Dans un monde où tout devient numérique, institutions, entreprises et associations sont de plus en plus dépendantes des systèmes d’information. Elles deviennent ainsi de plus en plus vulnérables aux attaques provenant de cybercriminels, que ceux-ci soient de simples malfaiteurs, des « hacktivistes » politiques, des États et même leurs propres employés. Il semble évident que nos institutions dans leur ensemble doivent faire de plus en plus de compromis réfléchis entre la valeur intrinsèque d’un monde hyperconnecté et les différents risques (perturbation opérationnelle, perte de propriété intellectuelle, embarras public, fraude) que peuvent créer les cyber-attaques. Au cours de l’année qui vient de s’écouler, McKinsey et le Forum économique mondial ont entrepris des recherches pour dresser un tableau factuel des cyber-risques, évaluer leurs implications économiques et stratégiques, établir une marche à suivre.

Après une série d’entretiens avec des dirigeants et l’analyse de données de plus de 200 entreprises, de fournisseurs en technologie et d’organismes publics, trois grandes conclusions se dégagent.

. Malgré de nombreux efforts et des dizaines de milliards de dollars dépensés chaque année, l’économie mondiale n’est toujours pas suffisamment protégée contre les cyber-attaques, un phénomène qui ne cesse de s’aggraver. Le risque de cyber-attaques est susceptible de ralentir considérablement l’innovation technologique comme celle du monde des affaires, ce qui pourrait avoir un impact total de 3000 milliards de dollars.

. Les dirigeants d’entreprises technologiques s’accordent sur les sept pratiques à mettre en place pour améliorer leurs capacités de résistance face aux cyber-attaques (voir plus bas), ce qui n’empêche pas la plupart des responsables de systèmes d’information de juger que leurs entreprises sont loin de faire les efforts suffisants pour faire évoluer les choses.

. Compte tenu de la transversalité et du poids des enjeux de la cybersécurité, la question doit être considérée au niveau de la direction d’une entreprise et le renforcement des systèmes d’information ne peut être accompli qu’avec la participation active des hauts dirigeants.

Une vulnérabilité croissante
Les grandes organisations sont confrontées à deux risques technologiques majeurs : le vol d’informations et la perturbation intentionnelle des processus en ligne. Près des deux tiers des entreprises interrogées, tous secteurs et régions confondus, estiment que le risque de cyber-attaques est un « problème important qui peut avoir des implications stratégiques majeures ».

Les défenseurs perdent du terrain face aux attaquants. Près de 80% des responsables informatiques avouent ne pas pouvoir faire face à la sophistication de plus en plus grande dont font preuve les pirates. Beaucoup d’agents opérationnels constatent que les attaques élaborées sont de plus en plus le fait de criminels et de « hacktivistes » aux profils variés, animés d’intentions beaucoup plus destructrices que par le passé.

Les grandes organisations n’ont pas une connaissance suffisamment bonne des faits et des processus en œuvre pour prendre des décisions efficaces en matière de cybersécurité. Sur les quelque 60 organisations étudiées en détail, 34% avaient un niveau de maturité technologique « débutant », 60 %, « en développement ». Les dépenses, si importantes soient-elles, ne se sont pas traduites par une plus grande maturité technologique et de nombreuses organisations semblent dépenser de l’argent de manière tout à fait inefficace.

Les mesures indispensables pour contrer les cyberattaques ont d’ores et déjà un impact sur les entreprises. Les questions de sécurité retardent en moyenne de six mois le déploiement des fonctionnalités mobiles dans les entreprises et limitent considérablement leur façon d’utiliser le Cloud public. Pour près des trois quarts des entreprises, les contrôles de sécurité réduisent la productivité opérationnelle en ralentissant la capacité du personnel à partager des informations. Et même si les dépenses directes pour la cybersécurité demeurent limitées, elles peuvent avoir un impact indirect beaucoup plus important sur l’organisation informatique. Certains directeurs de systèmes d’information estiment que les exigences en matière de sécurité pourraient représenter 20 à 30 % de leur activité totale.

