La transformation numérique des entreprises exige de la sécurité

Les stratégies de transformation numérique des entreprises sont indispensables à la prise en compte des nouvelles formes de concurrence. Mais elles doivent inclure la sécurisation du patrimoine informationnel. Au risque sinon d'assister au pillage de celui-ci.

Les entreprises les plus matures dans leur transformation numérique ont eu une croissance six fois plus élevée que les sociétés les moins avancées. C’est la conclusion de l’enquête (1) publiée fin 2014 par le cabinet Roland Berger. Cette inclusion des technologies de l’information dans les organisations et les modèles économiques ouvre des potentiels de croissance qui sont indispensables à la prospérité future de l’Europe. Toutefois, cette numérisation s’accompagne d’une exposition croissante aux risques numériques. Avec de nouvelles formes de menaces qui peuvent miner les entités a priori les plus robustes. Le vol d’informations, l’interception des communications et les opérations d’ingénierie sociale propres à conduire des opérations d’usurpation d’identités et de fraude de grande ampleur se sont banalisés.

Si les entrepreneurs et les directions générales adoptent naturellement des postures de conquête pour aborder de nouveaux marchés et concevoir des produits ou services toujours plus innovants, ils doivent prendre en considération la montée en puissance de la cybermenace. Celle-ci met à disposition des attaquants des outils potentiellement très efficaces pour paralyser des sites d’e-commerce ou crypter des données qui ne seront rendues à nouveau disponibles qu’en échange du paiement d’une rançon. Si l’arsenal juridique existe pour interdire de telles pratiques, son exécution pratique dans le cyberespace est largement freinée par la mobilité des pirates. Ces assaillants 2.0 se jouent des frontières juridiques pour disposer d’une impunité de fait.

Les entreprises et les administrations doivent donc adopter des stratégies de défense, qui les mettront en position d’identifier le plus tôt possible l’agression afin d’en limiter les effets. Cette veille constante et cette culture de la résilience sont désormais des composantes indispensables de l’action des directions générales. Il ne s’agit pas d’un sujet uniquement technique qui se limiterait à piocher dans un catalogue de solutions mais bien d’un enjeu stratégique de gouvernance et de pilotage de l’avenir de l’entreprise.

La taille, le secteur d’activité et la localisation géographique de la société ne sont plus des critères pour devenir une cible numérique. Les gains possibles sont si importants que le moindre équipement connecté au réseau peut désormais être exploité comme une source de contamination. Quand le groupe de distribution Target se fait attaquer aux Etats-Unis fin 2013, c’est le système d’information du prestataire en climatisation des magasins qui a été utilisé pour pénétrer au cœur des infrastructures du commerçant. Et dérober des millions de données personnelles et bancaires de clients.

L’architecture numérique qui porte les nouveaux relais de croissance peut être mise à mal par des solutions de piratage qui sont accessibles pour quelques centaines d’euros. A quoi bon miser sur une mutation technologique des organisations si celles-ci ne sont pas protégées à la hauteur de leur contribution à la création de valeur ? Cet engagement ne relève certainement pas de la seule appréciation technique mais se place au contraire dans une appréciation stratégique relevant de la direction générale. Celle-ci ne peut se retrancher derrière la maxime gaullienne : « l’intendance suivra ».

L’entreprise du XXIème siècle a trop à perdre en termes de savoir-faire, d’argent ou de réputation pour ne pas anticiper sa cybersécurité. Rappelons qu’en cas de défaut de protection de son système d’information, la responsabilité de l’entreprise peut être engagée. Tant par ses partenaires économiques (pour atteinte à l’intégrité de leur système d’information, en cas de non-respect des engagements de livraison ou de confidentialité...) que par ses actionnaires et ses salariés (avec à la clé une mise en cause du dirigeant pour faute de gestion). Des mises en cause possiblement coûteuses, qui elles n’ont rien de virtuel.

(1) « L’aventure numérique une chance pour la France », Cabinet Roland Berger, Automne 2014.