3 questions à Claire Baudiment, Directrice de l'innovation, du digital, des systèmes d'information et de la cybersécurité chez Fives Maintenance

Fondé au XIXᵉ siècle, Fives est un acteur historique de l’ingénierie industrielle, notamment célèbre pour la conception des ascenseurs de la Tour Eiffel. Aujourd’hui, le groupe est un leader dans des secteurs clés tels que l’acier, l’aéronautique, l’énergie et la défense. Claire Baudiment, directrice de l'innovation, du digital, des systèmes d'information et de la cybersécurité chez Fives Maintenance, explique comment cette filiale du groupe a intégré la cybersécurité comme un axe stratégique majeur.

Comment la cybersécurité est-elle devenue une priorité stratégique au sein de votre filiale ?

Lorsque j’ai rejoint Fives Maintenance il y a trois ans et demi, ma mission principale a été de structurer une nouvelle direction autour des technologies et de définir une orientation commune. Très vite, la cybersécurité s’est imposée comme un enjeu stratégique majeur, en raison des risques spécifiques associés à des secteurs sensibles comme l’aéronautique et la défense. Le contexte géopolitique, notamment la guerre en Ukraine, ainsi que l’émergence de nouvelles réglementations comme le Privacy Act ou l’AI Act, ont renforcé cette nécessité.

Nous avons adopté une approche résolument proactive, en intégrant la cybersécurité dès la conception de chaque projet (« security by design »), plutôt que de la traiter en aval. La modernisation de notre infrastructure, portée par notre forte croissance, a constitué une opportunité idéale pour intégrer ces exigences dès le départ. Ma présence au comité de direction a été un facteur clé : elle a permis d'ancrer la cybersécurité au cœur du pilotage global, en faisant un levier non seulement pour la maîtrise des risques, mais aussi pour sécuriser nos appels d’offres et investissements. La cybersécurité est désormais perçue comme un véritable avantage compétitif.

Comment avez-vous développé les compétences de vos équipes et quelles bonnes pratiques recommanderiez-vous ?

Dès le début, nous avons réalisé un état des lieux complet de notre niveau de cybersécurité, avec l’accompagnement de l’ANSSI, afin de définir une feuille de route claire. Nous avons ensuite mis en place un programme de formation continue, soutenu par le groupe et par notre CEO. Il comprend des modules d’e-learning pour les nouveaux arrivants, ainsi que des sessions mensuelles sur des thématiques précises : fraude au président, risques liés aux deepfakes, etc.

Par ailleurs, nous réalisons régulièrement des exercices pratiques (tests de phishing, smishing et vishing) pour mesurer la réactivité de nos équipes face à des scénarios d’attaque réalistes. Au-delà des formations, nous avons instauré des « causeries cybersécurité », des échanges informels entre les équipes pour discuter des menaces émergentes et partager des retours d’expérience concrets.

L'objectif est de faire de la cybersécurité une responsabilité collective, et non l'apanage du seul RSSI. Une autre initiative, simple mais efficace, a été la distribution de tapis de souris rappelant les bonnes pratiques en cybersécurité, une action qui a fait ses preuves pour ancrer ces réflexes au quotidien. Enfin, nous faisons régulièrement appel à des expertises externes pour réaliser des audits de cybersécurité, des tests d’intrusion (pentests) et organiser des exercices de crise grandeur nature. Notre adhésion au CLUSIF (Club de la Sécurité de l'Information Français) nous permet également de rester connectés aux meilleures pratiques du secteur et d’anticiper les évolutions du paysage des menaces.

Comment avez-vous intégré la cybersécurité dans la gouvernance de l'entreprise et comment sensibilisez-vous la direction aux enjeux stratégiques pour définir la feuille de route et les priorités ?

La cybersécurité est désormais pleinement intégrée à notre gouvernance d’entreprise. Chaque semaine, lors des réunions du comité de direction, nous présentons les principaux KPIs, les résultats des tests d'intrusion et les retours des exercices de crise. Cela permet de maintenir une vigilance constante et de rendre les risques tangibles pour la direction. Nous nous appuyons également sur des cas réels pour illustrer l’impact direct de nos investissements en cybersécurité. Par exemple, l’implémentation de l'authentification multifacteur (MFA) a permis de bloquer une tentative d'attaque, prouvant ainsi l'efficacité de notre approche proactive.

Enfin, les audits externes renforcent notre stratégie. Dès mon arrivée, j’ai fait appel à Deloitte pour réaliser un audit de cybersécurité sur un de nos applicatifs internes. Ce travail a mis en lumière des vulnérabilités critiques, justifiant ainsi les investissements nécessaires pour renforcer la sécurité. Cette approche nous permet de sortir des biais internes, d’affiner notre stratégie et d'anticiper plus efficacement les menaces émergentes. Elle facilite nos décisions d’investissement et renforce l’alignement entre cybersécurité et croissance.