FR  
17 octobre

Quand le leadership rencontre la cybersécurité

Le point de vue de Vinçotte sur la confiance et la résilience à l’ère numérique

Comment l’humain agit contre la menace numérique

Que se passe-t-il dans votre organisation lorsque quelqu'un clique sur un lien malveillant ? Qui prend les choses en main ? Qui en fait le signalement ? Et surtout, qui en tire les leçons ?

Pour Ilse Vanderlocht, directrice générale de Vinçotte, c'est à ce moment-là que le véritable leadership se révèle. « La cybersécurité n'est pas seulement une question de technologie », dit-elle. « C'est une question de comportement. C'est une responsabilité partagée qui commence par la confiance et un leadership clair. »

Cette conviction n'est pas seulement un slogan. Elle guide la manière dont Vinçotte gère sa propre sécurité interne. « Par exemple, nous avons un programme de sensibilisation des employés », explique Mme Vanderlocht. « Nous envoyons régulièrement de faux e-mails de phishing. Nous ne regardons pas seulement qui clique, mais aussi qui en fait le signalement. C'est encore plus important. »

Cette approche est délibérément positive. « Les gens doivent se sentir en sécurité pour signaler quelque chose, même s'ils sont ceux qui ont cliqué sur le lien malveillant. Sinon, l'organisation n'apprend rien », dit-elle. « C'est pourquoi nous avons rendu le signalement aussi facile que possible. Un simple clic dans Outlook suffit pour signaler un e-mail suspect. Et le service informatique répond à chaque signalement, afin que les gens voient que des mesures sont réellement prises. »

Patrick Coomans, responsable mondial des produits de cybersécurité, qualifie cette approche de « culture juste » : une culture dans laquelle les gens se sentent en sécurité pour signaler leurs erreurs au lieu de les cacher. « Tôt ou tard, quelqu'un cliquera sur le mauvais lien », dit-il. « Ce qui importe, c'est qu'il le signale immédiatement. Plus cela se fait rapidement, moins les dégâts sont importants. C'est ce qui permet de transformer un incendie de forêt potentiel en un petit feu couvant. »

De la sécurité physique à la sécurité numérique

Depuis plus de 150 ans, Vinçotte est synonyme de sécurité grâce à ses inspections, ses certifications et ses formations dans le monde physique des machines, des installations, des ascenseurs et des pipelines. Mais aujourd'hui, ce monde a changé. Ces mêmes systèmes sont désormais connectés numériquement, ce qui apporte de nouvelles efficacités, mais aussi de nouvelles vulnérabilités.

« Nous défendons la sécurité et la fiabilité. Non seulement pour nos clients, mais aussi au sein de notre propre entreprise », explique M. Vanderlocht.

« C'est pourquoi nous investissons nous-mêmes massivement dans la cybersécurité. Nous avons la chance d'avoir un RSSI qui pense vraiment en termes commerciaux, et pas seulement d'un point de vue informatique. »

Pour Vinçotte, cette évolution numérique n'est pas une rupture avec le passé. Elle s'inscrit dans la continuité de sa mission initiale. « Il y a un siècle et demi, nous avons gagné la confiance des gens en veillant à ce que leurs chaudières à vapeur n'explosent pas », explique M. Vanderlocht. « Aujourd'hui, ces mêmes chaudières sont équipées de capteurs et de logiciels qui pourraient être piratés. Le principe est le même : nous instaurons la confiance en veillant à la sécurité des personnes, des systèmes et des processus, qu'ils soient physiques ou numériques. »

Pour Patrick Coomans, cette évolution est tout à fait naturelle. « La numérisation a considérablement élargi la surface d'attaque », explique-t-il. « Les pirates utilisent désormais l'IA générative pour rédiger des e-mails parfaits ; il est presque impossible de savoir s'ils sont réels ou faux. » Il ajoute avec un sourire ironique : « Je me demande parfois si les pirates ont suivi une formation en service à la clientèle, car ils sont devenus très convaincants. »

Derrière l'humour se cache un message sérieux. «

Aujourd'hui, une cyberattaque est presque inévitable », déclare M. Coomans. « La question n'est pas de savoir si elle aura lieu, mais quand. Et lorsqu'elle se produit, les entreprises se retrouvent souvent complètement paralysées. La production, les systèmes informatiques, voire la certification des processus de production : tout doit être redémarré. Et cela peut prendre des semaines, voire des mois. »

Concilier sécurité et cybersécurité

Alors que de nombreuses organisations considèrent encore la sécurité et la cybersécurité comme deux mondes distincts, Vinçotte les considère comme étroitement liés. Les deux sont une question de confiance, de continuité et de comportement.

