Pourquoi as-tu choisi de rejoindre l’industrie financière ?
Le hasard de mon premier emploi ; je suis ensuite resté dans le secteur financier pour la variété des opportunités qui m’ont été offertes : ingénieur système, concepteur, chef de projet, assistance à maîtrise d’ouvrage, responsable d’activité, puis responsable sécurité. Cela dans plusieurs domaines de l’industrie financière : cartes, assurances, financements spécialisés par exemple.
Tu es Information Security Officer. Peux-tu nous parler de ton rôle ?
Je travaille au sein de la Global Business Unit « Banking Components », où je dirige une équipe d’« Information Security Officers ».
Nous assurons la sécurité globale des activités chez SBS : avant-vente, R&D, maintenance et support. Cela inclut la supervision des projets pour garantir le respect des standards de sécurité. Nous accompagnons et formons les équipes dès la conception des nouveaux produits, tout en veillant à la bonne exécution des plans de contrôle.
Notre mission implique également des revues approfondies pour identifier les failles, proposer des actions correctives et suivre leur mise en œuvre. Par ailleurs, nous soutenons les projets dans leurs interactions avec les clients et prospects : révision de contrats, réponses aux appels d’offres, évaluations de sécurité, audits et participation à des réunions techniques.
À qui profite ton travail et comment s’inscrit-il dans la stratégie de sécurité de SBS ?
En quelques mots, je fais partie de la deuxième ligne de défense de SBS derrière les autres collaborateurs de SBS (qui forment la première). Je participe donc à la prévention des risques de sécurité qu’ils soient « accidentels » ou malveillants.
Mon travail contribue aussi à délivrer des prestations à nos clients qui soient conformes aux standards actuels de sécurité, donc à concevoir et développer des logiciels les plus sûrs possibles, les livrer en toute sécurité et aider nos clients (ou nos collègues des services opérés) à les exploiter dans un environnement sûr.
Comment l’équipe gère-t-elle la conformité avec des réglementations comme DORA ?
Notre équipe assure un suivi des évolutions légales et réglementaires, en particulier DORA, qui vise à garantir une résilience opérationnelle numérique à travers l’UE, pour protéger les banques et leurs clients contre les crises informatiques. Ce règlement exige des banques et de leurs fournisseurs qu’ils déclarent leurs activités au régulateur européen.
Chez SBS, nous collaborons avec les juristes pour adapter les contrats et répondre aux exigences de DORA. Nous accompagnons les équipes dans l’intégration des pratiques renforcées, effectuons des contrôles réguliers et préparons les preuves nécessaires pour les audits. La conformité doit être réalisée avant le 17 janvier 2025, et nous y sommes préparés.
Pourquoi, malgré l’importance cruciale de la sécurité, renforcée par les normes européennes, reste-t-il parfois difficile de convaincre les équipes d’en faire une priorité, et quels défis rencontres-tu dans ton rôle d’« Information Security Officer » ?
Autrefois, les systèmes étaient isolés et moins exposés aux risques, car Internet n’était pas encore un vecteur d’attaques. La sécurité n’était donc pas une priorité. Aujourd’hui, la situation a radicalement changé avec l’interconnexion croissante des systèmes et des échanges d’informations. Bien que la sécurité soit devenue un enjeu majeur, il est parfois difficile de faire évoluer les mentalités aussi rapidement que les technologies. Les équipes ont souvent d’autres priorités, et il faut parfois du temps pour leur faire comprendre l’importance de la sécurité dans ce contexte complexe.
Dans mon rôle d’« Information Security Officer », l’absence de lien hiérarchique direct avec les projets que j’accompagne rend la situation encore plus complexe. L’amélioration de la sécurité repose sur une approche pédagogique et pragmatique, avec parfois une certaine fermeté. Je m’appuie sur mon expérience pour adapter mes messages et légitimer mes conseils.
Quelle est la leçon la plus marquante que tu retiens de carrière jusque là ?
« Patience et longueur de temps font plus que force ni que rage » extrait de la fable de Jean de La Fontaine, Le Lion et le Rat.
La patience est essentielle pour convaincre, surtout sans lien hiérarchique avec les équipes. La pédagogie et l’explication sont les meilleurs atouts pour faire évoluer les choses. Les développeurs, chefs de projet et concepteurs ont souvent d’autres priorités que la sécurité, et il est nécessaire de répéter les démarches pour obtenir des résultats.
Le jargon de la sécurité peut également être un obstacle. Il est donc important d’adapter le discours à l’interlocuteur, qu’il s’agisse d’un juriste, d’un chef de projet, d’un développeur ou même d’un commercial, pour faire comprendre les enjeux spécifiques à chacun. Par exemple, les juristes saisissent bien l’importance des manquements contractuels, tandis qu’avec les développeurs, il s’agit d’expliquer les engagements pris et les bonnes pratiques à adopter.
As-tu une anecdote mémorable à partager depuis que tu exerces en tant qu’Information Security Officer ?
J’ai rejoint l’équipe sécurité SBS à temps plein à l’automne 2020, juste avant la crise Cyber du mois d’octobre. Ce fût un baptême du feu qui a duré plusieurs semaines. J’ai beaucoup appris et je me suis fait beaucoup de nouvelles relations dans le groupe et au-delà !
Envie de rejoindre l’aventure SBS (ex-Sopra Banking Software) ? Découvrez toutes nos offres d’emploi sur notre page Carrière en cliquant sur ce lien.