GUBERNA Directors Sparkle

GUBERNA Directors Sparkle - Alex Driesen

13-01-2022

Être administrateur dans des PME technologiques et comment aborder la question de la cybersécurité dans les réunions du conseil d'administration de toute organisation ?

Son travail au sein d'entreprises technologiques a éveillé l'intérêt d'Alex Driesen pour la coopération avec les start-ups et leur gestion adéquate. Son parcours est une combinaison d'informatique, de gestion et de passion pour la stratégie et la bonne gouvernance. Lynn Paine, professeure de gouvernance d'entreprise à Harvard, a été une grande source d'inspiration pour lui.

Pour 2022, les thèmes suivants devraient être à l'agenda des administrateurs : la guerre des talents, l'ajustement permanent de la création de valeur, et de sa durabilité, dans un monde VUCA, une attention accrue aux sujets ESG et, plus que jamais, l’obligation de mettre en place une solide politique en matière de cybersécurité.

La gouvernance d'entreprise classique vise souvent à préserver la valeur, alors que dans les startups, toute la valeur doit encore être créée.

Tant que vous gardez à l'esprit le but (la "finalité", le "why"), la bonne gouvernance se résume souvent à du bon sens, complété par suffisamment de cadres théoriques et d'expérience pour considérer la réalité sous différents angles, et suffisamment de diversité pour encore élargir cet angle de vue.

Tous ces thèmes sont clairement abordés dans l'entretien que nous avons eu avec Alex Driesen pour GUBERNA Directors Sparkle.

Alex Driesen
CEO at Toreon | Cybersecurity and Privacy - let us do the worrying AND mentor your teams

www.linkedin.com/in/alexdriesen
GSM     +32 478 401 404
Email    alex.driesen@oxygen2.co

Alex Driesen

Pour l’entretien GUBERNA Directors Sparkle de janvier 2022, j’ai l’honneur de m’entretenir avec Alex Driesen, CEO, membre de divers conseils consultatifs et administrateur.  J’ai rencontré Alex lors de la formation GUBERNA Director Effectiveness en 2017 et c’est avec un grand plaisir que je l'interroge sur son expérience depuis lors. Alex est également bien placé pour donner quelques conseils aux administrateurs de start-ups et de PME.

Alex, puis-je vous demander de vous présenter brièvement et de nous dire dans quel contexte et sous quelle inspiration vous acceptez des mandats d’administrateur ?

Mon travail sur le terrain au sein d'entreprises technologiques (Barco, Zetes, Nallian) a éveillé mon intérêt pour la coopération avec les start-ups et leur gestion adéquate. Uest, Prosteps/Tilroy, Volta Ventures, Toreon et maintenant également CEO chez Toreon. Mon parcours est une combinaison d'informatique, de gestion et de passion pour la stratégie et la bonne gouvernance. C’est notamment Lynn Paine, professeure en gouvernance d'entreprise à Harvard, qui a éveillé mon intérêt pour l’art de la gouvernance d'entreprise à l’époque, et je lui en suis extrêmement reconnaissant. Cette inspiration et cette expérience professionnelle m'ont permis de travailler dans des conseils consultatifs et des réunions de conseils. 

Au sein de l'entreprise technologique Zetes, j'ai pu contribuer à la croissance d'une petite PME bruxelloise en un leader du marché international dans 18 pays, avec 1 200 employés et un chiffre d'affaires de 250 millions. Zetes a ensuite été absorbée par Panasonic par le biais d'une cotation en bourse. 

Chez Nallian, j'ai appris à connaître de l'intérieur le milieu des start-ups/scale-ups, à ressentir la douleur des entrepreneurs en début de carrière, si vous voulez. À partir d'un élément de technologie et avec l'aide d'un fonds de capital-risque, nous avons pu commercialiser une plateforme de partage de données dédiée à la logistique pour les aéroports de fret du monde entier.

Chez Toreon, un groupe ambitieux qui compte actuellement une cinquantaine de consultants en cybersécurité et en protection de la vie privée, je suis passé d'un mandat d’administrateur indépendant à un rôle de CEO.

