Cybersécurité : de la contrainte au prérequis business

Comment faire de la cybersécurité une opportunité business et non plus une politique contraignante à laquelle il convient simplement de se conformer ?

Après une phase de digitalisation à marche forcée, les entreprises font aujourd’hui face à un nombre accru de cybermenaces et cyberattaques, prenant d’abord source dans une crise sanitaire puis dans un climat économique et géopolitique instable. Pour exemple, l’envoi de chars allemands en janvier dernier à l’Ukraine a provoqué une vague de cyberattaques sur l’Allemagne (+35%) et sur quelques pays européens. Bien que sans conséquences majeures d’après le BSI (l'agence fédérale allemande de cybersécurité), elles démontrent néanmoins que les conflits géopolitiques se doublent désormais d’une cyberguerre. Santé, finance, hôtellerie, aucun secteur (privé comme public) n’est épargné. De nouveaux enjeux de sécurisation font surface, poussant les entreprises à plus de résilience et à mettre en place des politiques de cybersécurité solides.  

Selon le rapport Gartner « The Top Cybersecurity Predictions for 2022-2023 », 70 % des chefs d'entreprise comptent imposer une culture de résilience pour survivre aux menaces cyber d’ici à 2025. Plus que de répondre à des obligations légales, la cybersécurité devient progressivement une priorité stratégique pour les organisations, voire un enjeu métier. Elle pourrait également assurer de multiples relais de croissance à l’entreprise dans un contexte de vigilance élevé. En ce sens, comment opérer ce changement de paradigme faisant de la cybersécurité une véritable opportunité business et non plus une politique contraignante à laquelle il convient simplement de se conformer ?

Un terrain de jeu collectif et miné

Entre le travail à distance, les interactions de plus en plus digitalisées, le développement du cloud et l’industrialisation de l’économie du numérique, la cybercriminalité ne cesse d’augmenter. Dans son « Panorama de la cybermenace 2022 » l’ANSSI pointe des évènements majeurs à venir tels que la Coupe du monde de rugby 2023 et les Jeux olympiques et paralympiques 2024 comme potentiels sources de vulnérabilités et d’attaques.

Subir une cyberattaque engendre de nombreux préjudices pour une organisation, aussi bien au niveau réputationnel que financier voire légal. Par exemple la plateforme de courtage Robinhooh a été victime d’une fuite de données en 2021 suite à une attaque d’ingénierie sociale. Sept millions de données financières clients ont été diffusées sur internet. Les dommages ne se sont pas fait attendre puisque l’action de la plateforme a chuté de 3% ainsi que sa réputation.

Les entreprises ont aujourd’hui connaissance des risques cyber, de leurs effets, des possibles pertes. Dans un rapport d’information, le Senat révélait qu’une attaque informatique peut conduire une entreprise, notamment TPE ou PME structurellement plus fragiles, à disparaître. Aux États-Unis, 50 % des PME ayant eu tout leur système d'information bloqué à la suite d'une attaque, auraient fait faillite dans les 6 mois ayant suivi. L’heure n’est plus au constat ni à la sidération. Prendre la mesure du risque cyber est urgent. Les entreprises doivent se montrer davantage proactives en intégrant les aspects cyber au sein même de leur business model. Qu’il s’agisse de renforcer la confiance du public ou des investisseurs, faire valoir ses compétences ou encore protéger son entreprise (clients comme employés), investir dans la cybersécurité est à la fois un impératif et un gage de crédibilité pour tout l’écosystème de l’entreprise, et doit devenir un réel différenciant perceptible par les clients.

Un cadre réglementaire au service de la résilience de l’entreprise

Les données représentent un des capitaux essentiels de l’entreprise. Dans une économie numérique, il incombe au régulateur d’exiger une protection pour les données et d’adapter la législation à l’évolution technologique. En somme, il s’agit de règlementer pour mieux protéger.

La nouvelle directive cybersécurité Européenne NIS 2 s’inscrit dans cette perspective. L’objectif est le suivant : harmoniser la cybersécurité au sein de l’Union Européenne, en prenant en compte les nouvelles menaces et les défis futurs. NIS 2 ne tend pas à révolutionner la cybersécurité. Elle vise, avant toute chose, à ce que l’Europe puisse avoir une posture de cybersécurité cohérente au niveau des enjeux géopolitiques actuels, particulièrement complexes. La directive entend intégrer de nouveaux secteurs critiques : administrations publiques, santé, énergie ou encore espace. Elle promeut une meilleure coopération entre entreprise et Etats-membre de même qu’une rationalisation des processus de reporting des incidents. Un dispositif salutaire qui va assurément favoriser les mesures préventives et une plus grande capacité de réaction en cas d’attaque.

Les entreprises sont plutôt favorables à ces nouvelles règlementations, et voient l’intérêt que cela peut leur apporter. Sur l’aspect reporting par exemple, l’étude Global Digital Trust Insights de PwC le confirme et dévoile que quatre entreprises sur cinq dans le monde déclarent qu’un format standardisé pour la déclaration obligatoire des cyber incidents est nécessaire pour gagner la confiance des parties prenantes. Les entreprises qui ne se conforment pas aux règlementations et n’assurent pas un cadre sécuritaire nécessaires prennent le risque de devenir moins attractives aux yeux de leurs clients, prospects et partenaires. Les assurances cyber sont d'ailleurs en pleine restructuration sur leurs couvertures ce qui confirme l’ampleur du sujet.

D’une stratégie de survie à un avantage commercial

Les données détenues par les entreprises sont autant une force qu’une faiblesse. Les cyberattaquants en ont fait une cible de choix particulièrement lucrative. Les enjeux financiers étant bien trop importants, il est tout à fait envisageable que certaines invoquent, comme motif légitime, l’absence de règles cyber solides pour, par exemple, mettre fin à un processus de rachat d’entreprise. Des initiatives de cyberscoring sont actuellement en cours, peut-être deviendront-ils demain un indicateur majeur de la bonne santé de l’entreprise. La compétitivité des entreprises reposant de plus en plus sur leur maitrise des outils numériques, la capacité à se protéger face aux attaques devient donc un enjeu vital tant pour garantir leur activité et leur croissance que pour conserver la confiance. Il en sera probablement de même pour le secteur public, très largement visé par des attaques informatiques en tout genre. Les organisations qui intègrent dès aujourd’hui la cybersécurité à leur stratégie en l’appréhendant comme un atout commercial prennent une longueur d’avance sur leurs concurrents.

Si les nouvelles réglementations mises en œuvre par l’Europe peuvent être vues comme une pression supplémentaire sur les entreprises, elles représentent néanmoins une impulsion nécessaire pour faire face aux menaces grandissantes, en renforçant l’uniformisation du niveau de sécurité au sein de l’Union Européenne. Rares encore sont les entreprises qui ont suffisamment conscience des cybermenaces bien que les dangers augmentent depuis longtemps déjà. Les organisations doivent donc investir davantage et sans plus attendre dans la cybersécurité pour rattraper leur retard. C’est (toujours) le bon moment pour le faire, en raison notamment de ces nouvelles réglementations. Seule une approche holistique de la cyber (tactique et stratégique) permettra aux entreprises d’atteindre leurs objectifs commerciaux. Elles y gagneront en crédibilité, pérennité et compétitivité.