La pandémie de COVID-19 a été le catalyseur qui a accéléré la digitalisation des entreprises afin d’assurer la continuité des activités grâce à des solutions cloud flexibles, scalables et accessibles. Cependant, si ces décisions ont permis de palier à l’urgence, les entreprises se heurtent aujourd’hui à de nouveaux enjeux, ceux de la sécurisation de leurs infrastructures, applications et données face à la recrudescence des cyber-attaques. En effet, d’après l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), elles sont en constante augmentation, si bien que depuis mars 2020, les tentatives de phishing comme les attaques par ransomwares ont été multipliées par 4.
La menace cyber n’a jamais autant pesé sur les organisations, il y a désormais urgence à agir pour minimiser les surfaces d’attaque, identifier et limiter leurs effets afin d’assurer la continuité de service. Ces défis majeurs doivent s’inscrire au cœur de la stratégie de développement des entreprises puisqu’ils sont porteurs d’enjeux commerciaux, réputationnels et légaux. La stratégie cyber devient l’affaire de tous les services de l’entreprise, jusqu’à la direction générale qui doit impérativement se saisir de cet enjeu stratégique, il en va désormais de la pérennité de leur organisation.
La stratégie cyber, facteur de pérennité et de compétitivité des entreprises
D’après le Rapport d’Information de Sébastien Meurant et Rémi Cardon tenu au Sénat le 10 juin 2021, la cybercriminalité a coûté 6 000 milliards de dollars en 2021, tous secteurs confondus, contre 3 000 milliards en 2015. Toujours d’après ce même rapport, 43% des PME françaises ont constaté au moins un incident au cours de l’année 2020, et 16% des cyberattaques ont menacé la survie d’une entreprise. Pire encore, selon l’étude de l’assureur britannique Hiscox sur la gestion des cyber-risques en entreprises, menée dans 8 pays d’Europe, dont la France début 2021, une entreprise sur six déclare avoir frôlé la faillite après une attaque. Une entreprise victime d’une cyberattaque se voit directement exposée au risque réputationnel et commercial. Un blocage de l’infrastructure engendre de facto un blocage des ventes, quant au vol de données, c’est l’image de marque qui est immédiatement altérée pesant également sur les ventes.
En janvier 2019, Airbus révèle un vol de données contenant des coordonnées professionnelles et des identifiants informatiques et s’est ainsi confronté à l’effondrement de ses commandes couplé à de nombreuses annulations. Autre enjeu clé de la sécurisation des infrastructures et données, de lourdes sanctions financières en cas de non-conformité avec les réglementations en vigueur. Depuis son entrée en vigueur en mai 2018, le RGPD oblige toute entreprise victime de cyberattaque ou d’intrusion à alerter, dans les quarante-huit heures suivant la découverte, les autorités et les personnes concernées. En cas de manquement, et donc de violation de ce règlement, l’entreprise risque une amende pouvant s’élever à 20 millions d’euros.
Toute menace sous-tend une opportunité, à condition de saisir les bons leviers. Les entreprises doivent faire de la cybersécurité une priorité, tant pour gagner la confiance de leurs clients, que pour rassurer leurs collaborateurs et partenaires. En identifiant les données vitales, en les classifiant et en les chiffrant, les entreprises établissent le socle d’une stratégie fiable. En devenant « gardien de la donnée client », l’entreprise les rassure et renforce son image. En effet, une étude de Capgemini de 2018 portant sur le secteur de la distribution montre que même si la réputation d’une marque reste un critère déterminant pour les consommateurs lorsqu’il s’agit de choisir un distributeur, ils sont également 77% à se décider en fonction du degré de cybersécurité et de protection des données. En sécurisant ses données, l’entreprise touche plus de clients et augmente ses taux de conversion : 40% des clients sont prêts à augmenter leurs dépenses d’au moins 20% s’ils se sentent en confiance. De même, en sécurisant les accès en suivant le modèle dit « Zero Trust », qui vise à contrôler et auditer tout flux informatique de manière exacerbée, l’entreprise rend la vie plus difficile aux hackeurs. Il ne faut pas oublier que la majorité des hackers travaillent aujourd’hui pour des organisations de type mafieuse qui ont elles-mêmes des objectifs de rentabilité. Le temps passé à attaquer une entreprise doit apporter du chiffre d’affaires. Rendre la vie dure aux hackers peut détourner leur attention vers des cibles potentiellement plus accessibles.
Un enjeu à inscrire à l’ordre du jour des patrons
Trop longtemps cantonnée au service informatique, la stratégie de cybersécurité concerne en réalité tous les services et doit pouvoir rayonner à tous les niveaux. Pour qu’elle constitue un réel un atout compétitif, elle doit être l’affaire de tous, à commencer par le dirigeant.
En premier lieu, il sera recommandé que le Responsable de la Sécurité des Systèmes d’Information (RSSI) rende des comptes non pas au Directeur des Systèmes d’Information (DSI), mais bien à la Direction Générale, voire au Conseil d’Administration de l’entreprise. Le RSSI étant chargé d’établir et de contrôler la bonne mise en place de la Politique de Sécurité du Système d’Information (PSSI) au sein de l’entreprise et des systèmes informatiques en particulier, lui donner une place dédiée dans l’organigramme limite les risques de conflit d’intérêts avec sa hiérarchie.
Une bonne stratégie inclura également un plan de formation à la cybersécurité pour tous les collaborateurs de l’entreprise. Non seulement le niveau de maturité peut être très variable au sein d’une organisation, mais des piqûres de rappel pour les plus avertis sont toujours les bienvenues.
Certains services, plus vulnérables, comme les services Finance, Comptabilité, Direction Générale et Communication par exemple, peuvent faire l’objet de formations spécifiques, mais aussi d’exercices de simulation de crise afin de mieux appréhender l’éventualité d’une attaque.
Certaines entreprises sont soumises à des contraintes règlementaires en matière de cybersécurité. Avec les RGPD, Directive NIS (Network and Information System Security) et loi de programmation militaire, le cadre juridique a tendance à se resserrer ces derniers temps. Il est important de rester vigilant et anticiper certaines actualités législatives comme le rapport parlementaire paru en octobre 2021, dans lequel la députée Valéria Faure-Munitan demande de « sanctionner les entreprises, administrations ou collectivités qui procèdent au paiement des rançons à l’aide d’un tiers ou de manière directe », par exemple.
Aujourd’hui, les cyberattaques sont considérées comme l’une des 5 menaces les plus importantes face à la stabilité de l’économie mondiale, aux côtés des risques climatiques ou encore des maladies infectieuses. La capacité de survie face à un risque cyber, et la capacité à capitaliser sur l’instabilité qui suit, sont aujourd’hui des facteurs que le dirigeant doit prendre en compte dans l’élaboration des axes de développement de l’entreprise. Face au risque systémique d’attaques, rapprocher tous les services aux côtés du Responsable de la Sécurité des Systèmes d’Information afin de constituer un front commun représente un rempart sur lequel les entreprises pourront bâtir leur compétitivité et de fait, leur pérennité.
