Face à la transformation numérique, les entreprises doivent maîtriser de nombreux risques qui menacent leur développement. Cette évolution technologique soulève des questions cruciales en matière de sécurité et de gouvernance. On fait le point avec Nicolas Bianciotto.
Les trois grandes menaces cyber actuelles
Le paysage des cybermenaces s’est considérablement densifié ces dernières années. Les chiffres parlent d’eux-mêmes : entre 2019 et 2020, le nombre d’attaques traitées par l’ANSSI a quadruplé. De surcroît, la cybercriminalité génère des revenus annuels estimés à 1500 milliards de dollars à l’échelle mondiale, soit près de 2% du PIB mondial. Cette activité rapporte désormais trois fois plus que le trafic de drogue.
Les organisations, qu’elles soient grands groupes, PME ou collectivités territoriales, font face à trois types de menaces majeures : la cybercriminalité (fraudes et rançongiciels), l’espionnage (vol de savoir-faire et de technologies) et la déstabilisation (sabotage et atteinte à l’image). Les chaînes d’approvisionnement sont particulièrement visées car elles constituent des points d’entrée vulnérables vers les grands comptes.
Les dangers au-delà du cyber
La transformation numérique comporte aussi des risques moins visibles. Au niveau de la gouvernance, les décideurs peinent parfois à comprendre la réalité des outils numériques. Les aspects économiques et financiers sont tout aussi préoccupants : entre 60% et 90% des start-ups échouent, tandis que certaines entreprises rencontrent des difficultés pour valoriser leurs services numériques ou maîtriser les coûts de leur transformation.
L’aspect technique ne doit pas être négligé. Le monde numérique repose sur des infrastructures physiques bien réelles : matériel informatique, bâtiments, opérateurs, réseaux d’énergie et matières premières.
Une gestion structurée des risques
La maîtrise des risques doit devenir un outil de gouvernance plutôt qu’une simple couche de procédures. Cette gestion s’articule autour de trois phases essentielles. En amont, il s’agit d’identifier les incertitudes et d’évaluer les risques de manière structurée. Pendant la crise, une bonne préparation permet d’éviter les mauvaises réactions qui amplifient les problèmes. Après l’incident, le retour d’expérience permet d’apprendre de ses erreurs comme de ses succès.
Ce management des risques requiert une approche transparente et collaborative. La dissimulation des problèmes représente le pire des scénarios. La réussite de cette démarche dépend de l’implication de tous les acteurs de l’entreprise, chacun contribuant à l’effort collectif de sécurité.
Les fondamentaux d’une stratégie de protection
La sécurité numérique doit s’inscrire au cœur de la gouvernance d’entreprise. Cette démarche passe par la construction progressive d’un socle de sécurité en termes de protection, défense et résilience. Le pilotage du risque nécessite une amélioration continue, une veille sur les menaces et des audits réguliers. Des exercices de gestion de crise permettent de tester la résilience de l’organisation.
Dans ce contexte, trois principes restent immuables : aucune protection n’est infaillible, mais aucune attaque n’est garantie ; les attaquants recherchent plusieurs points d’entrée pour rentabiliser leurs opérations ; ils appliquent le principe du moindre effort dans une logique d’analyse de risque. Un rapport de force doit donc être établi et maintenu dans la durée entre l’attaquant et le défenseur.
No Comments