Quels sont selon vous les sujets les plus importants qui méritent l’attention des administrateurs dans les PME et autres organisations en 2022 ?

GUBERNA Directors Sparkle

Les sujets à l’agenda des administrateurs ne changent jamais vraiment de manière spectaculaire. Toutefois, si je devais en citer quelques-uns pour les entreprises technologiques, je parlerais des points suivants.

  • La guerre des talents ne s’améliore pas, surtout dans le domaine numérique où il y a une certaine pénurie depuis quelque temps. La pandémie et les confinements ont freiné la rotation naturelle tout en faisant douter les gens quant à leurs priorités. Au même moment, la cohésion sociale s’est quelque peu érodée au sein des entreprises. C’est là un cocktail assez délicat. Nous assistons donc maintenant à un rattrapage. La perspective d'une relance économique incite naturellement les gens à passer à la vitesse supérieure et, par conséquent, la rotation devrait augmenter. 
  • Une attention accrue à l’ESG. Ce qui est ou n'est pas socialement accepté évolue rapidement. Anticipez.  Et si vous opérez dans un secteur qui dépend fortement des prix de l'énergie…
  • L’élément le plus important est l'incertitude générale. Personne ne voit clairement les retombées de la pandémie. La dette publique a de nouveau fort augmenté, ce qui aura probablement des conséquences fiscales ; nous sommes dans la plus longue phase haussière de tous les temps, mais pour combien de temps ; les chaînes d'approvisionnement sont désorganisées et les tensions géopolitiques augmentent. Nous vivons aujourd'hui dans un monde V.U.C.A. (volatilité, incertitude, complexité et ambiguïté), avec comme seule certitude étant que l'avenir est incertain. Cela signifie que nous devons nous organiser en conséquence. Dans un monde prévisible, vous renforcez vos forces internes, devenez meilleur dans ce que vous faites déjà. Dans un monde volatile, le conseil d'administration doit faire attention à la flexibilité de l'organisation. Cela nécessite non seulement une remise en question permanente de la finalité de l'entreprise, mais aussi une reconfiguration continue de la chaîne de valeur, dans toutes les organisations. Par le passé, l'accent était mis surtout sur la robustesse ; Taleb nous a appris à rechercher l'antifragilité, à mettre en place des structures de manière à ce qu'elles fonctionnent mieux en cas de stress. Cela peut se faire en basant les organisations sur des réseaux ouverts et fluides et en pensant en termes de systèmes de valeur adaptatifs et d'écosystèmes, plutôt que de fonctionner en silos isolés.
  • Peut-être suis-je biaisé, mais la cybersécurité est aussi un sujet à ne pas sous-estimer, même dans la salle du conseil d'administration, en fonction de l'importance du numérique dans l'entreprise. Chaque secteur, chaque organisation est touché tôt ou tard et doit y faire face.  En fonction de la vulnérabilité, une cyber-attaque, dont l'organisation est de plus en plus professionnelle, aura un impact sur les opérations commerciales et parfois sur la viabilité.

Quelles sont vos expériences jusqu'à présent ? Quelle expertise vous permet d’enrichir le conseil d'administration d'une PME et d'une start-up ? Et est-ce le même jeu ?

Beaucoup de sujets sont similaires, mais il y a d'autres priorités qui dominent selon les moments. L'accès au prochain cycle de financement en est un exemple.

Il existe également quelques différences fondamentales. La vision de la survie à long terme en fait partie. Dans une start-up, ce n'est pas nécessairement le moteur principal. Qu'est-ce que je sous-entends par-là ? Une start-up est parfois définie comme une expérimentation au cours de laquelle une initiative est testée pour voir si elle a une chance de se développer à long terme. Et si elle n'a pas cette chance, il faut parvenir à cette conclusion le plus rapidement possible avec le moins de ressources possibles et l'arrêter.

Cela semble, du moins à première vue, entrer quelque peu en conflit avec la formulation classique de l'objectif de la gouvernance d'entreprise, à savoir la création de valeur à long terme, avec la « continuité de l'entreprise ». Si vous considérez une start-up comme une expérimentation, la recherche de la continuité des activités en soi n'est pas pertinente.

