La gestion du risque cyber ne se limite plus aux infrastructures internes. Fournisseurs, interconnexions, dépendances technologiques et souveraineté numérique redéfinissent la gouvernance des grandes organisations.
Patrick Prosper, RSSI Groupe chez Groupama, partage son retour d’expérience à L’observatoire de la tech, dans un entretien réalisé lors de Cyber Show Paris 2026.
Quels nouveaux enjeux se sont imposés récemment dans votre périmètre ?
Patrick Prosper : Deux sujets se détachent clairement. Le premier est l’intelligence artificielle, qui accélère l’automatisation et apporte des capacités supplémentaires. Le second concerne la souveraineté. Ce thème prend de l’ampleur, même s’il reste encore à définir précisément.
Nous sommes en train de poser les concepts et d’écrire notre doctrine. Il est trop tôt pour considérer que le cadre est stabilisé. La souveraineté doit être clarifiée avant de devenir pleinement opérationnelle, notamment dans un groupe présent en France et dans plusieurs entités européennes. Nous avançons donc avec méthode.
Comment travaillez-vous concrètement sur cette notion de souveraineté ?
Nous ne travaillons pas seuls, mais avec une partie de l’écosystème français, notamment via le Campus Cyber. Nous échangeons avec nos pairs, qui rencontrent les mêmes interrogations. Cette approche collective est importante, car la souveraineté ne se résume pas à une question technique. Elle influence les choix stratégiques, les relations avec certains acteurs technologiques et, à terme, nos orientations d’architecture. Avant de prendre des décisions structurantes, il est indispensable d’aligner les concepts et la doctrine.
Quels sont aujourd’hui les risques les plus difficiles à maîtriser ?
Le risque le plus complexe concerne ce qu’on appelle la « supply chain » : nos prestataires, fournisseurs et sous-traitants. Les grands groupes ont investi de manière significative dans leurs dispositifs de protection. Nous avons structuré nos équipes, nos outils et nos processus. En revanche, nous travaillons également avec des acteurs de taille plus modeste qui n’ont pas toujours le même niveau de protection.
« Le risque tiers devient central pour les grands groupes »
Cette asymétrie crée une exposition indirecte. Le risque ne se limite plus au système d’information interne. Il provient des interconnexions, des accès distants ou des services externalisés. Pour un groupe comme le nôtre, la gestion du risque tiers devient centrale. Si un incident survient via un fournisseur, l’impact opérationnel sera identique à un incident interne.
Comment encadrez-vous ce risque ?
Nous travaillons sur des contrôles spécifiques visant nos fournisseurs de premier rang. L’objectif est de mieux maîtriser ce risque en amont. Il ne s’agit pas uniquement d’un encadrement contractuel. Nous intégrons ces partenaires externes dans notre cartographie globale des risques. Cela nécessite un encadrement renforcé et une évaluation adaptée au niveau de criticité du service rendu. L’enjeu est d’élargir le périmètre de la cybersécurité au-delà de nos propres frontières organisationnelles.
Comment votre organisation interne soutient-elle cette stratégie ?
Nous sommes organisés en filière. En tant que RSSI Groupe, j’assure la coordination des RSSI en France et dans nos sept structures internationales, essentiellement européennes. Cette organisation permet d’assurer une cohérence globale tout en tenant compte des spécificités locales. Au niveau groupe, nous portons également les fonctions opérationnelles. Le CSIRT (Computer Security Incident Response Team, ndlr) est intégré à mes équipes, tout comme les spécialistes des technologies de cybersécurité.
« La cybersécurité sort des frontières de l’entreprise »
Je pilote l’ensemble avec le budget associé. Cette centralisation offre une vision consolidée et une capacité d’action directe en cas d’incident. La coordination avec la DSI est étroite. Si un incident survenait, les équipes IT seraient mobilisées avec nous. Nous avons un intérêt commun évident à faire progresser en permanence nos dispositifs de protection.
Comment voyez-vous évoluer le rôle du RSSI dans ce contexte ?
Le métier évolue vers davantage de management, d’évaluation des risques et de stratégie. Le rôle devient moins centré exclusivement sur la technologie. Je consacre de plus en plus de temps aux échanges avec la direction générale, à l’accompagnement des projets aux côtés des responsables réseau, au management des équipes…
La responsabilité porte à la fois sur la maîtrise du risque cyber et sur la résilience numérique opérationnelle. À mesure que nos pratiques se structurent et que nos exigences augmentent, nos outils et nos processus doivent être adaptés. La gouvernance ne peut pas rester figée.
À lire également : IA, comment Groupama adapte le pilotage du risque cyber ?
