Lucile Coupez (EssilorLuxottica) : « nous devons gérer toujours plus de risques »

Pouvez-vous nous présenter le groupe EssilorLuxottica ?

Le groupe EssilorLuxottica est un acteur intégré de l’optique médicale issu du rapprochement, en 2021, d’Essilor (verres) et de Luxottica (montures). Nous sommes leaders mondiaux sur les verres, les montures et les équipements complets. Nous voulons, de ce fait, être un moteur de la transformation de notre secteur.

Parmi nos 200 000 collaborateurs, 70 000 sont actionnaires du groupe. Nous sommes présents dans plus de 150 pays, notamment au travers de plus de 600 usines, et nous générons un chiffre d’affaires de l’ordre de 25 milliards d’euros par an.

Nos clients, ce sont les professionnels de l’optique de santé, les mutuelles/assurances et les individus à équiper.

Un verre c’est bien sûr un objet physique mais aussi une description numérique embarquant des principes physico-chimiques. Nous créons, testons, perfectionnons et mettons en œuvre de nouvelles idées et technologies, depuis la recherche de nouveaux matériaux et le développement de produits jusqu’à la fabrication et la distribution, en passant par les plateformes numériques et la med-tech.

Comment s’organise l’IT au sein d’EssilorLuxottica ?

Nous avons une seule DSI globale avec une branche dédiée à la sécurité opérationnelle du système d’information. Pour ma part, je dépends de la Direction des Risques Groupe.

Nous avons des RSSI, rattachés comme moi à la Direction des Risques, soit par zones géographiques soit par business (par exemple : le e-commerce). Les procédures techniques et la gestion opérationnelle relèvent des compétences des RSSI. Mon rôle est de gérer les risques liés aux tiers et à la cybersécurité.

Quelles sont les grandes lignes de votre IT ?

Il existe plus de 600 entités juridiques dans le groupe. Les politiques groupes sont communes mais pas les outils. En effet, il existe toujours des particularités business ou locales qui impliquent des adaptations.

Du coup, comment gérez-vous les cyber-risques ?

Les risques sont gérés au plus haut niveau, avec les opérations (supply-chain et fabrication). Nous les traitons de l’amont à l’aval, c’est à dire tout ce qui contribue à livrer les professionnels de santé.

Nous évaluons les risques selon la feuille de route opérationnelle. Ces risques peuvent être de grands risques au niveau de tout le groupe ou bien des risques locaux, permanents ou bien liés à une actualité.

Pour l’acceptation des risques, nous suivons un processus groupe strict de gestion des exceptions, applicable à toutes nos entités, qui sont limités dans le temps et ré-évaluées à date.

Dans tous les projets liés à des technologies innovantes, nous nous basons sur une approche par les risques. Plus on peut définir en amont les risques, plus on peut anticiper les difficultés et placer des points de contrôles selon la réalité des risques. La criticité dépend de préoccupations business, de préoccupations techniques ou bien des conséquences déduites de l’analyse de risques.

La directions des Opérations (business), Directions eCommerce ainsi que Retail pilotent les décisions à prendre sur les risques identifiés. La surveillance de ces risques inclut la surveillance des tiers critiques.

Nous voulons l’excellence au service effectif de nos clients, y compris en cybersécurité. L’audit interne du groupe est très actif et ses rapports ont entraîné de nombreux plans d’actions depuis 2020. Ces plans d’actions peuvent concerner la technique, l’organisationnel ou la formation/sensibilisation des collaborateurs.

Justement, comment procédez-vous pour la sensibilisation des collaborateurs ?

Nous avons une plate-forme d’e-learning groupe qui propose des modules obligatoires par profils de collaborateurs. Parfois, des managers peuvent bénéficier d’incentive sur le suivi des formations par leurs équipes.

Selon les sorties de produits, nous essayons de jouer sur l’actualité. Par exemple, nous profitons de la sortie de lunettes connectées pour parler des données personnelles.

En montrant comment les thématiques de cybersécurité concernent aussi la vie personnelle, il est plus simple d’impliquer les collaborateurs.

Avez-vous des difficultés avec la guerre des talents ?

Oui, bien sûr, comme tout le monde. Il peut y avoir, évidemment, un peu de turn-over. Nos difficultés sont aussi liées au fait que nous sommes très exigeants. De ce fait, notre réactivité à faire une proposition peut être moindre qu’ailleurs, notre processus un peu plus long.

Quels sont vos défis en 2025 ?

J’ajouterais un défi qui ne s’arrête pas à 2025 : notre rôle est de permettre au business de se développer dans un cadre sécurisé, nous sommes fonction support, donc nous devons soutenir en ce sens toute initiative business.

Tout d’abord, en termes de défis, nous devons gérer toujours plus de risques. Nous devons traiter tous les risques malgré tout. Toutes les secondes, il peut se passer quelque chose, ce qui nous oblige à être réactifs.

Nous devons combler le retard en matière de réflexion sur la sécurisation de l’IA. Analyser les risques en la matière est difficile. Les revues de code ne sont pas très utiles. L’IA progresse régulièrement et l’analyse doit donc être adaptée en permanence. Ce retard n’est pas inhérent à notre société. C’est global pour toutes les entreprises. les avancées et usages de l’IA vont plus vite que les processus d’adoption dans les entreprises et impliquent encore plus de sensibilisation.

Concernant la gestion des risques des tiers avec qui nous travaillons, nous engageons un suivi solide pour les convaincre d’améliorer leur niveau de maturité sécurité et protection de nos données.