La création de valeur à long terme reste une priorité, mais en tant qu'unité d'analyse, nous devons regarder au-delà de l'entreprise spécifique. Si l'on se place du point de vue des parties prenantes de l'entreprise, il est toujours bon pour la création de valeur à long terme d'arrêter une activité qui ne va pas démarrer, car cela donne à toutes les personnes concernées l'occasion d'investir du temps et des ressources dans de nouvelles activités susceptibles, elles, de bien démarrer. Si ceci est vrai d'un point de vue rationnel, émotionnellement, cela reste difficile, et il faut généralement un certain temps avant que tous les membres du conseil partagent cette position rationnelle.

Mon expertise ? Apporter surtout de la perspective. Mon expérience en tant qu’administrateur concerne principalement les petites entreprises technologiques qui veulent se développer. Il y a des start-ups, mais aussi des entreprises « tech » plus matures et ambitieuses qui sont confrontées à une transformation (changement de modèle d'entreprise - souvent avec des implications sur la culture d'entreprise, ou volonté de s'internationaliser), et je peux les aider grâce à mon expérience chez Zetes, entre autres.
Après tout, j’ai déjà vécu la croissance d'une PME en un acteur international coté en bourse 30 fois plus grand, et j'ai fait toutes les erreurs possibles. J'ai eu la chance d'endosser différents rôles au sein de Zetes, allant de la stratégie et du développement de l'entreprise au siège à la direction régionale sur le terrain, toujours en étroite collaboration avec le CEO.
Ajoutez à cela le point de vue d'un investisseur en capital-risque et celui d'une personne qui a également ressenti les « douleurs entrepreneuriales du début » au sein d'une start-up. Ces expériences, complétées par une base théorique relativement large et ma préférence pour la méthode Socrates (je pose principalement des questions), donnent un aperçu de mon attitude en tant qu’administrateur. Les personnes avec lesquelles je travaille me disent ensuite que cette perspective et ce questionnement leur sont parfois utiles.

Quel message vous donneriez aux administrateurs pour mettre en place une bonne politique en matière de cybersécurité ?

L'un des sujets d'importance lors des réunions des conseils d'administration aujourd'hui, il suffit de penser aux fermetures de Maersk, Asco, Picanol et autres, est celui des cyber-attaques. Le journal financier se demande même si la cybersécurité ne devrait pas être le sujet le plus important dans les réunions du conseil d'administration. En effet, 1,4 milliards de fichiers numériques sont volés, ce qui représente une augmentation de 86 % par rapport à l'année dernière. Avec votre expérience en tant que CEO d'une société de conseil en cybersécurité, je suis curieux de savoir quel message vous donneriez aux administrateurs pour mettre en place une bonne politique en matière de cybersécurité ?

Vous ne pouvez pas prévenir une cyber-attaque avec une certitude absolue. Vous pouvez tout au plus réduire le risque d'occurrence et limiter l'impact.  C'est un peu comme avec votre maison.  Si je vous demande si votre maison est correctement sécurisée, vous me répondrez probablement par l'affirmative.  Mais mettez-y une équipe d’intervention de 20 hommes avec un tank et ils pénétreront sans problème. Il est donc important d'évaluer qui pourrait être intéressé à y entrer.

Si vous me demandez ce qu'est une bonne politique de cybersécurité, la première question est de savoir s'il existe une politique de cybersécurité. Vous ne pouvez pas imaginer le nombre d'organisations qui n'y ont jamais pensé et donc encore moins installé un tel système.

Un moyen rapide de le savoir est d'interroger le « Incident Response Playbook » en tant qu’administrateur - - que faire en cas de cyber-incident ? Si la réponse à cette question est inadéquate, il est fort probable que personne ne s'y intéresse sérieusement.

La cybernétique doit-elle figurer en tête des priorités ?

