Maria Dolores Perez : un esprit brillant et pragmatique pour affronter les cyber défis

Maria Dolores Perez a reçu le « CIO of the Year » award en 2017 quelques mois avant de devenir Data Protection Officer chez KBL European Private Bankers, alors que la GDPR entrait en vigueur.

Forte d’une grande expérience dans différentes fonctions à la croisée du business et de l’IT, Mme Perez maîtrise l’art de la synthèse à la perfection. Son background (scientifique et financier) ainsi que sa double culture (belgo-espagnole) lui ont permis de multiplier les expériences et de placer sa carrière sur une courbe exponentielle.

Nous l’avons rencontrée pour parler de son parcours et de sa vision de la cybersécurité. L’esprit fin et résolument optimiste, Maria Dolores Perez aime le café et le chocolat… et déteste les grincheux qui ne voient que ce qui ne fonctionne pas.

Sa carrière a débuté par l’audit : « C’est pour moi un pilier majeur de la cybersécurité, car il permet de prouver que les processus sont en conformité, de démontrer l’existence d’un risque », nous explique-t-elle pour commencer.

« Faire de l’audit, cela permet de restructurer notre manière de parler, de présenter les faits, de les évaluer et de se connecter avec les autres… Avec un handicap de départ puisque lorsque vous faites ce métier, par définition, on ne vous aime pas. Donc il faut apprendre à dépasser cela ». Maria Dolores Perez a dû cultiver très tôt le sens de la fermeté avec le sourire.

La dimension culturelle en matière de cybersécurité a également joué un rôle majeur dans son parcours. Le groupe KBL epb est un réseau bancaire opérant dans 50 villes en Europe, piloté depuis Luxembourg.

« Chacun a parfois des approches différentes. Par exemple en matière de « remote access », au Luxembourg, on n’y est pas très favorables lorsqu’il s’agit d’accès aux données client hors du pays. Cependant, les contraintes légales et les pratiques ne sont pas les mêmes d’un pays à l’autre. Donc nous devons entendre ce qui se passe ailleurs, et nous essayons de nous remettre en question. De la même manière, les besoins en matière d’outils ne sont pas exactement les mêmes selon les pays. Par exemple, le Web Banking n’est pas forcément le même en Espagne, car les réalités du marché et les attentes des clients sont différentes ».

Comment voyez-vous la situation de la cybersécurité au Luxembourg ? Et son avenir ?
« Je dirais d’abord Bravo à toutes les initiatives comme la Cybersecurity Week qui sont prises ici au Luxembourg. Je n’ai aucun problème à prendre mon téléphone et à appeler qui je veux (ou presque)… J’aurai une réponse dans les 24 heures. En fait, on a une famille d’experts qui ne sont pas nombreux et qui se respectent. Il n’y a pas de jalousie ».

Mais d’où vient cette facilité ? C’est l’esprit startup ?
« Non, je crois que c’est principalement l’éducation des gens. Quand vous avez une formation scientifique, vous êtes davantage dans une logique recherche de l’efficacité et de l’exactitude scientifique. À partir du moment où nous partageons cet état d’esprit, dans un grand village comme le Luxembourg, cela facilite les contacts. On s’appelle et l’on s’ouvre. … Il faut également faire preuve d’humilité par rapport à la menace. Nous faisons face à une armée invisible de plus en plus performante. Notre seul avantage est de pouvoir s’échanger des bonnes pratiques et astuces pour mieux nous défendre et résister.
La grande évolution que je vois, c’est que les entreprises avaient une sécurité IT, avec des réseaux séparés. La sécurité s’est déplacée, d’abord vers les applications, ensuite vers les appareils connectés… et aujourd’hui vers les données. Chaque industrie a des données à protéger, des secrets. Nous, nos secrets, ce sont les données de nos clients. Nous devons aussi tenir compte de nos clients qui veulent se connecter à leur compte sans avoir à passer des contrôles fastidieux. Ils sont impatients, il faut que leur banque en ligne soit disponible à toute heure. L’espace-temps a été complètement déformé ».

Cela signifie que la sécurité doit faire preuve d’ergonomie ?
« Absolument, les outils de Web Banking ont fortement évolué dans ce sens pour rendre la vie des utilisateurs plus faciles. Il faut bien se rendre compte que pour beaucoup, ces applications sont devenues la porte d’entrée principale vers la banque. Donc, il s’agit de notre image de marque. Il faut qu’elle réponde aux standards de sécurité et de confort d’utilisation attendus. Les comparaisons se font facilement ».

La cybersécurité est en pleine évolution : comment voyez-vous son avenir ?
« Auparavant, c’était l’IT qui dirigeait la manœuvre. Aujourd’hui, c’est le client qui tire l’évolution. Aujourd’hui, il y a une approche de « risk assessment », dans laquelle on fait davantage une évaluation des risques à couvrir et une optimisation de leur gestion, au lieu de penser uniquement aux nouveautés technologiques en matière d’outils. Il est clair que nous sommes dans une phase de profonds bouleversements du monde digital et qu’il y a une maturation en cours. Regardez l’industrie aéronautique. Comment peut-on imaginer qu’autant d’avions soient dans le ciel en même temps, avec aussi peu d’accidents ? C’est parce qu’on a mis en place une série de normes très strictes en matière de sécurité physique, de contrôle aérien, et de plus en plus de sécurité informatique. Lorsque la vie humaine est en jeu, on ne passe pas en production tant que la sécurité maximale n’est pas garantie. À l’avenir, ce niveau d’exigence devra être de mise pour les données personnelles ».

La sécurité, c’est aussi de l’humain et de l’organisation. Comment faites-vous ?
« Nous avons des formations, des outils, des campagnes de ‘phishing test’. Donc, effectivement, les gens sont formés. Cependant, il ne faut pas croire que ce soit suffisant. Il faut avoir une vraie réflexion sur les outils qui sont déployés. Si une solution qui est sûre à 99% pose des problèmes d’adoption et qu’elle est court-circuitée par la moitié des utilisateurs, dans les faits, elle ne fonctionne pas. Il vaut mieux utiliser une solution qui est sûre à 80% et qui sera adoptée par tout le monde. Les 20% restant, ce sera notre job. Il faut aussi que le système soit intelligent : ce qui va réellement apporter un plus à la sécurité dans les prochaines années, ce sera l’intelligence artificielle qui va permettre de détecter des situations potentiellement risquées afin d’en éloigner les utilisateurs ».

La sécurité physique et la sécurité logique ne sont donc pas totalement différentes?
« Non, et je pense même qu’il faudrait faire davantage d’analogies entre les deux : un firewall, c’est une porte coupe-feu. L’encryption, c’est un coffre-fort. Avec ce genre d’analogies, on permet à chacun de visualiser et de comprendre des concepts qui sont parfois nébuleux ».

En tant que DPO, pensez-vous que les banques ont bien passé le cap de la GDPR ?
« Assurément, je pense que les banques étaient bien préparées. Car la cybersécurité est un enjeu depuis toujours. Les contraintes de sécurités ont toujours été très fortes chez nous, notamment pour préserver le secret bancaire ».

Au final, Maria Dolores Perez défend une vision pragmatique de la cybersécurité. Une approche qui remet le client et l’utilisateur au centre des préoccupations. Car, in fine, ce sont eux les propriétaires des données.