Tribune. Il y a encore peu de temps, assurer la sécurité d’une entreprise consistait à utiliser des clés sécurisées et à fermer simplement la porte derrière soi. Bien que la sécurité physique reste importante, celle-ci semble presque désuète dans notre monde actuel, largement tourné vers la technologie.
La connectivité est désormais centrale dans notre environnement et en régit bien des aspects. D’ici 2025, 75 milliards d’appareils intelligents devraient être actifs dans le monde, couvrant presque tous les domaines de la société moderne. Qu’il s’agisse d’objets quotidiens (sonnettes, babycam, téléviseurs, etc.), de dispositifs de santé (défibrillateurs etc.) ou encore de machines industrielles, nous sommes constamment connectés à Internet. Le désormais adage selon lequel « toute entreprise est une entreprise technologique » devient chaque jour plus véridique.
Étant donné la façon dont le label « tech » tend à augmenter la valeur des entreprises, définir ce qu’est une entreprise technologique n’est pas anodin. Dans tous les cas, il est évident que toute entreprise, quel que soit son secteur d’activité́ ou sa taille, est axée sur la technologie et dépend d’elle. Alors si les entreprises sont technologiques, chacune d’entre elles doit également intégrer la cybersécurité dans son ADN.
Les avantages liés aux technologies innovantes et émergentes associées à une connectivité accrue sont indéniables. Cependant, toute infrastructure a un coût. Les cyberattaques constituent une menace sérieuse à de nombreux niveaux : dans notre vie privée – via nos données personnelles – en matière de propriété intellectuelle de l’entreprise et sur les infrastructures nationales. Par conséquent, lorsqu’il s’agit de compromettre la cybersécurité, la question qui demeure n’est plus « si » mais plutôt « quand » et ce, malgré les avancées dans les domaines du Machine Learning ou de l’IA.
Il est donc essentiel pour les entreprises de se remettre en question : il n’est plus question de se considérer comme une structure disposant d’un service de cybersécurité mais bel et bien comme une entreprise de cybersécurité possédant un service commercial. Certes, cela peut paraitre exagéré, toujours est-il que les entreprises qui se lancent dans la course à la transformation numérique, se doivent de renforcer simultanément les actions et dispositifs en matière de cybersécurité.
La cybersécurité doit être un principe directeur pour chaque entreprise. En pratique, cela se traduit par le recrutement d’un CISO ou encore d’un CSO qui sera en charge de la sécurité du SI. Bien que cette mesure semble basique, plus d’un tiers des entreprises appartenant au Fortune 500 n’a toujours pas passé le cap. Même si ce chiffre semble relativement peu important, il est indispensable de garder à l’esprit que ces entreprises sont parmi les plus imposantes au monde et qu’elles disposent non seulement du plus de ressources, mais aussi généralement des meilleurs talents pour prévenir les cyberattaques à leur encontre.
En moyenne, les violations de données coûtent en moyenne 3,85 millions d’euros aux entreprises françaises. Mais au-delà du coût engendré, les attaques ont un impact considérable sur la valeur de l’entreprise qui les subit. En général, la valeur marchande est impactée par la perte de données (d’autant plus si celles-ci sont à caractères personnelles) et les cyber-intrusions réussies réduisent les investissements et augmentent l’endettement. Plus les attaques sont nombreuses et plus les conséquences sont amplifiées.
Même si certaines entreprises finissent par recruter des CISO/CSO, nombreux sont ceux qui n’ont de responsable que le nom. Effectivement, beaucoup d’entre eux n’ont pas l’autorité nécessaire pour mener à bien des initiatives de cybersécurité à l’échelle de l’entreprise. D’ailleurs, rares sont les entreprises qui mettent en valeur les profils de ces responsables sur leur site web.
Cela ne signifie pas nécessairement que ces entreprises n’ont pas de stratégies globales de cybersécurité, ni qu’elles n’emploient pas de personnes portant le titre de CISO/CSO. Mais les postes répertoriés sur le site web d’une entreprise donnent souvent une bonne indication des personnes décisionnaires ainsi que son orientation stratégique. Compte tenu des nombreuses conséquences négatives d’une attaque réussie (économiques, réputation etc.) les CISO et CSO devraient pouvoir participer aux discussions stratégiques d’une entreprise.
Il serait facile de dire que les entreprises dépensent de plus en plus pour assurer leur sécurité : d’après IDC, les entreprises auraient dépensé plus de 103 milliards de dollars chaque année pour des solutions de cybersécurité. Avec des dépenses en constante augmentation, tout porte à croire que les entreprises prennent cet aspect de plus en plus au sérieux. Il n’est pas question ici de remettre en doute l’intérêt des entreprises pour la cybersécurité, mais de souligner le manque de place que celle-ci peut prendre au sein de la direction.
Là encore, un service dédié à la cybersécurité est primordial. Souvent, les investissements en la matière sont mal compris et engendrent par conséquent une augmentation des coûts sans que de réels bénéfices n’en soient tirés en matière de gestion de risques. « Le plus est l’ennemi du bien » : un bon RSSI comprendra que des ressources correctement allouées seront beaucoup efficaces.
C’est là l’avantage d’un véritable leader en matière de cybersécurité qui a la possibilité de plaider en faveur d’investissements intelligents dans la cybersécurité et, ce faisant, minimiser les dommages associés aux violations de la sécurité qui sont pratiquement inévitables. Cependant, cela commence par une réelle prise de conscience : toute entreprise aujourd’hui prospère n’a pas d’autre choix que de devenir une entreprise de cybersécurité.
Charles Eagan est Chief Technology Officer chez BlackBerry