Plusieurs scénarios sont envisageables en ce qui concerne l’évolution de l’environnement cybersécuritaire au cours des cinq à sept années à venir. Si les attaquants continuent à progresser plus rapidement que les défenseurs, on pourrait constater un ralentissement général de la numérisation. Dans un tel scénario, un nombre relativement limité d’attaques destructrices réduit la confiance dans l’économie, ce qui conduit les pouvoirs publics à imposer de nouvelles réglementations et à créer de nouveaux organismes de surveillance, susceptibles de ralentir le rythme de l’innovation technologique. D’ici 2020, il pourrait y avoir un gros manque à gagner sur les 10 000 à 20 000 milliards de dollars générés par des innovations (big data, mobilité…) et l’impact pourrait atteindre jusqu’à 3000 milliards de dollars en termes de productivité et de croissance.

Améliorer la résilience des systèmes d’information
Axés sur la technologie et la conformité, les modèles destinés à protéger les institutions de cyber-attaques sont de moins en moins efficaces. Ils n’impliquent pas les dirigeants de manière efficace, sont extrêmement manuels et nécessitent une intervention très spécialisée. Ils sont inadaptés face à des attaques de plus en plus nombreuses et s’avèrent trop lourds pour les entreprises. Trop souvent, la question de la sécurité devient le goulet d’étranglement pour les initiatives innovantes.

Les spécialistes reconnaissent la nécessité de créer des modèles opérationnels différents dans le domaine de la cybersécurité et semblent s’accorder sur ce que doivent être ces modèles. En voici les principes-clés.

1. Hiérarchiser les informations en fonction des risques auxquels sont exposées les entreprises. La plupart d’entre elles ne savent pas suffisamment ce qu’elles doivent protéger et avec quel degré de priorité. Les équipes en charge de la cybersécurité devraient travailler aux côtés des dirigeants pour comprendre les risques qui menacent leur entreprise et hiérarchiser l’information en conséquence.

2. Fournir une protection différenciée.
Tout protéger revient à ne rien protéger. L’emploi de moyens de contrôle différenciés (cryptage, mots de passe plus difficiles à déchiffrer…) permet de concentrer plus de temps et plus de ressources à protéger ce qui compte le plus.

3. Intégrer en profondeur la sécurité dans l’environnement technologique pour permettre l’adaptabilité. Presque tous les aspects de l’environnement technologique au sens large impactent la capacité d’une organisation à se protéger, et ce, des méthodes de développement des applications au remplacement du matériel obsolète. Les institutions doivent former l’ensemble de leur personnel à intégrer la sécurité aux projets technologiques dès le début de leur mise en œuvre.

4. Mettre en œuvre des moyens de défense propres à détecter les attaques de façon proactive. La quantité d’informations disponibles sur les attaques potentielles est immense, tant à partir des sources de renseignements extérieurs que depuis l’environnement technologique d’une organisation. De plus en plus, les entreprises devront développer des moyens de rassembler des informations pertinentes, puis d’analyser et d’affiner leurs systèmes de défense en conséquence (par exemple, avec les pare-feu).

5. Tester en permanence afin d’améliorer la réponse en cas d’incident. Une réponse inappropriée à une brèche informatique, d’où qu’elle vienne – service informatique, marketing, relations publiques, relations clientèle – peut s’avérer être aussi dommageable que la brèche elle-même. Comme cela se fait dans l’armée, les institutions devraient se lancer dans des jeux de guerre cybernétique afin d’améliorer leur capacité à répondre efficacement en temps réel.

6. Solliciter le personnel opérationnel pour comprendre la valeur des informations. Les utilisateurs constituent souvent une grande source de vulnérabilité pour une organisation : ils cliquent sur des liens auxquels ils ne devraient pas toucher, choisissent des mots de passe peu sécurisés, envoient à une grande liste de destinataires des courriels contenant des informations sensibles… Les institutions doivent segmenter les utilisateurs et aider chaque groupe à apprécier les risques liés aux informations auxquelles ils ont accès chaque jour.

