Qu’est-ce qui t’a motivé à suivre le CAS « Cybersecurity für Führungskräfte » à la HSG Saint-Gall ?
Andreas Ressnig: D’une part, ma nouvelle fonction de Chief Compliance Officer (CCO) au sein de GLAUX GROUP. Dans le cadre de notre certification ISO 27001, je me pose fortement la question suivante : de quels éléments avons-nous besoin pour pouvoir réellement mettre l’échelle en matière de cybersécurité dans l’entreprise ?
Actuellement, beaucoup de choses reposent sur le rôle du CISO – je voulais comprendre comment nous pouvions répartir ces responsabilités plus largement et ce que la protection des données signifie concrètement dans une entreprise de plus grande taille. Le format m’a également convaincue : trois fois une semaine complète sur place, très compact. C’était certes intensif, mais j’ai pu plonger entièrement dans le sujet et me concentrer exclusivement sur la sécurité pendant cette période.
Qu’est-ce que tu retiens personnellement de cette formation ?
J’ai pu échanger avec des personnes occupant des fonctions très similaires, confrontées à des défis comparables – mais dans des marchés et des secteurs très différents. Ces échanges ont été extrêmement précieux.
Les intervenant·e·s venaient tous de la pratique, par exemple d’Ikea au niveau mondial. Ils ont apporté des expériences et des idées concrètes que je peux transposer directement à notre réalité chez GLAUX GROUP. Globalement, j’ai énormément appris, je sais mieux aujourd’hui où nous nous situons en comparaison, et j’ai gagné en assurance pour mon quotidien professionnel.
Quels sont les trois points du CAS qui sont particulièrement pertinents pour GLAUX GROUP et nos client·e·s ?
Premièrement : nous avons affiné nos obligations de notification dans le cadre de la LSI (Loi sur la sécurité de l’information, ISG) – c’est‑à‑dire défini plus clairement quand et comment nous devons réagir et qui nous devons informer.
Deuxièmement : nous avons précisé les rôles et responsabilités autour de la sécurité de l’information et de la conformité. Qui porte quelle responsabilité, qui décide de quoi, qui communique en interne et en externe ?
Troisièmement : dans le domaine du risk management, j’ai recueilli de nombreux éléments sur la manière dont nous pouvons identifier, évaluer et prioriser les risques de façon plus structurée – et ainsi devenir plus transparents et plus fiables pour nos client·e·s.
Que devraient absolument comprendre les cadres aujourd’hui au sujet de la cybersécurité ?
Tu peux déléguer beaucoup de choses – mais pas la responsabilité. Au final, c’est la personne dirigeante qui est tenue pour responsable. Cela signifie que tu dois être conscient·e des risques résiduels que ton entreprise accepte et que tu dois définir l’« appétit pour le risque » de ton organisation et l’encadrer par des lignes directrices. Nous documentons de manière systématique les risques ou exceptions que nous acceptons en connaissance de cause. Et je suis convaincue que plus les rôles responsables de la sécurité sont positionnés haut dans l’organisation, mieux ils peuvent assumer leur responsabilité – sur le plan professionnel, mais aussi avec la force de conviction nécessaire.
