Interviews

Raphael Reiß, RSSI du groupe Vaillant : « Un RSSI moderne doit faire plus que gérer les risques technologiques »

Raphael Reiß, RSSI du Groupe Vaillant, industriel allemand du chauffage. (Photo Groupe Vaillant)

Le RSSI du Groupe Vaillant, industriel allemand du chauffage, Raphael Reiß décrypte les enjeux pour lui et ses pairs, liés à la complexification des attaques ou à la réglementation.

PublicitéCIO Allemagne : Le secteur de l'énergie est de plus en plus ciblé par les cybercriminels. Les experts et l'Office fédéral allemand de la sécurité des technologies de l'information (BSI) estiment que la protection dans ce domaine doit être considérablement renforcée. Quel est votre avis sur la situation actuelle en Allemagne ?

Raphael Reiß : Les tensions géopolitiques actuelles entraînent une hausse du niveau de menace. Cela affecte naturellement notre secteur, celui du chauffage, qui doit impérativement être mieux protégé. Le problème est que les attaques sont de plus en plus ciblées et complexes. Aujourd'hui, nous n'avons plus à faire à des gamins agissant depuis chez eux, mais à des cybercriminels professionnels et organisés. Leur objectif est de nuire à l'entreprise ou à l'économie du pays visé.

De plus, le ticket d'entrée pour le déploiement d'attaques contre les entreprises et la supply chain est abaissé par l'utilisation de intelligence artificielle. Le risque de fraude au sein de l'entreprise est bien plus faible qu'auparavant. L'IA facilite par exemple la rédaction d'e-mails d'hameçonnage ciblés ou le développement de logiciels malveillants, des tâches qui exigeaient auparavant des efforts considérablement plus importants.

Comment réagissez-vous face à cette situation changeante ? Comment protégez-vous actuellement votre entreprise contre les cyberattaques ?

Nous privilégions une approche holistique de la sécurité de l'information. Nous examinons en profondeur chaque aspect du sujet et nous déployons une démarche multicouche avec à la fois des mesures de sécurité préventives et réactives, afin de réagir rapidement et efficacement en cas d'urgence. Nous sommes toutefois conscients qu'aucune entreprise ne peut garantir une sécurité absolue. Par conséquent, il est essentiel de prendre également en compte la possibilité d'une attaque réussie.

Nous priorisons non seulement la sécurité de notre infrastructure informatique interne, mais aussi celle de notre production mondiale et des produits destinés à nos clients. Protéger nos clients finaux et respecter des normes de sécurité élevées sont nos priorités absolues, notamment face à la menace croissante des attaques par rançongiciel. Nous nous attachons à minimiser les risques de manière proactive et à garantir une confiance durable dans nos solutions.

Et du côté des employés ?

La cybersécurité commence par l'humain. Et avec l'envergure mondiale de Vaillant, c'est un aspect primordial de notre politique de sécurité. Notre approche holistique, articulée autour de quatre piliers, repose sur la sensibilisation via une formation complète de l'ensemble de nos collaborateurs, avec des méthodes allant de la gamification jusqu'à la formation pratique à la conformité. Nous abordons également des sujets liées à la sphère privée, comme l'hameçonnage via certains opérateurs de télécommunications ou entreprises de livraison, afin de renforcer la pertinence des formations et de favoriser un apprentissage durable.

PublicitéQuels sont les défis qui posent actuellement le plus de problèmes aux RSSI ?

Tout d'abord, le rôle du RSSI a profondément évolué ces dernières années. Auparavant, l'accent était mis principalement sur les aspects techniques et la sécurité opérationnelle. Aujourd'hui, l'alignement stratégique et les compétences en leadership sont devenus des qualités essentielles. Un RSSI moderne doit non seulement gérer les risques technologiques, mais aussi accompagner la direction, évaluer les risques opérationnels et intégrer la sécurité de l'information dans la stratégie d'entreprise.

De mon point de vue, les principaux défis actuels résident dans la mise en oeuvre des nouvelles exigences légales telles que NIS2, Dora et la loi sur la cyberrésilience. Il faut appréhender en priorité ce qui selon moi est devenu un véritable labyrinthe réglementaire, complexe qui doit être interprété avec pragmatisme et mis en oeuvre avec les ressources adéquates. En fin de compte, il ne s'agit pas seulement de garantir la conformité, mais d'accroître le niveau de sécurité dans toute l'entreprise afin de renforcer sa résilience.

Avons-nous trop de règles de sécurité ?

Je suis généralement favorable à l'uniformisation des normes, car elles renforcent la sécurité à la fois en Allemagne et en Europe. La difficulté réside dans la mise en oeuvre nationale : chaque pays interprète différemment la réglementation, ce qui crée une complexité considérable pour les entreprises comme la nôtre, actives à l'international.

Les législateurs à l'origine de la norme NIS2 n'ont pas réussi à élaborer des règles de sécurité uniformes et pragmatiques pour sa mise en oeuvre à l'échelle européenne. Bien que NIS2 ait été adoptée au niveau de l'UE, elle doit être transposée dans la législation nationale de chaque pays. De ce fait, chaque pays contribue à son interprétation. Les organisations opérant en Europe doivent donc prendre en compte l'ensemble des législations pertinentes dans leurs régions respectives. Garantir une procédure standardisée dans ce contexte complexifie encore la situation et exige une coordination importante.

Pourquoi tant d'entreprises ont-elles encore des difficultés avec l'implémentation de ces règles ?

Souvent, l'interprétation des réglementations manque de clarté. De nombreuses entreprises, notamment les PME, ignorent si elles sont concernées. À cela s'ajoutent des questions d'allocation des ressources : la mise en oeuvre doit-elle être réalisée en interne ou avec des partenaires externes ? Qui en est responsable : l'IT, le service conformité ou une équipe de sécurité dédiée ? De plus, on constate souvent un manque de maturité et de sensibilisation pour identifier où et quand stratégiquement embarquer la cybersécurité pour une implémentation efficace des normes. Cela freine la progression des projets et fait perdre un temps précieux aux entreprises. De plus, il n'existe pas une solution unique pour la mise en oeuvre de la réglementation. Je recommanderais aux entreprises d'analyser leur situation actuelle, de définir les premières étapes et de se lancer. Mon mot d'ordre : Agissez sans tarder !