Benoit Fuzeau, président du Clusif - « Notre responsabilité de RSSI est d'expliquer clairement les enjeux de NIS 2 »
Silicon a interrogé Benoit Fuzeau, président du Clusif et RSSI de la Casden Banque Populaire, sur son approche des enjeux portés par NIS 2, la directive européenne qui doit faire passer la cybersécurité au rang de priorité dans les entreprises.

Est-ce que NIS2, avec ses potentielles implications financières, va enfin faire comprendre aux directions générales que la cyber n'est pas une dépense mais un investissement ?
Benoit Fuzeau - Ce sont les dirigeants qui débloquent les budgets. Notre responsabilité est d'expliquer clairement les enjeux. Si je vous parle du système d'information et que je vous dis : il y a 3000 vulnérabilités, il est obsolète à 40% et on ne maîtrise pas les identités... je ne suis pas sûr que vous compreniez tout. Par contre, si je vous dis qu'une application est dangereuse et qu'elle risque de faire perdre 2 millions €, le discours n'est pas entendu de la même façon.
Comment vos collègues RSSI abordent-ils NIS2 ? Plutôt comme un projet technique ou organisationnel ?
Benoit Fuzeau - Cela dépend de la maturité de l'entreprise et du positionnement. Le métier de RSSI touche à la fois à la gouvernance et à la technique. Personnellement, venant d'une école de commerce, je voulais montrer qu'on peut devenir RSSI sans être ingénieur et promouvoir le partage d'informations dans notre communauté.
Est-ce que votre recommandation est de monter un outil de gestion de crise, comme une "boîte à pharmacie cyber" qu'on espère ne pas utiliser mais qui est là en cas de besoin ?
Benoit Fuzeau - La gouvernance est effectivement un bon moyen. Il faut faire comprendre à nos dirigeants la nécessité d'investir, que ce soit en ressources humaines, en solutions ou en gouvernance. Concernant l'analyse des risques, nous voyons que c'est complexe à mettre en oeuvre car le niveau de compréhension varie. La gestion de crise est cruciale car nous savons tous que nous serons attaqués un jour. Le défi est aussi de définir clairement ce qu'est un risque cyber, car même entre professionnels, nous n'avons pas tous la même définition.
Lire aussi : NIS 2 : les nouveaux défis de la conformité cyber
Est-ce que NIS2 va changer les choses dans la collaboration entre le DSI et le RSSI ?
Benoit Fuzeau - J'espère. Nous travaillons déjà avec la DSI, avec plus ou moins de succès. Il faut se rappeler que nous travaillons tous pour la même entreprise, avec un objectif commun : générer plus de résultats. À la Casden, nous finançons une thèse sur comment les indicateurs cyber peuvent changer le comportement du middle management. Un des problèmes avec la DSI est que nous n'utilisons pas le même vocabulaire et n'avons pas la même approche : eux doivent assurer la livraison, nous devons protéger l'information.
Retrouvez l'intégralité de l'interview de Benoit Fuzeau dans la vidéo ci-dessous interrogé dans le cadre de la MasterClass Silicon Cybersécurité le 7 novembre 2024.
Sur le même thème
Voir tous les articles Cybersécurité