Stéphane Tournadre, CISO du groupe Servier, bâtisseur de remparts numériques
![Image De la théorie à la pratique: retour d’expérience belge sur la mise en œuvre de la [directive NIS2]](https://incyber.org//wp-content/uploads/2025/07/incyber-news-abstract-data-7-885x690.jpg)
« Mes Lego à moi, c’étaient des PC montés dans des boîtes à chaussures. » L’image est forte, et elle dit tout. Derrière la formule, il y a un souvenir d’enfance : son père, agent de maintenance informatique, qui rapportait à la maison des pièces détachées. Avec ses frères et sa sœur, Stéphane Tournadre s’improvise alors assembleur de fortune. Les châssis manquent ? Une boîte à chaussures fera l’affaire. Dès 9 ans, ses jeux sont faits de câbles, de cartes et de bricolages électroniques. La curiosité se nourrit de débrouille, et la débrouille devient apprentissage.
À 14 ans, il vend son premier logiciel, destiné à la gestion immobilière. Une initiative qui tournera court : « Je ne savais pas ce qu’était l’Urssaf. » Pas d’auto-entrepreneur à l’époque, et des charges impossibles à payer. Mais ce premier échec entrepreneurial, Stéphane Tournadre l’assume comme une étape : « J’avais mangé toutes les recettes. » L’anecdote dit déjà beaucoup de son parcours : goût du risque, confrontation précoce à la réalité économique et refus du découragement.
Fidélité et compétition
Vingt-sept ans après avoir poussé la porte de Servier, Stéphane Tournadre y occupe aujourd’hui le poste de directeur sécurité des systèmes d’information. Une longévité qui tranche dans un milieu où les RSSI passent souvent d’une entreprise à l’autre. « Je suis fidèle, j’aime beaucoup cette entreprise », dit-il simplement. Une fidélité qui n’exclut pas l’esprit de compétition : en 2018, il est désigné « meilleur RSSI de France » aux Assises de la cybersécurité, un titre confirmé en 2021 par Républik IT.
Pour se définir, il choisit ces mots : « bâtisseur de remparts ». Bâtisseur, car la cybersécurité se construit dans la durée, avec patience et rigueur. Remparts au pluriel, parce qu’il n’y en a pas qu’un : humain, technologique, organisationnel. « Mon rôle est d’amener ces lignes de défense jusque dans les métiers du Groupe. » Ces remparts protègent des actifs numériques, mais surtout la mission de l’entreprise : Accélérer l’innovation thérapeutique au service des patients.
« Nous travaillons sur des cancers rares, par exemple des tumeurs du cerveau. Si un jour nous n’arrivons pas à délivrer nos traitements, l’impact sanitaire sera immédiat. »
Le risque systémique, au-delà des attaquants
À l’écouter, la menace ne se résume pas aux attaques sophistiquées. Ce qui l’a le plus marqué dans son rôle de CISO, c’est ce bug : l’incident CrowdStrike, en juillet 2024, qui a paralysé des millions de machines dans le monde. « Nous aurions pu être concernés. Si ça avait été le cas, il aurait fallu rapatrier et reformater plus de 10 000 postes, dans nos filiales et nos usines. Voilà le scénario du pire. »
Ce souvenir illustre sa crainte plus profonde : la dépendance au cloud. « Le cloud est nécessaire pour l’agilité et la performance. Mais si demain une loi extraterritoriale ou une attaque étatique bloque un grand fournisseur, nous nous retrouvons démunis. » Le problème n’est pas la technologie, mais la perte possible d’accès, brutale, systémique.
Dépasser le cliché du geek
Quand il évoque les clichés sur son métier, Stéphane Tournadre ne mâche pas ses mots : « On nous imagine comme des informaticiens à lunettes, en capuche, jargonnant entre eux dans leur bulle. » Or lui préfère une métaphore claire : une F1 n’est aussi rapide que parce qu’elle est équipée de freins et d’un arceau. La cybersécurité, insiste-t-il, n’est pas une contrainte : c’est une condition de la performance. « C’est un levier, pas une barrière. »
Et s’il pouvait changer une seule chose d’un coup de baguette magique ? « J’aimerais que les collaborateurs développent un sixième sens, à la Spider-Man, pour sentir l’arnaque. Que la vigilance devienne instinctive, et non le fruit d’un apprentissage scolaire. »
Vers une défense partagée
Pour l’avenir, il imagine une cybersécurité moins isolée, plus solidaire. « Aujourd’hui, un hôpital attaqué est souvent seul. Les ressources publiques et privées sont trop peu connectées. » Dans dix ans, il espère une défense partagée, un continuum entre les secteurs. Là encore, son ancrage dans le monde de la santé influe : impossible pour lui de dissocier cyber et impact humain.
Lui-même s’implique déjà dans des dispositifs de défense nationale, convaincu que les frontières entre cyber et monde physique vont disparaître. « Un incident numérique entraîne toujours des conséquences réelles. »
L’ingénieur devenu stratège
Il n’avait pas prévu de devenir CISO. Il saisit une opportunité, au départ presque par hasard, à la faveur d’un départ en retraite. Mais ce hasard, combiné à des crises majeures comme WannaCry et NotPetya, a façonné un parcours. « La cybersécurité est passée de la théorie à l’action. C’est ce qui m’a retenu. »
Aujourd’hui, l’ancien enfant bricoleur devenu ingénieur chimiste et finalement dompteur de machines, revendique une vision de stratège. Fidèle à son entreprise, compétiteur dans l’âme, bâtisseur de remparts : son portrait s’écarte du cliché du geek en capuche. Il dessine plutôt celui d’un homme qui conçoit la cybersécurité comme une architecture de confiance, invisible mais indispensable.