Date
17.10.2025
Dans cette section, nous voulons mettre un CISO à l’honneur et ce, sur la base d’une poignée de questions posées par Data Protection Institute (DPI).
Luc Van Gompel, CISO chez Lantis s’est fait ici un plaisir d’y répondre pour vous.
Interview
Qui êtes-vous et dans quelle organisation assumez-vous le rôle de CISO ?
Je m’appelle Luc Van Gompel. Je suis actif dans l’informatique depuis plus de 4 décennies dans le cadre de divers rôles et ce, pour différents secteurs. Je suis vraiment avide d’apprendre de nouveaux sujets et aime relever des défis qui ajoutent de la valeur pour une organisation. Actuellement, je suis en train d’aider la société Lantis à accroître sa cyber-résilience et sa conformité à la réglementation européenne NIS2. Lantis est l’organisation qui conduit et réalise la liaison Oosterweel à Anvers.
D’où vient votre intérêt pour la matière de la sécurité informatique ?
J’ai été actif dans le domaine de l’informatique dans le monde de la banque et de l’assurance pendant une grande partie de ma carrière. Dès lors, en quelque sorte, j’ai toujours été en contact avec le domaine de la sécurité informatique. Compte tenu de l’augmentation des cybermenaces auxquelles les organisations sont confrontées aujourd’hui, de la technologie de plus en plus complexe et des réglementations de plus en plus strictes en matière de cybersécurité, le thème de la sécurité informatique n’a jamais été aussi passionnant et stimulant qu’aujourd’hui. La matière de la sécurité informatique est, de plus, multidisciplinaire et réellement imbriquée dans tous les aspects liés à l’automatisation de nos entreprises et de nos gouvernements. Pour quelqu’un (comme moi) qui aime la diversité, le domaine de la sécurité informatique est une thématique de rêve, et ce, même si, malheureusement, cette expression est souvent en décalage avec sa perception par nos entreprises. C’est pourquoi, cela reste un défi continu, pour nous, de faire prendre conscience aux entreprises de réaliser des efforts dans le domaine de la sécurité informatique.
Le rôle du CISO peut être extrêmement polyvalent. Quelles sont les tâches ou les responsabilités qui vous intéressent le plus dans votre rôle de CISO ?
Je m’intéresse principalement aux tâches de gouvernance. La sécurité informatique est une problématique complexe. Les organisations ont, aujourd’hui, besoin d’outils de contrôle simples qui, d’une part, leur indiquent dans quelle mesure elles travaillent ou non en toute sécurité et, d’autre part, leur disent ce qui doit être fait pour accroître leur cyber-résilience. Toutefois, pour ces organisations, le défi d’après est de déterminer précisément quelles sont les mesures de sécurité supplémentaires (ainsi que leurs coûts) qui peuvent les amener à un niveau de résilience qui serait conforme à leur appétit pour le risques. Un vrai challenge, non ?
Qu’est-ce qui vous préoccupe le plus actuellement en tant que CISO ?
À l’heure actuelle, je suis occupé prioritairement avec la mise au point de la politique de sécurité informatique de l’organisation ainsi que par son intégration par l’organisation en question. Une fois cet exercice terminé, nous aurons ainsi une bonne base sur laquelle s’appuyer. La rédaction (et son intégration par l’entreprise) d’une bonne politique de sécurité informatique est un élément fondamental pour toute entreprise qui veut disposer d’une bonne sécurité informatique.
Quelles sont les qualités indispensables pour un bon CISO ?
Il est essentiel pour un bon CISO de rapidement comprendre ce qui est essentiel pour son organisation. Il doit aussi être capable de faire le lien avec les mesures de cyber-résilience adéquates à mettre en place ainsi que de pouvoir élaborer un plan d’amélioration réaliste. Tout bon CISO devrait, en outre, être capable de comprendre en profondeur des discussions très techniques, de transmettre des messages et des informations techniques au niveau managériale de son entreprise et ce de manière compréhensible. Il devrait aussi être capable de se plonger dans des discussions ardues sur les risques liés aux activités industrielles de son entreprise. De plus, nous nous devons de garder les yeux et les oreilles bien ouverts sur ce qui se passe dans le monde extérieur en ce qui concerne le domaine de la cybersécurité et des nouvelles évolutions technologiques.
A ce sujet, les évolutions se succèdent rapidement en matière de sécurité informatique. Comment faites-vous, en tant que CISO, pour vous tenir au courant de ces évolutions ?
Lorsque vous débutez dans le domaine de la cybersécurité, vous pouvez, avec une bonne formation en la matière, acquérir relativement rapidement des connaissances de base sur le sujet. Vous pourrez ainsi rapidement acquérir par et pour vous-même une vision plus ou moins correcte de ce qui se passe dans ce domaine. Cela vous aidera énormément à voir où vous devez approfondir vos connaissances par la suite.
