Tribune. Selon un rapport publié par le Forum économique mondial de Davos en 2018 (1), la cybermenace se hisse désormais, pour les dirigeants, à la troisième place des risques considérés comme les plus probables. Et c’est naturellement cette perception qui pousse ces mêmes dirigeants à ne plus les ignorer. Par Hervé Ysnel, CGI Business Consulting
Les dirigeants ne tournent plus le dos devant la cybermenace. D’une part, les cyber-risques ont gagné en visibilité médiatique – aucun dirigeant d’entreprise ne veut faire la une des journaux télévisés sur ces sujets ! -, qu’il s’agisse de fuites de données ou d’interruptions brutales d’activité. D’autre part, les défaillances des entreprises en matière de cybersécurité entament fortement leur réputation, l’image, le capital confiance et in fine, ont un impact sur leur performance financière. Comment ne pas citer Saint-Gobain qui a vu fondre son chiffre d’affaires de plus de 200 millions d’euros suite à l’attaque NotPetya ou Equifax qui a perdu les données personnelles de ses clients et par ricochet 35 % de sa valorisation en quelques jours. Le lien entre cybersécurité et valorisation financière n’est plus à faire. Des agences (2) de notation se sont positionnées sur ce créneau en attribuant désormais une note au niveau de cybersécurité.
Ce sujet qui empêche les dirigeants de dormir…
Dans un contexte tendu où la menace est chaque jour plus prégnante, il est plus que temps pour les entreprises d’adopter une réelle gouvernance du cyber-risque. Jusqu’ici, le terme même de gouvernance était employé à tort. Les organisations se contentaient plutôt de réduire (3) le risque avec des projets et plans d’actions de responsables de la sécurité des systèmes d’information (RSSI) souvent très compétents mais ayant rarement l’oreille du Comex pour y trouver budgets et prise de décision stratégique.
Quand on parle de gouvernance, il faut l’entendre selon la célèbre maxime militaire, “gouverner, c’est prévoir”. La cybermenace pèse désormais tellement sur l’avenir d’une organisation qu’elle doit nécessairement s’inviter dans les discussions des conseils d’administration. La prise de décision doit en effet remonter dans les plus hautes sphères de l’organisation. L’objectif n’est pas simplement de prévenir mais aussi de garantir la conformité, alors que de plus en plus d’instances, nationales ou internationales, légifèrent et poussent les entreprises à agir plus concrètement.
Vers une nouvelle organisation
Partons de ce postulat : toute entreprise est susceptible de connaître un incident majeur lié à la cybersécurité. Celles qui s’en sortiront (sans trop de dommages) seront celles qui auront anticipé. Anticiper, cela signifie par exemple prévoir des plans de continuité d’activité et de gestion de crise. Il est donc primordial que le Comex s’intéresse à ce sujet pour ajuster son niveau d’implication et se positionner dans la prise de décision et le pilotage des crises.
Au-delà, il est également essentiel de nommer un responsable du risque cyber au Comex. Un grand groupe bancaire a d’ailleurs récemment intégré dans son comité de direction un représentant de la sécurité en la personne d’un ancien Général. Preuve que la prise de conscience germe, lentement mais sûrement. De nombreuses entreprises suivent cette démarche en faisant porter le risque cyber à un acteur de la sûreté, de la conformité, du contrôle… Le choix se faisant principalement selon l’organisation et le secteur d’activité de l’entreprise.
La nécessaire évolution du pilotage du risque
Si le sujet des cyber-risques gagne en visibilité au sein des sphères dirigeantes, une stratégie nouvelle va devoir être définie et impulsée. Car pour décider, les dirigeants doivent pouvoir disposer de toutes les données de l’équation. Un exemple : faut-il lancer rapidement un produit potentiellement vulnérable ou faut-il au contraire prendre du temps pour aboutir à un produit plus fini et risquer de perdre des parts de marché ?
De fait, les responsables du cyber-risque doivent arriver avec de nouvelles approches, telles que des méthodes d’appréciation ou d’analyse de risque global et plus de quantification (4) normée des risques. L’enjeu consistant au final à rapprocher des risques de natures différentes et travailler de concert avec les autres fonctions de défense de l’entreprise : contrôle interne, audit interne, risk management… Le concept d’Entreprise Risk Management (ERM) prend alors tout son sens.
Selon la même logique, les reportings doivent évoluer, dans la forme et le fond. Les indicateurs doivent pouvoir répondre aux questions des dirigeants, aussi bien sur les dépenses en sécurité que sur les activités clés à maintenir en cas d’incident, la conformité à la réglementation ou les pratiques d‘acteurs semblables (il faut pouvoir se positionner !).
Cette petite révolution est bien sûr bousculée par le numérique et les avancées qu’il permet en matière de gestion des cyber-risques. La digitalisation de la fonction de RSSI est en marche : les outils de GRC (Gouvernance-Gestion des risques—Conformité ou Governance-Risk Management-Compliance en anglais) automatisent de nombreuses tâches pour permettre, dans un futur proche, couplé avec le SOC (Security Operation Center), un suivi en temps réel du cyber-risque. Ainsi, la numérisation va conditionner la qualité et l’efficacité de la mission réalisée par le représentant du cyber-risque et donc sa capacité à répondre aux besoins de ses dirigeants.
(1) https://www.weforum.org/reports/the-global-risks-report-2018
(2) Les agences BitSight ou Ratingcy par exemple, ou Cyrating en Europe
(3) En complément de la réduction du risque, le transfert du risque à un Tiers et principalement à la cyberassurance prend son envol depuis quelques mois
(4) Les méthodes d’analyse de risque cyber font de plus en plus appel à la quantification financière des incidents et des risques ce qui facilite la comparaison entre des risques de nature différente.
Qui est l’auteur
Par Hervé Ysnel, Vice-Président en charge des activités cybersécurité et gestion des risques pour CGI Business Consulting.
Pour aller plus loin
Surcharge mentale, fatigue chronique, burn-out… Les ravages de l’hyperconnexion décryptés
L'hyperconnexion entraîne des effets pervers qui touchent autant les salariés que les entreprises. Multitâche, interruptions constantes, mails nocturnes… Ces pratiques, désormais banalisées, nuisent à l’efficacité au travail et à la santé des collaborateurs. Elles menacent aussi l’équilibre entre vie professionnelle et vie personnelle. Découvrez les conseils de Paul Brazzolotto, docteur en psychologie cognitive chez Cog'X, pour préserver votre bien-être et mieux travailler. Il explique aussi le rôle crucial des managers dans la mise en place de pratiques qui favorisent une utilisation plus saine des outils numériques.
29 novembre 2024
Télétravail et cybersécurité : attention dangers !
Avec l’essor du télétravail et des environnements hybrides, les entreprises font face à de nouveaux risques en matière de cybersécurité, allant des cyberattaques aux fraudes internes. Loin de se limiter à des enjeux techniques, ces défis impliquent directement les comportements humains et nécessitent une vigilance accrue. Caroline Diard, professeur associé au département Droit des Affaires et management des RH, TBS Education, et Nicolas Dufour, docteur en sciences de gestion, professeur associé au CNAM LIRSA et également directeur adjoint des risques d’un groupe diversifié, analysent ces problématiques émergentes et proposent des solutions pour renforcer la résilience des organisations face à ces menaces croissantes.
27 novembre 2024
