• resiliation-anticipation
  • LA CYBER : NOUVEAU LEVIER STRATÉGIQUE DES COMEX
  • Par Pierre Oger, Directeur Général d’EGERIE

    Les cybermenaces se sont hissées à la troisième place des risques considérés comme les plus probables par les dirigeants, selon le Global Risks Report publié par le Forum économique mondial de Davos en 2018. En 2019, ce dernier reconnaît la cybercriminalité comme un risque majeur. Si les COMEX tendent à prendre conscience des enjeux que posent les cyberattaques pour leur entreprise, ils peinent à développer une réelle stratégie cyber, efficace et agile. Alors que la prochaine crise pourrait être cyber, au sortir de cette pandémie, il est plus que jamais essentiel que les dirigeants portent la cyber comme un véritable levier stratégique pour assurer la croissance et la pérennité de leur entreprise.

    C'est dans ce contexte aussi dynamique que délicat que nous accompagnons les entreprises dans la conception d’une nouvelle stratégie cyber, en mettant à disposition des dirigeants, des outils leur permettant de mieux évaluer l’exposition de leurs organisations aux risques, leurs capacités à faire face à un incident et les accompagner pour trouver de nouveaux leviers de performance.  

  • Acculturer les dirigeants aux risques cyber

    La cybersécurité doit impérativement faire partie intégrante de la stratégie d’une entreprise. L’enjeu est devenu crucial en raison de l’impact multidimensionnel que peut avoir une cyberattaque. De nombreux exemples viennent illustrer la puissance de feu des hackers. Après Saint-Gobain qui a vu fondre son chiffre d’affaires de plus de 200 millions d’euros à la suite de l’attaque NotPetya et Equifax qui a perdu les données personnelles de ses clients et par ricochet 35 % de sa valorisation en quelques jours, Altran a subi, en 2019, un rançongiciel dont le coût est estimé à 20 millions d’euros. Le groupe de lingerie haut de gamme Lise Charmel est quant à lui en redressement judiciaire après une cyberattaque redoutable. Les PME, particulièrement fragiles et exposées, sont des proies de premier choix des cybercriminels : l’entreprise Clermont pièces, spécialisée dans les pièces d'électroménager et basée à Clermont-Ferrand (Puy-de-Dôme), a été contrainte de mettre la clef sous la porte après avoir été la cible d’une cyberattaque en 2017. Des entreprises européennes stratégiques comme la société britannique Elexon, qui fait l’intermédiaire entre les producteurs d’électricité et les demandeurs d’énergie ont également été touchées. À l’heure de l’information en continu, l’image de l’entreprise peut être rapidement et entièrement entachée. « It takes 20 years to build a reputation and less than 5 minutes to ruin it. Let’s think about that and you’ll see your business differently », rappelle Warren Buffet.

    Au-delà du simple blocage informatique, toute l'activité de l'entreprise peut être anéantie, entrainant des pertes financières majeures tout comme un impact sur l'image et la réputation de l'entreprise. À l'ère de la toute transparence et de la justification permanente, les entreprises doivent autant répondre aux pressions financières et sociétales, qu'obéir à une mise en conformité renforcée (que ce soit pour appliquer les réglementations, le RGDP ou la directive européenne Network and Information Security (NIS) pour n'en citer que deux). Aussi, elles doivent protéger leurs actifs immatériels, ces données qu’elles détiennent grâce à des dispositifs de cybersécurité efficaces et adaptés : analyse de risques, chiffrement, authentification forte, etc. Pour y parvenir, il relève de la responsabilité des dirigeants de comprendre la nature et la valeur de ce qu'ils doivent protéger, connaître ensuite le type de risques et de menaces auxquels leur entreprise est et pourrait être confrontée car chaque entreprise est unique, pour enfin mettre en place une véritable stratégie de protection cyber portée par l'ensemble des collaborateurs.
    Les membres des COMEX sont surchargés d'informations. Ils doivent prendre des décisions et rendre des arbitrages avec rapidité et justesse alors que la pression fait rage. Dès lors, nous devons fournir les outils et les indicateurs clés, facilement compréhensibles, aux DSI qui disposeront ainsi des éléments clés à mettre en exergue, retenant alors l'attention des dirigeants quant à l’évaluation de leurs risques, de leurs patrimoines et donc de leurs besoins pour devenir cyber-résilient.

