'est intéressée à la situation dans son ensemble :
"Vous devez réfléchir à ce que vous voulez réaliser, à ce sur quoi vous voulez vous concentrer pour ajouter de la valeur à l'entreprise et à vos clients".
La motivation de Daria est aussi claire aujourd'hui qu'elle l'était lorsqu'elle est devenue RSSI :
"Je veux avoir un impact positif sur l'entreprise pour laquelle je travaille ainsi que sur la société en général".
Chez Novartis, son objectif était très clair : participer à l'aide apportée aux malades. Ensuite, lorsqu'elle est devenue RSSI, elle s'est assurée de rejoindre une entreprise dont la culture et les priorités correspondaient à ses aspirations. En tant que cyberdirigeante, elle ne se considère pas comme le chef du département du "non", mais comme le conseiller et le manager d'une grande équipe et comme le gardien des données, des systèmes d'information et des ressources. Elle comprend qu'en tant que RSSI, elle influencera des décisions majeures qui affecteront des personnes réelles. En même temps, le monde du transport et de la logistique est relativement nouveau dans le domaine numérique, ce qui fait du rôle de Daria en tant que RSSI un terrain vierge. En apportant son expérience et son expertise, elle aide non seulement son entreprise, mais aussi son secteur.
L'aspiration de Daria à aider les autres est alimentée par sa compréhension de ce qu'est la cybersécurité :
"Il y a quelques années, beaucoup assimilaient les RSSI aux services informatiques. Leur rôle consistait à sécuriser les systèmes d'une entreprise, rien de plus. On ne parlait pas de la sécurité comme d'un avantage concurrentiel et d'un catalyseur d'activité, et encore moins d'éthique".
Comme les choses ont changé ! En 2017 déjà, 87 % des entreprises du FTSE 100 ont identifié le cyber comme un risque principal . Avec cette augmentation de l'attention, les conseils d'administration sont désormais très attentifs au sujet et incluent de plus en plus d'experts en cybersécurité. Ce changement s'accompagne d'une augmentation de la portée des rôles en matière de cybersécurité :
"La cybersécurité a cessé de couvrir uniquement les technologies de l'information pour s'intéresser plus largement aux risques. Il s'agit également de résilience : prévenir les incidents tout en veillant à ce que l'entreprise s'en sorte en cas d'incident".
En outre, les lois et règlements sur la protection des données, tels que le GDPR de l'UE, protègent la vie privée des individus en tant que droit humain fondamental et renforcent l'idée que ce domaine a un impact direct sur la vie des gens, à la fois à la maison et sur le lieu de travail, et pour tous les groupes d'âge.
L'époque où la frontière entre le monde physique et le monde numérique était clairement définie est révolue depuis longtemps et, par conséquent, la cybersécurité est devenue trop importante pour être exemptée de morale et de valeurs. Ce que nous pouvons apprendre de Daria, c'est qu'il est essentiel pour les cyberdirigeants d'aujourd'hui de comprendre les implications de leurs actions sur la vie des gens et d'être capables d'assumer leurs décisions quoi qu'il arrive.