7. Intégrer la résistance cybernétique dans les processus de gestion des risques et de gouvernance à l’échelle de l’entreprise. La cybersécurité fait partie des risques auxquels une entreprise est confrontée et doit être traitée en conséquence. L’évaluation de possibles cyber-attaques doit être prise en compte dans l’analyse de tous les risques et elle doit être discutée au niveau managérial approprié. En outre, les implications de la cybersécurité devraient être intégrées dans les fonctions de direction au sens large (ressources humaines, gestion des fournisseurs, conformité réglementaire…).

S’il est clair que les entreprises doivent travailler à améliorer tous ces points, les responsables de systèmes d’information s’accordent pour dire que les organisations ne sauraient être livrées à elles-mêmes. On constate cependant un profond désaccord sur les modèles les plus efficaces pour l’application de la loi, les organismes de réglementation, les décideurs politiques, les associations industrielles, les fournisseurs en technologie.

Le consensus est encore moins grand en ce qui concerne de nombreuses questions d’intérêt public en matière de cybersécurité. Ainsi, les responsables de systèmes d’information sont très divisés sur la valeur de la réglementation autour de la cybersécurité. Fait intéressant, ceux issus des secteurs de la santé et des assurances sont les premiers à souligner qu’une réglementation, même insuffisante, a déjà le mérite d’inciter la direction d’une entreprise à consacrer le temps et les ressources nécessaires à la question. En revanche, pour une grande majorité de ceux issus du secteur bancaire, la réglementation n’offre pas d’intérêt ; ils sont même 20% à trouver que la réglementation en vigueur est franchement nuisible et rend leur entreprise moins sûre.

Un enjeu pour les dirigeants
Étant donné les sommes astronomiques impliquées, les enjeux sont très importants. Et compte tenu des nombreuses questions sociales et commerciales liées à la résilience des systèmes d’information – la propriété intellectuelle, la conformité réglementaire, la vie privée, l’expérience client, le développement de produits, la continuité de l’entreprise, la compétence légale –, le sujet ne saurait être traité efficacement qu’avec l’implication active du top management.

L’amélioration de la cybersécurité au sein d’une seule organisation requiert la collaboration d’individus occupant un grand nombre de fonctions. Les responsables des opérations doivent évaluer quelles sont les données les plus précieuses. Ceux en charge de la confidentialité et de la conformité doivent évaluer l’impact de la perte de données client. L’accès du personnel à des données sensibles implique aussi les Ressources humaines. Les services d’approvisionnement doivent inscrire les exigences de sécurité au menu des discussions avec les fournisseurs.

Compte tenu de l’ampleur de l’impact, du degré de coordination et du changement culturel nécessaires, les efforts pour une plus grande résilience des systèmes d’information exigent un engagement actif du PDG et des cadres dirigeants. Tous doivent signifier clairement qu’ils attendent :
- une évaluation lucide et approfondie des capacités et des risques existants, compte tenu du modèle économique de l’entreprise ;
- un repérage des données les plus importantes et une approche claire pour assurer leur protection ;
- une feuille de route pour atteindre un modèle opérationnel évolutif et adapté ;
- un ensemble de savoir-faire bien maîtrisés pour répondre aux brèches survenant dans les activités commerciales.

Maintenir le rythme de l’innovation et de la croissance économique mondiale exige de faire preuve de résilience face à des cyber-attaques agressives. La résolution de ce problème doit impliquer les dirigeants au plus haut niveau, car les choix sont étroitement liés aux questions de stratégie et de changement organisationnel.

Cet article rédigé par David Chinn, James Kaplan et Allen Weinberg a été publié à l’origine dans le McKinsey Quarterly. Copyright © 2014 McKinsey & Company. Tous droits réservés. Traduit et republié sur autorisation. Pour en savoir plus sur cette étude, téléchargez le rapport complet : Risk and Responsibility in a Hyperconnected World (PDF–1,688KB). Les auteurs tiennent à remercier Roshan Vora pour sa contribution à l’élaboration de cet article.

More on paristech review

By the author

www.paristechreview.com

This content is licensed under a Creative Commons Attribution 3.0 License
You are free to share, copy, distribute and transmit this content

Logo creative commons

5 quai Voltaire 75007 Paris, France - Email : contact@paristechreview.com / Landline : +33 1 44 50 32 89