Karin D'Amico, ancienne responsable de la sécurité de l'information chez Givaudan
L'ancien secrétaire américain à la défense, Donald Rumsfeld, a prononcé une phrase célèbre : "Il y a des inconnues inconnues - celles que nous ne savons pas que nous ne savons pas : "il y a des inconnues inconnues - celles que nous ne savons pas que nous ne savons pas. Et si l'on regarde l'histoire de notre pays et d'autres pays libres, c'est cette dernière catégorie qui tend à être la plus difficile". En matière de cybersécurité, il semble y avoir plus d'inconnues que dans n'importe quel autre domaine. Et bien que cela semble être une évidence aujourd'hui, il y a 20 ans, lorsque les départements de sécurité ou même les diplômes de cybersécurité n'existaient pas, cette affirmation n'aurait peut-être pas été aussi largement acceptée. Karin, ancienne responsable de la sécurité de l'information chez Givaudan, est l'une de celles qui ont su apprécier très tôt cet aspect de la cybersécurité et qui ont réussi à construire leur carrière en gardant cet aspect à l'esprit.
"Tout a commencé lorsque je travaillais comme assistante administrative et que mon patron a vu que j'étais avide de nouveaux défis. Il a également constaté que j'avais un intérêt particulier pour l'informatique, il a donc commencé à me confier davantage de tâches dans ce domaine et m'a encouragée à évoluer vers un poste d'assistance informatique Manager. Quelques années plus tard, j'ai obtenu un diplôme en gestion de projet informatique tout en travaillant comme consultant pour Givaudan.
Au début de ma carrière dans l'informatique en tant qu'ingénieur réseau et serveur, la sécurité n'était pas en tête de liste des priorités des entreprises ; le sujet de la sécurité à l'époque était la chasse aux premiers virus. Au fil du temps, des projets de sécurité ont commencé à voir le jour, petit à petit, avec une portée plus large et des ambitions plus élevées. Compte tenu de mon expérience en matière de gestion de projet et d'infrastructure informatique, je me suis vu confier la responsabilité de gérer le premier projet de sécurité mondial de Givaudan, qui consistait à mettre en place un système antivirus pour l'entreprise. Il est étonnant de penser qu'à l'époque, l'absence d'un tel antivirus était la norme ! Après ce projet, les besoins de Givaudan en matière d'experts en sécurité ont augmenté de manière exponentielle, tout comme mon intérêt et mes compétences dans ce domaine.
Alors que j'étais en congé de maternité après la naissance de mon deuxième enfant, j'ai reçu un appel de mon patron, le CISO de Givaudan de l'époque. Il avait reçu une excellente opportunité de travailler sur un grand projet d'intégration et m'a demandé si j'étais prête à le remplacer, ce que j'ai bien sûr fait. Alors que je commençais à assumer ce nouveau rôle, j'ai décidé de poursuivre des études en sécurité des systèmes d'information afin d'enrichir l'expertise que j'avais acquise sur le terrain en travaillant sur des initiatives en matière de sécurité.
Ayant été activement impliquée dans l'équipe de sécurité de Givaudan dès les premiers jours, Karin a été l'une de celles qui ont pu apprécier ce fait très tôt et a développé une stratégie d'adaptation très efficace reposant sur trois piliers : l'amélioration continue, la connaissance de l'entreprise et une forte concentration sur les parties prenantes.
La cybersécurité est une course aux armements ; dans ce domaine, suivre le rythme des changements exige une amélioration continue :
"Vous devez prendre le temps d'identifier ce qui est le plus important pour votre organisation et d'améliorer sa maturité étape par étape.
C'est ainsi qu'en dix ans, Karin a fait de Givaudan une entreprise dotée d'un programme de cybersécurité complet et cohérent.
Connaître parfaitement l'entreprise
La sécurisation d'une entreprise nécessite une connaissance approfondie de celle-ci.
"Vous devez apprendre à connaître l'entreprise, sous différents angles et perspectives".
Connaître l'entreprise, c'est aussi comprendre ses collaborateurs et leurs méthodes de travail. Karin se souvient avec émotion d'avoir appris à adapter sa mentalité suisse - où être à l'heure signifie être en avance de cinq minutes - à une approche plus internationale. Pour Karin, il est également essentiel de tenir compte du niveau de maturité de l'organisation et de sa propension au risque lors de la mise en œuvre de nouveaux processus et outils. C'est ce qu'elle affirme :
"La technologie la plus récente n'est pas nécessairement la meilleure ; je place toujours ces considérations dans le contexte de l'entreprise, du secteur et des personnes avant de prendre une décision importante".
"La sécurité est un effort de collaboration ; ce n'est pas seulement le problème de l'équipe informatique ou de l'équipe de sécurité. Il est important que tout le monde le comprenne".
Dans toute organisation, il n'est pas surprenant que les employés ne veuillent pas que leurs tâches quotidiennes et leurs processus créatifs soient perturbés par le fait de devoir saisir trois fois leur mot de passe. Il est donc important d'en tenir compte et de trouver la bonne solution pour assurer la sécurité de l'entreprise tout en maintenant une bonne expérience pour les employés.
Ce que nous pouvons apprendre de Karin, c'est que les RSSI ont une responsabilité à l'échelle de l'entreprise. Ils sont chargés de mettre en place la ligne de vie de leur organisation : les outils et les processus qui assureront leur sécurité à long terme. En fin de compte, les responsables de la cybersécurité ne peuvent pas prédire l'avenir, mais Karin est l'illustration parfaite que la préparation est la meilleure chose à faire :
"Personne ne naît expert, mais ceux qui font des efforts seront récompensés.