Wall Street s’alarme de la méconnaissance des cadres dirigeants en matière de cybersécurité

Dans une enquête conduite à l’échelle internationale, le Nasdaq pointe du doigt la faible implication des états-majors d’entreprises sur le sujet de la sécurité numérique. Alors que leurs organisations n’ont jamais été aussi exposées.

La litanie des cyberattaques jalonne chaque jour l’actualité économique : des entreprises rançonnées après l’envoi de logiciels de chiffrement, des cas multiples de chantage à la publication de données piratées sur le Net, des transferts d’argent frauduleux ou des affaires de paralysie de sites Internet par des campagnes de déni de service. Le phénomène ne connaît pas d’essoufflement.

Et c’est sans compter toutes les immixtions menées à l’insu des sociétés qui ne disposent pas des ressources pour identifier les actions de piratage dont elles font l’objet.
Le gouvernement britannique estime dans un rapport [1] rendu public début mai 2016 que seules 29% des entreprises au Royaume Uni disposent d’un plan stratégique opérationnel en cas de cyberattaque. Et qu’elles ne sont que 28% à avoir désigné au sein de leur comité de direction un(e) responsable des sujets de cybersécurité.

Ne pas faire du numérique un facteur de fragilisation

Alors que les économies occidentales misent plus que jamais sur les technologies de l’information pour adapter leurs modèles industriels et commerciaux aux nouvelles formes de concurrence nées de la globalisation, la prise en compte du risque numérique persiste à être minorée. L’introduction massive des systèmes d’information dans les processus de production, de vente et d’organisation démultiplie l’exposition aux cyberattaques. L’organisation en réseau, la mobilité des équipes et l’échange permanent d’informations sont certainement des vecteurs de productivité et de création de valeur.

Mais ce sont aussi potentiellement des facteurs de fragilisation si aucune réflexion sur ce qu’il convient de protéger n’a été menée en amont. Afin d’identifier ce qui est essentiel à préserver pour l’entreprise. Cette prise en compte de la sanctuarisation du patrimoine informationnel stratégique ne peut relever des seuls services en charge de la sécurité des systèmes d’information. Le Nasdaq, le marché financier du secteur des technologies, estime dans une étude [2] d’avril 2016 conduite aux Etats-Unis, au Japon, en Grande-Bretagne, Allemagne et dans les pays nordiques que « 40 % des cadres dirigeants déclarent ne pas se sentir responsables des répercussions d’une opération de piratage ».

Peut-être faut-il chercher un début d’explication dans le score de 91% des mêmes dirigeants qui reconnaissent ne pas être en mesure d’analyser les rapports sur l’état de la cybersécurité de leur entité qui leurs sont transmis ? Cette incapacité à aborder le sujet de manière éclairée est d’autant plus problématique que l’agenda juridique fixant les responsabilités des entreprises en la matière est en train de s’accélérer. A l’instar de l’adoption récente du Règlement européen sur la protection des données personnelles qui établit à partir du printemps 2018 des sanctions pouvant atteindre 4% du chiffre d’affaires mondialisé (plafonné à 20 millions d’euros) en cas de fuite intempestive de données personnelles.

Ces montants sont pourtant de nature à mettre le sujet de la sécurité à l’agenda de nombre de comités exécutifs. Sans oublier les annonces faites à l’automne 2015 par les deux agences de notation Standard & Poor's et Moody's d’intégrer la cybersécurité parmi les critères d’évaluation des entreprises qu’elles passent au crible. Autant de circonstances qui vont imposer la démarche de sécurisation des actifs numériques au cœur de la transformation technologique des sociétés de tous secteurs. L’aveuglement sera rapidement assimilé à une faute.

[1] Cyber Security Breaches Survey 2016, mai 2016. HM Governement – Ipsos Mori – Université de Portsmouth.
[2] The accountability gap : cybersecurity & building a culture of responsibility, avril 2016, Tanium – Nasdaq.

Juridique / Etats-Unis