    Une cartographie dynamique des risques cyber est alors incontournable afin de définir les actions de protection à déployer immédiatement, tout comme les adaptations à mettre en place face à l'évolution des risques et de votre situation. « Le contexte de crise actuel a repensé nos modèles de travail en entreprise. Cela nécessite de refaire toutes les analyses de risques et cyber en particulier, car beaucoup de sociétés ont mis en place le télétravail avec une ouverture de leurs systèmes non préparée. Cela a engendré des failles que les cybercriminels ne vont pas manquer d'exploiter. » Souligne Thierry Delville, associé au sein du pôle Cyber Intelligence de PwC.

  • L’importance grandissante de la cyber-résilience

    Les entreprises sont entrées dans une nouvelle dynamique en matière de numérique accélérée par la crise sanitaire. C'est donc une opportunité pour nous tous, de bâtir un avenir digital résilient. Il faut donc que les entreprises intègrent ce changement d’état d’esprit. La situation actuelle nous montre que nous en sommes capables. Pour assurer sa capacité de résilience, l’entreprise doit élaborer une méthodologie solide en s’appuyant sur une analyse de risque globale. Disposant de compétences éprouvées en matière d’élaboration de référentiels, nous souhaitons être un facilitateur pour l’entreprise qui souhaite développer sa capacité de cyber-résilience. Cette approche holistique permettra aux décideurs de disposer des éléments propices à une prise de décision éclairée, grâce à des indicateurs simples, intuitifs et clairs, favorisant ainsi les choix d’investissements et l’allocation des ressources. La cyber doit être abordée comme un investissement et non comme un coût. « La mise en place des outils de cybersécurité peut éviter de lourdes pertes financières, des vols de données, etc. qui impactent l'image et la notoriété de l'entreprise auprès des clients, des investisseurs... La cyber-résilience est donc un outil au service de la confiance qui peut être utilement valorisé et valorisable. Un autre point que nous mettons en perspective à l'occasion des opérations de M&A (fusions-acquisitions) et qui s'inscrira certainement, pour les opérations à venir, dans le prolongement de cette crise du COVID-19.  » ajoute Thierry Delville.

  • L’établissement d’une nouvelle gouvernance

    Mais les entreprises entrent dans une période de crise économique pour certains, d'incertitude économique pour d'autres. Après des décennies de croissance quasi continue, le monde devrait connaître, en 2020, une récession historique et la pire crise économique depuis 1929... Dans ce contexte, il y a donc fort à parier que les investissements diminuent en matière de cyber, voir que certaines coupes budgétaires se répercutent sur le secteur ou à tout le moins que de nombreux projets soient ralentis. Pour autant, il est vital de garder à l'esprit la dimension stratégique de la sécurité numérique de l'entreprise qui pourrait bien, à défaut, devenir l'équivalent de la 2e vague du COVID que nous redoutons tous  !

    « Gouverner, c’est prévoir », écrivait Emile de Girardin, journaliste et homme politique français. Le risque cyber étant transverse, il peut impacter toutes les fonctions de l’entreprise. Le rôle du COMEX est d’anticiper le risque afin de l'éliminer ou à défaut de continuer de fonctionner en mode dégradé si la crise survient. La DSI doit donc pouvoir trouver une oreille attentive au sein du COMEX et de la direction administrative et financière (DAF) qui disposent des ressources nécessaires pour développer la cybersécurité de l’entreprise. Avec un haut niveau de data intelligence, le département finance peut aujourd’hui réaliser diverses simulations en utilisant l’analyse prédictive. C’est pourquoi nous préconisons l’établissement d’une ligne directe entre la DG et la DSI. Ce schéma constituerait une structuration optimale pour toutes les entreprises qui ont fait du numérique une priorité stratégique. Reste enfin la culture de l'entreprise et la sensibilisation de l'ensemble des salariés qui doit être informé, formé et entraîné aux risques cyber. Chacun a un rôle clé à jouer.

    Il n’est pas inutile, en cette période, de se rappeler que « Pour vivre, il faut maintenir toutes ses fonctions vitales, pour mourir, il suffit d’en détruire une seule! » tel que le souligne Bruno Luirard, Associé fondateur et Président de « La Voix des Hommes » .

    Les dommages liés à la cybercriminalité devraient ainsi atteindre 6000 milliards de dollars par an d’ici à 2021. Le dirigeant doit donc définitivement penser la cyber comme un pilier stratégique de son entreprise pour la protéger face aux menaces, mais aussi assurer et penser sa croissance et sa pérennité en valorisant cette dimension aux yeux de ses partenaires, employés, clients ou investisseurs, soucieux de placer leur confiance entre les mains d'entreprises responsables.