GUBERNA Directors Sparkle

Absolument, pour au moins les deux raisons suivantes :

  • Nous sommes tous devenus extrêmement dépendants du numérique aujourd'hui. Vous connaissez tous la "Journée du pull », le jour où nous baissons collectivement le chauffage. Imaginez que nous mettions en œuvre l'équivalent informatique de ce principe, en désactivant toutes les formes d'informatique pendant une journée. Nous ne serions pas arrivés ici aujourd'hui, nous ne pourrions même pas nous appeler pour prendre rendez-vous. Nos organisations sont devenues de plus en plus dépendantes du numérique (par exemple, l’e-commerce, les fichiers, les sites Web, les paiements, les contrôles de processus, les dispositifs médicaux, etc.) et nous pouvons difficilement nous permettre leur défaillance.
  • En outre, les « méchants » qui mènent des cyber-attaques se sont tellement professionnalisés (aujourd'hui, il ne s'agit plus d'adolescents boutonneux mais bien d'industries organisées avec des chaînes d'approvisionnement spécialisées) que c'en est devenu un grand commerce pour eux. Au passage, sachez qu'actuellement 43 % des cyber-attaques sont dirigées vers les PME.

Une cyber-politique vous permet d'y faire face de manière réfléchie.

Alors, comment mettre en place une politique de cybersécurité ?

Vous ne pouvez pas commencer par recruter quelqu'un pour cela, car vous n'avez aucune idée de la taille du défi. Vous n’avez aucune idée de ce que vous ne savez pas et vous ne pouvez donc pas dire quel profil (« calibre ») il vous faut.  C'est pourquoi il est préférable de commencer par dresser un tableau de la situation, une évaluation rapide de votre situation actuelle et de celle que vous devriez avoir dans votre situation spécifique (un boulanger et une banque ont des vulnérabilités numériques différentes et acceptent des niveaux de risque différents). En évaluant les risques par rapport au niveau de risque acceptable, vous aurez une idée des lacunes à combler.

Cette évaluation vous donne rapidement une idée de l'ampleur du défi à relever et vous permet de décider du type de talent à mettre en place pour combler ces lacunes. De tels talents ne doivent pas nécessairement être présents en interne et à plein temps (d'ailleurs, il manque 1,5 millions de personnes ayant ce type de connaissances dans le monde), de nombreuses entreprises les proposent désormais « en tant que service ». Plusieurs gouvernements, dont le gouvernement flamand, encouragent cette approche en subventionnant les évaluations initiales et les feuilles de route pour les PME.

Comment utiliser les ressources à bon escient ?

Si quelqu'un s'y intéresse sérieusement, la question se pose de savoir dans quelle mesure cette politique est efficace et équilibrée. Pour refaire le parallèle avec votre maison, il arrive que les conseillers en sécurité rencontrent des maisons où l'on a investi dans des vitres pare-balles au troisième étage, mais où la porte d'entrée est ouverte en permanence. Dans le domaine numérique, les gens ne sont parfois même pas conscients de l'existence d'une porte d'entrée.

Donc, ici aussi, tout commence par la cartographie :

  • Qu'est-ce qui est important pour votre entreprise, quels sont vos « joyaux de la couronne » ?
    • Vous allez sécuriser votre maison différemment si la Mona Lisa trône au milieu de votre salon.
    • Avez-vous des systèmes « critiques » qui doivent être maintenus opérationnels à tout moment ? Si c’est le cas, vous allez sécuriser ces pièces plus fortement. Avez-vous des actifs (numériques) à sécuriser ?
    • Existe-t-il des règlements qui imposent des amendes si vous n'obtenez pas de bons résultats dans certains domaines ? La pression de la conformité.
  • Où vous situez-vous par rapport aux différentes dimensions qui contribuent à la réduction des risques ?
    • En termes de « personnes, processus (organisation, politiques) et technologie ».
  • Où devez-vous vous situer en termes d'appétit pour le risque ?
  • Quelle est la « feuille de route » qui permet de combler cet écart ?
  • Et quels sont les initiatives et les investissements que vous devriez faire dans la période à venir pour obtenir le meilleur rendement ?

Une bonne politique de cybersécurité se résume donc à établir une « feuille de route » d'atténuation des risques avec les priorités qui présentent le plus grand avantage marginal, en sachant parfaitement quels sont les risques résiduels et s'ils sont conformes aux objectifs de l'organisation. Il existe de nombreux cadres de référence, souvent spécifiques à un secteur, pour y parvenir. (p. ex. NIST – Identify / Protect / Detect / Respond / Recover, CIS-18, ISO27001…)

Que voulez-vous en tant qu’administrateur ?

