LMi-MAG28 Dec - Flipbook - Page 14
ENTRETIEN
Fabrice BRU
président du Cesin
« L’EUROPE N’A PAS
À ROUGIR DE SA
RÉGLEMENTATION CYBER »
Président du Club des experts en sécurité de l’information et du numérique (Cesin),
qui rassemble 1 200 membres, depuis le début de l’année, Fabrice Bru livre son analyse
de l’évolution du poste de RSSI et des principales problématiques que celui-ci rencontre.
Par ailleurs directeur cybersécurité et architecture de la Stime (la DSI des Mousquetaires),
il prend le contrepied des voix critiquant les nombreuses réglementations européennes
sur le numérique. Interviewé lors des Assises de la sécurité (à Monaco, du 8 au 11 octobre),
Fabrice Bru y voit au contraire un atout pour l’écosystème européen des PME et ETI.
Propos recueillis par Reynald Fléchaux
Qu’est-ce qui vous marque dans l’évolution
du poste de RSSI au cours des cinq dernières
années ?
Fabrice Bru : L’évolution la plus marquante ne se situe
pas au niveau des grandes entreprises, mais des ETI et
PME. Ces dernières créent de plus en plus souvent des
postes de RSSI. Au Cesin, par exemple, on atteint un ratio
de 50% de PME et ETI parmi nos membres. C’est une
évolution très positive. Par ailleurs, la menace à laquelle
nous faisons face a beaucoup évolué, avec certains
acteurs qui sont en réalité des proxy d’Etats. Nous avons
réussi à créer des cellules d’investigation et de veille,
que l’on parle de CSIRT ou de CERT, pour en prendre
conscience. L’après Covid et le démarrage de la guerre en
Ukraine ont rendu cette menace très concrète. L’Ukraine
mène, depuis 2022, une guerre hybride, par exemple en
transformant en armes des drones civils ou en exploitant à des 昀椀ns militaires des systèmes de géolocalisation
grand public. En Europe occidentale, nous n’aimons pas
le mot guerre. Nous sommes pourtant entrés également
dans une forme de guerre hybride, avec une augmentation des attaques et un impact toujours plus important de celles-ci. Regardez ce qui s’est passé chez Jaguar
Land Rover (ndlr, voir page 24) ! J’observe aussi une spécialisation des attaques sur les environnements du retail,
14 / décembre 2025 / janvier / février 2026
comme l’a montré Mark & Spencers. Comme on avait eu
une focalisation sur le secteur hospitalier en 2022.
L’industrie et le retail ont un point commun :
des systèmes Legacy anciens déployés en usines
ou en magasins qui sont difficiles à partcher...
F. B. : Exactement. Et c’est d’ailleurs une autre évo-
lution que j’observe : la structuration de la cybersécurité industrielle. Au sein du Cesin, nous avons créé dès
2019 un groupe de travail sur le sujet. Nous étions six
à l’époque. Aujourd’hui, c’est une communauté de 80
personnes avec des événements dédiés. La structuration
de cet écosystème s’est accélérée avec le rapprochement
des environnements industriels et de l’IT traditionnelle.
Une des questions qui se pose au RSSI
aujourd’hui concerne les risques associés aux
prototypes ou applications d’IA qui fleurissent
dans les entreprises. Est-ce que le RSSI est
positionné au bon niveau pour encadrer ces
initiatives ?
F. B. : De nombreuses questions se posent en effet,
et elles ne vont aller qu’en se renforçant avec l’arrivée
des agents : la question de la donnée, de l’identité, de la
