Il y a deux ans, vous avez décidé de rejoindre Victor Buck Services après 21 ans passés dans le secteur aérien. Quelles ont été vos premières impressions en arrivant dans l'entreprise ?

J'ai découvert une organisation saine et hautement collaborative. Et des équipes hautement qualifiées et dévouées - des facteurs essentiels pour faire du bon travail. Mon premier défi a été de m'intégrer rapidement dans la culture de l'entreprise, de comprendre les processus et la dynamique internes et de saisir les complexités associées aux obligations réglementaires de VBS liées à notre statut de PSF de support. Je me suis retrouvé dans une situation d'apprentissage au sein d'un environnement totalement nouveau. Ce fut une période passionnante qui se poursuit encore aujourd'hui.

Quelles ont été vos premières actions après votre nomination ?

J'ai décidé de ne pas passer par une période d'observation et de lancer immédiatement plusieurs projets dès mon arrivée. Par exemple, la réinternalisation des compétences et des ressources clés, l'introduction d'outils pour un meilleur contrôle des coûts, la renégociation des contrats en cours, le changement de certaines pratiques RH, la reprise du contrôle des applications et de l'infrastructure existantes, le lancement de projets de transformation de notre architecture logicielle, et le lancement des premières initiatives pour l'adoption de services Cloud. Mon objectif était de cultiver rapidement une culture du changement et du leadership au sein de l'organisation.

Quelles sont vos responsabilités en tant que CIO ?

Je considère que j’ai deux casquettes, que je manie au quotidien. En tant que directeur informatique, je suis chargé, avec mes équipes, d'assurer l'excellence de nos opérations informatiques en mettant en œuvre des initiatives qui répondent aux besoins de nos clients, à leurs attentes et qui contribuent à l'avenir de notre entreprise.

Depuis que notre CEO a mis en place notre comité exécutif en 2023, je fais également partie de ce comité en tant que CIO. À ce titre, je travaille sur des sujets transverses qui ne sont pas directement liés à l'informatique, mais qui profitent à l'entreprise dans son ensemble. Je me souviens d'une anecdote qui illustre ce double rôle : lors d’un processus budgétaire, un collègue m'a demandé si j'avais bien défendu les intérêts du département informatique. J'ai répondu que oui, en tant que responsable de l'informatique, je l'avais fait. Mais cependant, en tant que membre du comité exécutif, j’avais dû également arbitrer certaines décisions.

Compte tenu de l'évolution des initiatives stratégiques et de l'importance de la protection des opérations, quels sont les enjeux en matière de cybersécurité au sein de VBS ?

Chez VBS, la cybersécurité est fondamentale pour nos opérations, notamment en raison de la nature sensible des données qui nous sont confiées par nos clients. Nous gérons l'impression, la distribution et la numérisation de documents confidentiels - y compris des informations financières et des dossiers de patients - dans des secteurs tels que la banque, les fonds d'investissement et la santé. La cybersécurité, et plus largement la sécurité de l'information, est au cœur de toutes les décisions et actions que nous prenons. Nos responsables de la sécurité de l'information sont des ressources clés de notre entreprise. Ils sont régulièrement consultés et travaillent en étroite collaboration avec tous leurs collègues pour assurer la sécurité de nos données et de celles de nos clients.

Nous investissons en permanence dans des solutions visant à améliorer notre cybersécurité. Par exemple, nous avons récemment adopté une approche "security by design" et intégré un coding sécurisé automatisé dans nos cycles de développement à l'aide d'un nouvel outil de test dynamique de la sécurité des applications (DAST). Cela nous permet d'évaluer en permanence les vulnérabilités d'un point de vue externe. De plus, le déploiement d'une nouvelle solution EDR et d'un système KMS de pointe pour la rotation des clés de cryptage souligne notre engagement en faveur de mesures de sécurité robustes. Nous avons également réussi à réduire notre surface d'attaque grâce à un outil de gestion des accès privilégiés et à un outil d'évaluation de la configuration (CIS-CAT).

Tous ces exemples soulignent l'importance de notre stratégie et de nos investissements en matière de sécurité. Et cela paye ! Nous avons été l'une des premières entreprises au Luxembourg à obtenir la nouvelle certification ISO 27001:2022 en 2023.

Vous avez mentionné les défis associés aux réglementations auxquelles VBS doit se conformer. Pourriez-vous nous en dire plus sur l'impact que cela a sur votre travail quotidien ?

Chez VBS, nous décrivons souvent nos opérations comme étant en "audit permanent". Avec la CSSF, OSPAR, ISO 27 001, ISO 22 301, les exigences en matière de due diligence, les audits des clients et les audits internes, VBS opère dans un environnement très réglementé. Au-delà des mesures strictes et du haut niveau de gouvernance que nous nous engageons à respecter, la gestion de ces phases d'audit représente un effort important pour une entreprise de notre taille, avec des coûts importants qui ne cessent de croître.

Malgré les efforts qu'elles requièrent, ces réglementations et certifications sont essentielles pour nos clients et constituent un atout majeur pour VBS. Elles soulignent non seulement notre engagement en matière de sécurité et de confidentialité, mais renforcent également notre réputation de partenaire fiable et digne de confiance.

Dans le cadre de nos activités quotidiennes, j'aimerais beaucoup qu'une IA puisse rationaliser nos réponses aux auditeurs et aux régulateurs en tirant des enseignements de nos processus existants !

Lisez l sur le site web de Victor Buck Services.