L’IA et la cybersécurité bouleversent les usages, imposant aux entreprises une vigilance accrue. Chez Ipsen, la cartographie des risques guide les priorités en L&D, entre formations ciblées, sensibilisation aux risques cyber et développement de l’esprit critique – une compétence clé face aux nouvelles technologies. Interview de Sophie Maillard-Marchandise, Head of HR Systems, Strategy and Services d’Ipsen.

Décideurs. Chez Ipsen, à quels enjeux devez-vous répondre en matière de cybersécurité et de protection des données ?

Sophie Maillard-Marchandise. Je suis responsable des outils, de la stratégie et des services de back-office RH, et par extension, mon rôle touche la data privacy. La cybersécurité chez Ipsen est majeure, et porte prioritairement sur les données cliniques, stratégiques et privées. Dans le secteur pharmaceutique, comme dans d’autres, il convient d’éviter les fuites d’informations qui peuvent avoir des conséquences inattendues et regrettables. Nous constatons aussi qu’avec l’arrivée des nouvelles technologies, les usages sont de plus en plus informels, ce qui exige que nous encadrions et menions des actions de prévention pour éviter le risque.

Notre priorité est de cartographier et classifier le risque pour former efficacement au risque cyber, établir une feuille de route, lancer des alertes concernant certains usages pouvant impacter des données sensibles et adopter la terminologie adéquate afin de protéger ces données.  

“Avec l’arrivée des nouvelles technologies, les usages sont de plus en plus informels, ce qui exige que nous encadrions et menions des actions de prévention pour éviter le risque”

Depuis quand êtes-vous plus vigilants en matière de cybersécurité ?

Depuis plusieurs années, beaucoup d’entreprises ont pris conscience du risque cyber et les mentalités ont changé au gré des attaques qui ont eu lieu. Pour traiter ce risque il faut des moyens importants. Notre direction de la cybersécurité a donc été largement étoffée dans ce sens, la protection des données étant au centre de nos préoccupations. La cybersécurité relève d’une chaîne de valeurs complète, allant des individus aux outils. Par conséquent, nos actions portent aussi bien sur les usages que sur les outils externes, sur lesquels nous redoublons de vigilance et d’exigence en matière de protection des données.

À lire : Vos salariés compromettent-ils la cybersécurité de l’entreprise sans le savoir ?

“Je milite en interne pour que l’esprit critique fasse partie de nos compétences clés”

Comment ces enjeux se déclinent-ils dans vos actions de learning & development ?

Nous identifions d’abord les services les plus sensibles à partir de notre cartographie, pour leur proposer des formations spécifiques. Les formations sont complétées par des outils de protection et des tests de vulnérabilité, qui sont d’une certaine manière des actions de formation par l’expérience du risque.

Je milite aussi en interne pour intégrer l’esprit critique parmi nos compétences clés. Je suis convaincue que c’est un savoir-faire à part entière, qu’il faut développer face à l’émergence très rapide de ces technologies qui mettent la pression pour être dans le coup sans toujours évaluer les risques associés.

Comment gérez-vous la quantité de formations nécessaires auprès de vos collaborateurs ?

Notre métier est très audité et régulé, ce qui induit beaucoup de formations obligatoires. L’un des enjeux auxquels nous devons répondre est de nous assurer que les bonnes personnes sont formées au bon moment pour continuer d’engager nos collaborateurs et éviter le “fatigue learning”. Nous avons mis en place une gouvernance dans ce sens ainsi que des matrices de formation qui s’avèrent très utiles pour viser juste en matière d’actions de formation.

Nous œuvrons aussi à des modalités de formation plus engageantes, et encourageons à recourir à des formats divers, très en lien avec la réalité du travail des individus. Par chance, la cybersécurité est en général un sujet qui se prête à une certaine créativité. Par exemple, nous menons des campagnes de faux fishing ou d’intrusion, pour sensibiliser les gens qui ne le seraient pas encore suffisamment.

L’utilisation de l’IA est encouragée au sein des structures, mais pour peu qu’une IA externe à l’entreprise soit utilisée, certaines données sensibles peuvent être absorbées par une machine peu ou pas maîtrisée…

Nous sommes depuis le début très vigilants sur les IA externeset avons très rapidement clarifié les usages.

Par ailleurs, avec le RGPD et les nouveaux règlements européens sur l’IA, nous sommes tenus de déclarer l’ensemble des façons dont nous utilisons l’IA, ainsi que les données confidentielles que nous détenons. Tout cela peut paraître contraignant, mais c’est nécessaire.

Les IA sont également conviées au sein de réunions pour faciliter la prise de notes. Or, cela peut laisser des traces écrites d’échanges confidentiels…

La difficulté est que ces outils d’enregistrement sont, de fait, utiles pour générer des comptes rendus. Il faudrait sélectionner les types de réunions auxquelles l’IA peut assister et enregistrer les participants, sur le même principe que la cartographie que j’évoquais en début d’entretien. L’absence d’IA pendant certaines réunions garantit aussi la liberté de parole, la créativité et l’expression de l’intelligence collective au sein de l’entreprise. Il convient donc de réguler cette présence tierce.

C’est un sujet sur lequel je suis très sensible. Je ne suis pas juriste mais il me semble que la possibilité d’être enregistré est susceptible de changer significativement la nature du risque légal en entreprise. Par exemple, la transcription écrite rend beaucoup plus simple la recherche d’informations par simples mots clés. Au Royaume-Uni, le dispositif DSAR (Data Subject Access Request), assez semblable à ce qu’on pourrait avoir avec le RGPD, permet de demander l’accès à tout échange vous concernant dans l’entreprise. Les outils de transcription facilitent cela et questionnent l’entreprise sur le plan légal.  

Propos recueillis par Judith Aquien