Je trouve beaucoup d’informations pertinentes sur Internet et grâce aux réseaux sociaux mais également dans un bon ouvrage sur le sujet (où se trouve, je pense, l’information la plus pertinente). Toutefois, si vous voulez zoomer sur un certain sujet en peu de temps, suivre une formation ou un séminaire reste toujours une excellente idée. L’avantage de suivre ces formations et ces séminaires est que vous pouvez poser vos questions et échanger des idées avec des personnes travaillant dans le même domaine que vous.
J’ai découvert récemment que la lecture des normes et des standards industriels peut également être très instructive. En effet, vous vous y familiarisez de manière plus directe avec des idées et des techniques telles qu’elles ont été formulées par des experts internationaux de la matière. Les mises à jour de ces normes et standards sont généralement formulées de manière claire afin que vous puissiez rapidement les comprendre.
Il est connu qu’il reste difficile pour le CISO d’obtenir les ressources et le soutien nécessaires de la direction pour pouvoir réaliser l’ensemble de ses activités. Un conseil en la matière ?
L’Europe s’est donné un objectif réellement ambitieux par l’intermédiaire de la directive NIS2, texte qui doit être obligatoirement transposé dans l’ensemble des États membres de l’Union européenne (UE). Les fournisseurs de services critiques actifs dans l’UE devront être conformes à la directive NIS2. Ces fournisseurs devront dès lors automatiquement investir dans leur sécurité informatique pour obtenir (au moins) leur certificat de conformité à la directive NIS2. En soi, cela ne garantit aucunement que toutes ces entreprises seront soudainement très « cyber » résistantes, mais cela jette des bases solides pour une véritable « cyber » résilience future, ce qui a déjà une certaine valeur.
Une communication sur la sécurité informatique efficace et pertinente dans votre organisation permettra aussi d’ouvrir les yeux à beaucoup de vos collègues. Cette communication adéquate liée à cette prise de connaissance sur l’importance de la sécurité informatique peut, dans le contexte de NIS2, créer une spirale positive à long terme, ce qui permettra de continuer à investir dans la cybersécurité.
Nous conseillons fortement aux organisations qui n’entrent pas dans le champ d’application de la directive NIS2 et qui n’ont pas également à se conformer à d’autres réglementations dans le domaine de la cybersécurité de cartographier précisément et rapidement leurs risques commerciaux ainsi que leur niveau de sécurité actuel. Ensuite, ce sera aux décideurs de ces organisations de voir si ces risques et niveaux de sécurité sont réellement en adéquation avec ceux généralement acceptés par leur organisation. Il leur s’agira d’analyser et de décider si de l’argent et du temps ne devraient pas être mis à disposition de certaines personnes pour accroître la cyber-résilience de leur entreprise.
Quelles sont, à l’heure actuelle et dans le domaine de cybersécurité, les menaces les plus importantes ?
Certaines menaces restent générales, mais d’autres dépendent du secteur ou de l’organisation dans lequel vous travaillez comme CISO.
Les développements technologiques récents comme les outils d’IA permettent également aux pirates informatiques de mettre au point de nouvelles menaces et attaques informatiques. Les pirates informatiques ont aussi développés des attaques via des techniques d’ingénierie sociale. Ces attaques permettent de manipuler des personnes dans le but de leur soustraire de l’argent, un accès informatique ou simplement une information sensible ou confidentielle. Des thèmes comme le cloud souverain et l’informatique quantique sont également à suivre car ils pourraient permettre l’émergence de nouvelles menaces.
Enfin, nous aimerions ajouter que, de nos jours, des menaces plus spécifiques ou plus sectorielles peuvent avoir comme source l’instabilité géopolitique actuelle et une certaine forme d’hacktivisme.
Quels conseils donneriez-vous aux personnes qui viennent de commencer dans une organisation en tant que CISO ?
C’était, je pense, une question de l’examen CISO, non ? 😊
Ma réponse était celle-ci : tenter de savoir si la direction de votre organisation serait prête à investir dans une meilleure cyber-résilience, faites-vous votre propre opinion de la situation actuelle pratique de votre organisation sur ce sujet, faites-en une évaluation et proposez un plan d’action.
Dans la formation CISO que j’ai suivie, j’ai appris que de nombreux CISO jettent l’éponge dans les 18 mois de leur engagement car ils ont eu le sentiment de « devoir mener des batailles perdues d’avance » sans aucune perspective d’amélioration. Leurs propositions et leurs plans d’amélioration n’ont pas été acceptés par leur direction qui ne voulait aucun investissement en la matière, préférant accepter les risques. Mon second conseil serait de présenter les risques et les ressources nécessaires pour atténuer les risques aussi clairement que possible et de les relier aux activités que l’organisation réalise.
"Présentez les risques et les ressources nécessaires pour atténuer les risques aussi clairement que possible et de les relier aux activités que l’organisation réalise.".
Date
17.10.2025
