Le risque cyber est-il devenu un risque de premier ordre pour un fonds d’investissement comme Seven2 ?
Aujourd’hui, le risque cyber est un risque industriel majeur. Une mauvaise adéquation entre le niveau de risque et les moyens mis en œuvre peut conduire à un incident sérieux. Il faut donc agir sur deux plans : le travail quotidien et l’anticipation, la prévention des incidents. Chez Seven2, nous avons structuré notre approche autour de quatre piliers : le technique, les process, l’audit et la gouvernance. La cybersécurité est pensée by design, dès le déploiement d’un nouvel applicatif.
Comment utilisez-vous les outils de cyber rating dans vos décisions d’investissement et dans le pilotage de vos participations ?
La mission d’un fonds comme Seven2 est la création de valeur. Or, la cybersécurité est devenue un facteur clé de préservation — et de création — de valeur. J’ai donc créé en 2021 le “programme Cyber” à partir d’un constat simple : sans mesure homogène, il est difficile de savoir où en sont réellement les participations en matière de sécurité. En phase de due diligence, il nous aide à qualifier rapidement le niveau de maturité d’une cible. Si un écart important est identifié, il et peut se traduire en plan de remédiation – ce qui pèse sur l’évaluation financière de l’opération. Une fois l’investissement réalisé, Security Rating, AD Rating et 365 Rating deviennent des outils de pilotage dans la durée : au-delà de la note, ils permettent un suivi quotidien et un accompagnement concret des équipes dans leurs plans d’amélioration continue. Ils nous permettent aussi de disposer d’indicateurs lisibles, présentés deux fois par an en comité cyber au CEO et aux associés, pour piloter le risque au niveau exécutif. La notation cyber est en train de devenir une norme, car elle répond directement aux enjeux de protection et de valorisation des participations.
L’Active Directory est souvent au cœur des attaques : comment adressez-vous ce risque chez Seven2 ?
Un Active Directory mal sécurisé est une cible de choix pour les cybercriminels, et pourtant ce sujet reste souvent sous-estimé. En évaluant en continu la sécurité de l’Active Directory, AD Rating® nous a permis de structurer très finement notre démarche : gestion des comptes à privilèges, identification des faiblesses critiques, priorisation des actions. C’est un outil très opérationnel, mais aussi un excellent outil de gouvernance. Il rend visibles des risques qui, autrement, resteraient difficiles à objectiver et à piloter, et contribue à installer une culture de la rigueur et de l’amélioration continue. de leur entreprise et de supporter le business en accompagnant les tiers en difficulté.
"AD Rating rend visible et pilotable un risque critique au cœur des systèmes” - Samuel BAFOURD
A propos de Samuel BAFOURD
Samuel Bafourd a rejoint Seven2 en 2001 en tant qu’administrateur système et réseau, avant de devenir DSI en 2018, en charge de la transformation digitale et de sa stratégie cyber. Il est diplômé de l’École supérieure des Pays de Loire (ESPL).