  • Au minimum, qu'il y ait une personne au sein de l'organisation qui se sente responsable du domaine cybernétique. Quelqu'un pour assumer le rôle de responsable de la sécurité des systèmes d’information (Chief Information Security Officer - CISO).
  • Qu'il existe un plan d'action structuré et complet.
  • Avoir une vue d'ensemble des risques et être d'accord avec les décisions prises. Cela permet également de définir de manière adéquate le seuil à partir duquel la réunion du conseil est concernée.
  • Comprendre les implications de votre choix.
  • Que la conformité soit suffisamment respectée.
  • Et surtout que la culture évolue dans la bonne direction. La majorité des incidents ont pour origine l'action d'un employé.

 

Une bonne politique de cybersécurité reste un sujet délicat. Le risque cybernétique a ses propres caractéristiques (celles d'un « cygne noir ») et n'est souvent pas bien compris par le conseil d'administration. Il est partout et nulle part, alors qu'il peut complètement paralyser votre entreprise. L'effet peut en effet être si important qu'il en viendrait à anéantir une entreprise.

Si vous voulez vraiment exceller, cette recommandation peut être complétée par les éléments suivants :

Faites de la cybersécurité un point régulier de l'ordre du jour de votre conseil et traitez-la dans un langage que chaque membre du conseil peut comprendre. L'éducation en matière de cybersécurité va dans ce sens. Laissez le CEO rendre compte lui-même de la cybersécurité au lieu de la confier entièrement au CISO.  Il peut être soutenu par le CISO pour les détails, de la même manière qu'il a le soutien du CFO. Cette prise en charge par le ‘line-of-business’ est importante pour ancrer la cybersécurité dans la culture. Au besoin, complétez ce dispositif par des intervenants extérieurs qui informent directement le conseil, par analogie avec un auditeur externe classique. Créez un comité dédié au risque cybernétique. Cela peut sembler une douce illusion, mais pour de plus en plus d'organisations, cela devient une nécessité : Gartner prévoit que d'ici 2025, 40 % des conseils d'administration auront mis en place un cyber-comité. GM, par exemple, en a un. Cela peut sembler étrange pour une entreprise automobile, mais c'est plus que nécessaire lorsque vous travaillez avec des voitures sans conducteur, l'internet des objets, l’e-commerce… Enfin, il incombe aux membres du conseil d'administration eux-mêmes de donner le bon exemple en matière de cyber-hygiène : assurez-vous que personne ne possède votre mot de passe et/ou qu'il ne peut pas être facilement craqué, travaillez dans un environnement sécurisé, etc.

Quels autres conseils pouvez-vous donner en général pour être un bon administrateur ?

J'en ai sélectionné cinq qui ont retenu mon attention après des échanges avec des administrateurs très expérimentés :

  1. Prenez votre rôle au sérieux et soyez actif. Vous ne pouvez pas avoir une influence égale sur tout, mais essayez de faire une réelle différence sur trois ou quatre points lors de chaque réunion du conseil. (merci à Raf De Caluwe)
  2. « Mettre au défi quand tout va bien, aider quand les choses vont moins bien ». Je vois trop de membres du conseil qui restent sur la touche. (merci à Luc Bertrand)
  3. Essayez de rester dans la « zone de durabilité » en regardant tout à travers les trois lentilles : « l'économie, le droit et l'éthique » ; et ayez un œil sur la diversité (pas seulement sur le « genre ») (merci au Prof. Dr. Lynn Paine)
  4. Soyez bien conscient de vos préjugés et compensez-les dans vos décisions (merci à Barend van den Brande de Hummingbird, un investisseur en capital-risquebelge très prospère).
  5. Gardez toujours l'objectif à l'esprit. Le « pourquoi ». Pourquoi sommes-nous là, qu’est-ce que nous essayons d’atteindre. Les réponses se trouvent souvent là (merci à moi-même).

Pourquoi avez-vous décidé de devenir administrateur et comment un réseau tel que GUBERNA Directors vous soutient-il dans cette démarche ?

