Wall Street s’alarme de la méconnaissance des cadres dirigeants en matière de cybersécurité
Dans une enquête conduite à l’échelle internationale, le Nasdaq pointe du doigt la faible implication des états-majors d’entreprises sur le sujet de la sécurité numérique. Alors que leurs organisations n’ont jamais été aussi exposées.
La litanie des cyberattaques jalonne chaque jour l’actualité économique : des entreprises rançonnées après l’envoi de logiciels de chiffrement, des cas multiples de chantage à la publication de données piratées sur le Net, des transferts d’argent frauduleux ou des affaires de paralysie de sites Internet par des campagnes de déni de service. Le phénomène ne connaît pas d’essoufflement.
Et c’est
sans compter toutes les immixtions menées à l’insu des sociétés qui ne
disposent pas des ressources pour identifier les actions de piratage dont elles
font l’objet.
Le gouvernement britannique estime dans un rapport [1] rendu public
début mai 2016 que seules 29% des entreprises au Royaume Uni disposent d’un
plan stratégique opérationnel en cas de cyberattaque. Et qu’elles ne sont que
28% à avoir désigné au sein de leur comité de direction un(e) responsable des
sujets de cybersécurité.
Ne pas faire du numérique un facteur de fragilisation
Alors que les économies occidentales misent plus que jamais sur les technologies de l’information pour adapter leurs modèles industriels et commerciaux aux nouvelles formes de concurrence nées de la globalisation, la prise en compte du risque numérique persiste à être minorée. L’introduction massive des systèmes d’information dans les processus de production, de vente et d’organisation démultiplie l’exposition aux cyberattaques. L’organisation en réseau, la mobilité des équipes et l’échange permanent d’informations sont certainement des vecteurs de productivité et de création de valeur.
Mais ce sont aussi potentiellement des facteurs de fragilisation si aucune réflexion sur ce qu’il convient de protéger n’a été menée en amont. Afin d’identifier ce qui est essentiel à préserver pour l’entreprise. Cette prise en compte de la sanctuarisation du patrimoine informationnel stratégique ne peut relever des seuls services en charge de la sécurité des systèmes d’information. Le Nasdaq, le marché financier du secteur des technologies, estime dans une étude [2] d’avril 2016 conduite aux Etats-Unis, au Japon, en Grande-Bretagne, Allemagne et dans les pays nordiques que « 40 % des cadres dirigeants déclarent ne pas se sentir responsables des répercussions d’une opération de piratage ».
Peut-être faut-il chercher un début d’explication dans le score de 91% des mêmes dirigeants qui reconnaissent ne pas être en mesure d’analyser les rapports sur l’état de la cybersécurité de leur entité qui leurs sont transmis ? Cette incapacité à aborder le sujet de manière éclairée est d’autant plus problématique que l’agenda juridique fixant les responsabilités des entreprises en la matière est en train de s’accélérer. A l’instar de l’adoption récente du Règlement européen sur la protection des données personnelles qui établit à partir du printemps 2018 des sanctions pouvant atteindre 4% du chiffre d’affaires mondialisé (plafonné à 20 millions d’euros) en cas de fuite intempestive de données personnelles.
Ces montants
sont pourtant de nature à mettre le sujet de la sécurité à l’agenda de nombre
de comités exécutifs. Sans oublier les annonces faites à l’automne
2015 par les deux agences de notation Standard & Poor's et Moody's
d’intégrer la cybersécurité parmi les critères d’évaluation des entreprises
qu’elles passent au crible. Autant de circonstances qui vont imposer la
démarche de sécurisation des actifs numériques au cœur de la transformation
technologique des sociétés de tous secteurs. L’aveuglement sera rapidement
assimilé à une faute.
[1] Cyber Security Breaches Survey 2016, mai 2016. HM Governement – Ipsos Mori –
Université de Portsmouth.
[2] The accountability gap : cybersecurity & building a culture
of responsibility, avril 2016, Tanium – Nasdaq.