Après 8 années passées au sein de l’ANSSI, Gérard Leymarie a de nouveau endossé une responsabilité dans le secteur privé en tant que CISO de Elior group, spécialisé dans la restauration collective et les services. Il partage sa vision de l’évolution de son métier dans les entreprises face à l’injonction d’innovation et la dynamique qu’il peut partager avec les DSI et les métiers en ce sens.

Gérard Leymarie, Group Chief Information Security Officer d’ELIOR group

Quel message vous parait-il important de passer aujourd’hui à vos pairs, confrontés aux enjeux d’innovation et aux prises de risque qui y sont associés dans les entreprises ?

Gérard Leymarie. Si je m’adresse en particulier aux CISO et RSSI dans les entreprises, je dirais qu’il faut arrêter d’attendre et de se plaindre, immobile sur sa chaise, en craignant le changement. Toutes les entreprises doivent innover et avancer en confiance sur la scène de la transformation. Et leurs choix en la matière sont observés de près par énormément de monde ! A ce titre, la sécurité doit se retrouver naturellement au cœur de l’équation, mais pas pour être un facteur bloquant. C’est autant un enjeu de fonctionnement opérationnel, que réglementaire ou d’image… On ne peut plus avoir un « dogme unique » qu’on impose de la même façon partout, depuis son bureau « d’expert » de la sécurité dans l’entreprise. La cyber sécurité est devenue un atout, elle a une vraie valeur commerciale et sociétale.

Les RSSI peuvent-ils faire parti des leaders technologiques qui mettent en œuvre le changement dans l’entreprise ?

Gérard Leymarie. Oui, s’ils arrêtent d’être dans une posture défensive où ils ne se retrouvent qu’à pouvoir se plaindre, notamment du manque de moyens consacrés par l’entreprise à la sécurité. Depuis 20 ans, les RSSI se sont trop peu remis en question et ne sont pas assez sortis de l’entre-soi ! En 2020, ils doivent pourtant être en permanence au contact de tous, pour être capable d’être de vrais couturiers de la sécurité, avec une compréhension fine des choix d’innovation technologique et contraintes des métiers pour agir au cas par cas. Ce qui permet de simplifier la sécurité, ce n’est pas d’avoir une solution unique que l’on applique partout, c’est d’avoir une vision transversale de la cohérence des technologies. Celles-ci changent tellement vite, qu’on ne va pas faire une nouvelle politique de sécurité tous les jours pour en tenir compte ! Par contre, on doit pouvoir donner des solutions et arrêter de faire peur, pour reprendre l’injonction de Guillaume Poupard, le directeur de l’ANSSI lors des dernières Assises de la Sécurité. Et pour adopter cette posture il faut développer de nouveaux savoir-être, notamment dans la relation avec le COMEX, les métiers, les DSI et CTO, et de nouveaux savoir-faire, en particulier sur la veille technologique.

Votre entreprise a-t-elle connu cette évolution ?

Gérard Leymarie. Au sein du groupe Elior, je suis particulièrement heureux de voir que le DSI a bien pris en compte ce lien étroit qui existe entre innovation et sécurité. Il n’est pas question de blocage : nous parvenons à valoriser la sécurité et les enjeux de privacy dans le business. Par exemple, sur les appels d’offre auxquels nous répondons, nous détaillons précisément nos engagements en matière de cybersécurité et de privacy, au-delà de la réponse sur notre cœur de métier de la restauration. Nous ne serons jamais les meilleurs en cyber sécurité, mais nous montrons ainsi à nos clients que clairement, le sujet est prioritaire. Ce n’est pas ce facteur seul qui nous fait remporter un appel d’offre évidemment, mais je crois qu’aujourd’hui cet aspect des réponses apportées ne peut plus être ignoré pour autant.

La préoccupation d’un équilibre entre prise de risque et innovation se ressent-elle aussi dans les choix de solutions technologiques que vous pouvez faire ?

Gérard Leymarie. Tout à fait, car le type de technologie que nous allons choisir aura souvent des conséquences sur le long terme. A chaque fois que nous portons notre attention sur une nouvelle technologie ou un nouvel outil, c’est la question de la cohérence de l’ensemble qui est interrogée, au-delà du caractère innovant en lui-même de la solution, prise à part. C’est d’ailleurs un changement majeur dans le comportement des acteurs du changement dans l’entreprise, qu’ils soient DSI, CTO ou RSSI. Il y a quelques années, nous avions beaucoup trop tendance à empiler de multiples solutions pour montrer que l’on était innovant et pour « cocher les bonnes cases ». Il a fallu sortir de ce réflexe faussement rassurant. Parmi les nouveaux réflexes de notre métier, nous devons apprendre à cultiver la transparence, la confiance et la présence permanente auprès des métiers. Dans le cas précis du RSSI, il ne peut par exemple plus se retrancher derrière un soi-disant « secret » de la sécurité. Il faut au contraire qu’il soit le plus possible dans l’échange, car la chaine de responsabilité et de confiance face à la prise de risque, notamment technologique, doit être transverse et partagée… en connaissance de cause.