Quelques éléments se sont combinés pour me pousser à franchir le pas et à devenir administrateur.  Tout d'abord, Lynn Paine a éveillé ma curiosité intellectuelle sur la gouvernance d'entreprise avec ses quelques dizaines de cas toujours plus nuancés sur le sujet.  Ces études de cas semblent toujours banales au premier abord, jusqu'à ce que vous y appliquiez un ensemble de lentilles pour obtenir une vue équilibrée, une vue qui est nécessaire pour continuer à fonctionner dans la « zone de durabilité ».  Ensuite, durant ma période chez Zetes, j'ai cherché à avoir un impact plus large et lorsque je suis revenu en Europe après une mission de longue durée en Afrique, je me suis plongé dans la communauté des start-ups pendant mon temps libre. Cela a commencé innocemment en aidant un ami d'un ami à mettre en place son premier financement, mais avant même de le savoir, je me suis retrouvé avec quelques participations et mandats, puis je me suis engagé dans un fonds de capital-risque. Cette communauté de start-ups est un environnement addictif. Il y a beaucoup d'énergie juvénile qui y circule, qu'il suffit parfois de canaliser pour obtenir des résultats. À partir de là, le projet a rapidement été étendu à d'autres entreprises plus matures, dans une quête de complexité supplémentaire, et c'est pourquoi je me concentre désormais sur les PME technologiques typiques ayant des actionnaires ambitieux et de grands projets, qu'il s'agisse d'une refonte complète des modèles d'entreprise (et de la nouvelle culture qui l'accompagne) ou de l'internationalisation.

GUBERNA et le réseau GUBERNA Directors me soutiennent dans ma formation permanente « lifelong learning » et également en tant que réseau de ressources humaines.  Je suis quelqu'un qui aime compléter sa pratique par une base théorique sur laquelle il peut s'appuyer de temps en temps. Non pas pour appliquer cette théorie de manière dogmatique, mais comme des lentilles supplémentaires permettant de regarder la réalité. Plus vous disposez de lentilles, plus votre image est riche et plus vos décisions sont judicieuses. Il en va ainsi de la diversité au sein d'un groupe, tout comme de la diversité des points de vue que vous gardez à l'esprit. Dans le réseau GUBERNA Directors, vous avez accès à de nombreuses personnes intéressantes qui partagent la même passion, qui peuvent aiguiser votre vision et qui peuvent vous mettre en contact avec des opportunités intéressantes. 

Entretien mené par Chris Wouters
GUBERNA Certified Director
Partenaire commercial et conseiller, Président du conseil d’administration de Onderwijs van Zusters van Christelijke Scholen de Vorselaar - couple, Membre du conseil Media holding, Membre du conseil Lieven Gevaertfonds, Membre du conseil Logia
Mobile +32 477 666 083
Email wouters_chris@skynet.be

Chris Wouters

Vous souhaitez participer à GUBERNA Directors Sparkle ?

GUBERNA veut être une véritable communauté dans laquelle chaque membre peut exercer son rôle d'administrateur dans les meilleures conditions. Afin de stimuler l'échange d'expériences et d'informations, les GUBERNA Directors ont lancé cette série d'entretiens en septembre 2020. L'objectif : inspirer nos membres à travers les témoignages d'administrateurs professionnels.

Nous aimerions inviter les GUBERNA Directors et GUBERNA Certified Directors à proposer des sujets et des personnes à interviewer. En 2022, nous nous concentrerons sur les sujets suivants :

  • Comment le conseil d'administration peut-il contribuer à un meilleur climat ?

  • De la vérification des faits à la gestion des risques axée sur les processus, sous la supervision du conseil d'administration ?

  • Le rôle du président du conseil d'administration dans la transformation numérique.

  • Comment renforcer votre entreprise pour qu'elle se développe par le moyen d'acquisitions et de partenariats et mettre de l'ordre dans votre gouvernance d'entreprise.

  • La jeune génération de membres du conseil d'administration.

Vous souhaitez participer à GUBERNA Directors Sparkle ou vous avez des suggestions relatives aux interlocuteurs et aux thèmes ? Envoyez un e-mail à Danny VandeVyver.