Han är en ”produkt” av det företag där han började som halvtidsstuderande för tjugofem år sedan. VINCI Energies’ cybersäkerhetsdirektör löper ultralopp på fritiden och vet vilken uthållighet och aktsamhet som krävs för att skydda en multinationell koncern från konstanta cyberhot.
Den 28 augusti 2026 ska Bertrand Leclerc springa det mycket krävande ultraloppet på Mont Blanc. Planen: 174 kilometers löpning med 9 900 meters uppförsbacke. VINCI Energies’ cybersäkerhetsdirektör har ett brinnande intresse för ultralopp och i oktober 2024 reste han till ön La Réunion för att medverka i den omtalade tävlingen ”Diagonale des Fous” (dårarnas diagonal) som är välkänt för sina extrema villkor. Men det är också välgörenhetsändamålet som motiverar honom, i detta fall engagemanget i föreningen Mécénat Chirurgie Cardiaque, som VINCI Energies stödjer. ”Genom detta partnerskap visar jag på solidaritet samtidigt som jag får utöva min stora hobby och koppla av från ett arbete som ibland kan vara ångestframkallande,” förklarar han.
En attack i sekunden
Man blir genast varse den oerhörda press som han som ansvarar för VINCI Energies-koncernens cybersäkerhet utsätts för, när man hör att koncernen i genomsnitt tvingas utstå en IT-attack per sekund och att arbetslagen måste hantera cirka 55 000 händelser (IT-aktiviteter inom koncernen) på samma korta tid.
Bertrand Leclerc kan lita på det kompententa arbetslag som han själv sammanställt sedan cybersäkerhetsavdelningen grundades på VINCI Energies 2018. ”Från början var vi fyra, idag är vi femtio, utspridda på två olika arbetsplatser, i Mans och i Saint-Denis, förtydligar han. Vi började med ett vitt ark och byggde fram en ‘Follow the Sun’-strategi som nu gör det möjligt för oss att vara verksamma dygnet-runt, sju dagar i veckan, och tillsammans med kollegor i Kanada och Australien, täcker vi 2 200 av koncernens företag i 62 olika länder.”
Dessa femtio medarbetare är uppdelade i fyra olika arbetslag. Det första och största i frågan om antal anställda har i uppdrag att upptäcka och besvara cyberhot på dag- och nattetid. Det andra arbetslaget ansvarar för implementeringen av god praxis i frågan om cybersäkerhet. Den tredje gruppen säkerställer koncernens regelefterlevnad enligt normer som ISO 27001. Slutligen, sitter ett team med uppgiften att sprida ”cyberkulturen” inom VINCI Energies (bland annat genom phishing-tester och krisövningar), men också genom att sköta nätverket av 60 PISO (Pole Information Security Officers) som är utplacerade runt om i världen och som spelar en referentroll för cybersäkerhet på lokal nivå.
Automatisering av processer
Det är inte ärendena som det råder brist på. Utöver den ”konstanta prioritering” som han anser kompetensutveckling vara för sina PISO-medarbetare, lägger Bertrand Leclerc stor vikt vid två huvudprojekt just nu. ”Vi arbetar med att automatisera cybersäkerhetsprocesser. Med tanke det stora antal händelser som vi måste kunna hantera, räcker inte mänskliga insatser. Vi använder oss därför av AI för att upptäcka eventuella incidenter.”
Exempel på en misstänkt händelse: en användare kopplar upp sig på sitt mejlkonto kl. 08.00 i Frankrike och strax därefter kopplar någon annan upp sig på samma konto kl. 08.01 i USA. AI med hjälp av mänsklig övervakning kan då trigga igång en automatisk process som blockerar kontot och varnar användaren.
”Vara verksamma dygnet runt, sju dagar i veckan, och täcka 2 000 av koncernens företag i 62 olika länder.”
”Men när man använder AI måste man också fundera på hur man skyddar verktyget, understryker Bertrand Leclerc. Det kräver andra ansträngningar som vi också satsar på genom att utveckla vårt ‘Security by Design’-tillvägagångssätt. Syftet är att garantera att AI bygger på pålitliga data, det vill säga vars lämplighet företaget godkänt och att det inte leder till sårbarhet.”
En annan av VINCI Energies’ cybersäkerhetsdirektörs prioriteringar är global regelefterlevnad och då i synnerhet i Europa, enligt AI-akten och direktivet NIS 2*.
Minska miljöavtrycket
Bertrand Leclerc vill heller inte underminera sina avdelnings miljöinverkan. ”I frågan om miljön, är cybersäkerhet självklart inte något neutralt med tanke på den mängd data som hanteras. Men sedan fyra år tillbaka granskas alla våra projekt av vårt Sustainable IT-team i syfte att minska klimatpåverkan.”
De telefoner och datorer som tidigare ersattes vart tredje år används numera olika länge, så länge som det går att uppdatera dem. ”Vi prioriterar motståndskraftig infrastruktur och begränsar inköpen av ny utrustning, och därmed också koldioxidavtrycket.”
”En ren produkt av VINCI Energies”
Bertrand Leclerc tillsattes sin nuvarande tjänst som chef över cybersäkerhetsavdelningen i januari 2025 och det efter en lång karriär, både i frågan om processer han varit med och implementerat på företaget, men också på det personliga planet. Han började på koncernen 2001 som halvtidsstuderande och beskriver sig själv som en ”ren produkt av VINCI Energies” där han klättrat uppför alla stegen: från att ha varit support-tekniker till gruppansvarig för ERP-arkitektur och IT-säkerhetssystem. Idag i sin roll som cybersäkerhetsdirektör ansvarar han för strategi, HR, miljöfrågor och budgetrelaterade aspekter på avdelningen.
Med sina 43 år, anser han att han fortfarande har mycket kvar att lära om sitt yrke som han känner ett brinnande intresse för och där de mänskliga och psykologiska aspekterna är minst lika viktiga som tekniken. ”Inom den här branschen är vi i konstant rörelse. Vi måste hela tiden hålla ögonen öppna för ny utveckling, bl.a. inom AI. Jag samarbetar inte bara solidariskt och regelbundet med VINCI Energies’ tio andra IT-direktörer, utan också med Axians, VINCI Energies’ IKT-varumärke, vilket är en verklig fördel eftersom de tar fram verktyg som upptäcker cyberattacker. Slutligen har vi turen att arbeta med övergripande frågor som berör alla avdelningar på detta stora multinationella företag med breda verksamhetsområden som har satt cybersäkerheten som en av sina högsta prioriteringar.”
Enligt Bertrand Leclerc, kan cybersäkerhet liknas med ett permanent ultralopp: terrängen är oförutsägbar, attacker dyker upp likt uppförsbackar att klara av och aktsamheten får aldrig svikta. I detta maratonlopp får man aldrig ge upp, endast uthållighet, klarhet och anpassningsförmåga gäller. Hela vägen över mållinjen.
*AI-akten är en europeisk förordning som ger ett juridiskt ramverk för artificiell intelligens och dess bruk inom den Europeiska unionen. Direktivet ”Network and Information Security 2.0” (NIS 2) är resultatet av en revidering av tidigare cybersäkerhetsdirektiv med utvidgade krav.
20/05/2026
