Date
18.03.2025
Qui êtes-vous et dans quelle organisation assumez-vous le rôle de CISO ?
Je m’appelle Wesley Venstermans. J’ai 47 ans, je suis marié depuis de nombreuses années et fier père d’une fille adolescente. En dehors du travail, j’aime l’action, que ce soit sur les circuits de course ou partout où l’adrénaline coule à flots. En parallèle, je trouve du réconfort dans une partie d’échecs, une bonne randonnée en pleine nature ou une soirée au théâtre.
Au sein d’Arxus, un fournisseur de services managés (MSP) belge situé dans la région d’Anvers, j’assume le rôle de CISO. Je le fais depuis SecWise, la filiale spécialisée en sécurité cloud d’Arxus, où je dirige le département Cyber Security Advisory. Arxus propose une large gamme de services et solutions en cloud public et privé.
D’où vient votre intérêt pour la sécurité ?
La sécurité a toujours été un fil conducteur dans ma vie. Dans ma vingtaine, j’ai dirigé une unité de reconnaissance dans l’armée belge, y compris lors de missions à l’étranger dans les Balkans et en Afrique. La sécurité était alors une priorité absolue.
Plus tard, en travaillant pour la police, j’ai intégré la brigade de recherche et dirigé plusieurs équipes spécialisées dans des enquêtes criminelles et judiciaires. J’y ai découvert des techniques d’investigation avancées, telles que la surveillance, les écoutes téléphoniques et l’analyse médico-légale des appareils mobiles. C’est cette dernière qui a éveillé mon intérêt pour la cybersécurité et la protection de l’information, une passion que je cultive depuis.
Le rôle de CISO est très varié. Quelles missions vous passionnent le plus ?
Ce qui me motive le plus, c’est d’être un facilitateur et un inspirateur. J’aime contribuer à la croissance de l’organisation, donner aux employés accès aux dernières technologies et innover en tant que « first mover » dans des domaines émergents. Rassembler des personnes et des idées pour créer de nouvelles solutions sécurisées ou réaliser des projets jugés impossibles est incroyablement motivant.
Tout cela avec un objectif clair : renforcer la résilience de l’organisation et de ses clients.
Sur quoi travaillez-vous principalement en tant que CISO ?
En ce moment, je me concentre sur la conformité réglementaire et le maintien de nos différentes certifications ISO. Ces deux dernières années, nous avons consacré beaucoup d’efforts à notre mise en conformité avec la directive NIS 2. Cette démarche ne repose pas uniquement sur des obligations légales, mais aussi sur une motivation intrinsèque : devenir une organisation plus robuste et plus mature, avec un accent fort sur la sécurité de l’information et la cybersécurité.
Quelles qualités sont essentielles pour un CISO ?
Un CISO doit être capable de penser de manière critique et analytique. Il est essentiel de pouvoir comprendre rapidement des situations complexes, même sous pression. Une bonne communication est également cruciale : il faut savoir dialoguer avec des équipes techniques autant qu’avec des parties prenantes du business.
Le leadership joue aussi un rôle clé. Il est indispensable de garder une vision stratégique et de ne pas se laisser submerger par les urgences du quotidien. Enfin, l’adaptabilité est essentielle. La réalité évolue constamment, et il faut pouvoir ajuster rapidement ses stratégies sans perdre de vue l’objectif global.
Le domaine de la sécurité évolue rapidement. Comment restez-vous à jour ?
Il est effectivement difficile de tout suivre, mais heureusement, je ne suis pas seul. Je peux compter sur une équipe solide chez Arxus et SecWise, avec des experts en gouvernance, conformité, réponse aux incidents, renseignement sur les menaces, sécurité cloud, DevSecOps, architecture et IAM.
Mon réseau professionnel et des initiatives comme les sessions DPI Stay Tuned m’aident également à rester informé. La collaboration et le partage des connaissances sont indispensables.
Obtenir des ressources et du soutien du management est un défi courant pour les CISO. Comment y parvenez-vous ?
Pour moi, tout repose sur une communication claire. J’explique les risques et les bénéfices pour l’organisation sans tomber dans le catastrophisme. J’assure des interactions régulières avec la direction, que ce soit via nos structures de gouvernance formelles ou nos réunions hebdomadaires.
Heureusement, notre management est très impliqué et comprend l’importance de la cybersécurité. Leur bagage technique joue probablement en ma faveur. Le plan stratégique que j’ai présenté six mois après mon arrivée a été approuvé à l’unanimité et sert encore de base à notre approche, bien que nous l’ayons déjà ajusté plusieurs fois. Grâce à cette collaboration, nous pouvons continuer à progresser ensemble.
Quelles sont, selon vous, les principales menaces actuelles auxquelles un CISO doit faire face ?
La liste classique est longue : l’identité comme nouvelle frontière de sécurité, les attaques de phishing sophistiquées menées par des botnets alimentés par l’IA, les groupes APT motivés par des enjeux géopolitiques, l’informatique quantique menaçant le chiffrement, les menaces internes et la pression réglementaire croissante de l’UE, pour ne citer que quelques exemples.
Mais ce que je tiens surtout à souligner, c’est une menace souvent négligée : la santé mentale du CISO. Selon le « CISO 2024 Burnout Report », plus de 80 % des CISO ressentent un stress intense. Le manque de soutien du management, la charge de travail élevée et les ressources limitées en sont les principales causes. Cela a un impact direct sur leur efficacité et leur bien-être.
Si nous voulons que les CISO contribuent à la résilience des organisations, nous devons d’abord nous assurer qu’ils restent eux-mêmes résilients.
Quel conseil donneriez-vous à quelqu’un qui débute en tant que CISO ?
Prenez le temps de bien comprendre les attentes de votre organisation et alignez-les avec votre propre vision. Établissez des accords clairs avec la direction et assurez-vous d’avoir un accès direct au plus haut niveau décisionnel. Un bon modèle de gouvernance peut vous y aider.
Communiquez et, surtout, écoutez. L’écoute est essentielle. En écoutant votre équipe, les collaborateurs sur le terrain, vos clients et partenaires, vous obtiendrez des insights précieux et resterez connecté à la réalité.
Enfin, soyez authentique. Chaque CISO a son propre style ; ne cherchez pas à rentrer dans un moule. Ce n’est qu’en restant fidèle à vous-même que vous pourrez remplir ce rôle avec succès.
Mon conseil n’est qu’un point de vue. Sa valeur dépendra de ce que le lecteur en retirera.
Date
18.03.2025