« En tant qu'organisation, nous avons un rôle à jouer dans la sensibilisation de nos clients à la cybersécurité, de la même manière que nous avons toujours parlé de la sécurité physique », explique M. Coomans. « Les deux vont de pair. »

Ce lien n'est pas seulement conceptuel, mais aussi stratégique. « La sécurité peut débloquer des budgets que la cybersécurité seule ne peut pas obtenir », explique M. Coomans. « Dans de nombreuses entreprises, le département sécurité est mieux structuré et financé que le département informatique. En reliant ces deux mondes, vous créez un véritable impact. »

Cette approche pragmatique reflète l'ADN de Vinçotte : ne pas se concentrer sur la technologie pour elle-même, mais sur les personnes, les organisations et la formation continue.

« La sensibilisation ne se fait pas d'une seule manière », ajoute M. Coomans. « Les modules d'apprentissage en ligne constituent une excellente base, mais ils sont plus efficaces lorsqu'ils sont illustrés par des exemples concrets tirés de votre propre entreprise. Lorsque les gens reconnaissent des situations issues de leur travail quotidien, les leçons sont vraiment assimilées. »

M. Coomans commence souvent ses conversations par trois questions simples qui en disent long sur l'état de préparation d'une entreprise :

  • À quand remonte la dernière fois où vous avez testé la restauration complète de vos sauvegardes ?
  • Disposez-vous d'un plan d'intervention en cas d'incident, et tout le monde sait-il quoi faire si vous êtes frappés d’un ransomware aujourd'hui ?
  • Votre organisation dispose-t-elle d'une approche formelle de la gestion des risques, et la cybersécurité en fait-elle partie ?

« Si la réponse à l'une de ces questions n'est pas claire, dit-il, il y a du travail à faire. »

Le leadership comme levier

La cybersécurité ne s'enracine véritablement que lorsqu'elle est impulsée par la direction. « Le leadership joue un rôle crucial », explique Mme Vanderlocht. « C'est l'équipe de direction qui décide si le sujet mérite attention et ressources. Si cela ne vient pas du sommet, cela ne se fait pas. »

Mme Vanderlocht considère la cybersécurité comme un élément essentiel de la gestion des risques d'entreprise. « La sécurité a toujours été un sujet abordé par le conseil d'administration : sécurité incendie, sécurité des travailleurs, sécurité des processus, explique-t-elle. La cybersécurité doit figurer sur cette même liste. Il ne s'agit pas seulement d'un risque informatique, mais aussi d'un risque pour la continuité des activités, la réputation et la clientèle. »

C'est pourquoi la Vinçotte Academy propose désormais des formations dédiées aux membres du conseil d'administration et aux cadres supérieurs.

Non pas pour les transformer en experts en cybersécurité, mais pour les aider à poser les bonnes questions et à s'approprier le sujet.

« Les questions sur lesquelles se concentrent les dirigeants sont celles qui prennent vie au sein de l'organisation », explique Mme Vanderlocht. L'une de ces questions est d'une simplicité trompeuse : Combien de temps s'écoule entre un clic et un signalement dans notre entreprise ?

La confiance comme nouvelle monnaie

L'approche de Vinçotte en matière de cybersécurité s'inscrit dans un mouvement plus large : passer de la conformité à la résilience, des règles à la culture, des listes de contrôle au comportement.

« On ne construit pas la confiance avec un seul audit », explique M. Vanderlocht. « C'est un processus continu d'apprentissage, d'amélioration et de prise de responsabilité. »

Cette philosophie est un fondement de l'initiative Trust in Digital de l'entreprise : traiter la cybersécurité non pas comme un contrôle, mais comme une culture.

Ou, comme le dit M. Coomans, « la cybersécurité est le moyen, mais Trust in Digital est le retour sur investissement. C'est la manière dont vous montrez à vos clients, investisseurs et régulateurs que votre organisation perdurera parce qu'elle est résiliente. »

Il compare cela à l'ancien autocollant « Intel Inside » sur les ordinateurs portables.

« Les entreprises commencent à traiter la cybersécurité de la même manière. Comme quelque chose qu'elles affichent fièrement », dit-il. « Les meilleures entreprises publient même une page dédiée à la confiance sur leur site web pour expliquer ce qu'elles font, les normes qu'elles respectent et la manière dont elles gèrent les incidents. Cela fait désormais partie de leur image de marque. »

En fin de compte, explique M. Coomans, l'objectif est de passer d'une cybersécurité axée sur la conformité à une cybersécurité axée sur la valeur.

« Lorsque les gens appliquent la même vigilance chez eux, par exemple en protégeant leurs enfants en ligne ou en aidant leurs parents à repérer les escroqueries, c'est là que vous savez que la culture a vraiment changé. Il ne s'agit pas de cocher des cases. Il s'agit de vivre la confiance. »

Le message de Vinçotte est clair : la cybersécurité n'est pas seulement un défi technique. C'est un défi humain. Il s'agit de leadership, de confiance et aussi d'une dose de bon sens. Et ce sont précisément les valeurs que Vinçotte défend depuis 1872.

En savoir plus de "Trust in Digital"

>> Suivez la page LinkedIn <<
Publication précédente Vers la liste Publication suivante
Suivez-nous
© Vinçotte 2025
Conditions générales  Mentions légales et conditions d’utilisation  Politique en matière de cookies de Vinçotte  Déclaration de confidentialité