Trouvez votre prochaine formation en un clin d'œil !
Trouver ma formation
Je veux me former en
sélectionner
Inter-Entreprise
Mastère Spécialisé
?
Dans quel domaine ?
et plus précisément en
sélectionner
?
Dans quel sous domaine ?
Automatique et traitement de signal
Cloud et DevOps
Cybersécurité
Développement Durable et RSE
Electronique de puissance
Electronique et instrumentation
Energie électrique et thermique
Energies
Energies renouvelables et stockage d'énergie
Excellence opérationnelle
Gestion des conflits
Industrie 4.0
Ingénierie Systèmes
Innovation et Entrepreneuriat
Innovation et intrapreneuriat
Intelligence Artificielle
Intelligence collective et créativité
Leadership et développement personnel
Leadership et Management Collaboratif
Lean Management
Lean six Sigma
Management de Projets
Management de projets complexes
Management des Systèmes d'Information
Marchés de l'énergie
Nouvelles architectures du SI
Numérique responsable
Numérique responsable, Green IT
Posture managériale
Projets de Transformation agile
Protection des réseaux d'énergie publics et industriels
Risk Management
RSE : stratégie durable et nouvelles gourvernances
Stratégie et Management de Projet
Stratégie et Nouveaux modèles d'affaires
Stratégie et Transformation de l'entreprise
Supply Chain
Système d'Information et Digital
Systèmes d'Information et Digital
Technologie et Systèmes Energies
Technologies & Systèmes
Technologies du numérique
Télécommunications
Transformation digitale
Transition écologique et Energétique
Upskilling
grâce à une
sélectionner
?
Quel type de formation ?
Formation certifiante
Formation diplômante
Certificat d'établissement
Formation courte
DécouvrIR les formations
Article

Partie 2 – Gestion des risques : Quels sont les risques et menaces auxquels les organisations doivent faire face ?

Partie 2/3

Le projet de transformation numérique des entreprises est généralement abordé par la question : comment faire pour que ça marche ? Nombre d’ouvrages et de guides abordent ces leviers de la réussite et leur mise en œuvre. En miroir, d’autres questions tout aussi fondamentales se posent : pourquoi ça ne marcherait pas ? comment anticiper les aléas et incertitudes ? Comment identifier les leviers de démultiplication d’efficacité et les opportunités sous-jacentes ?

Cet article est également disponible en version vidéo

Découvrez notre formation Executive Certificate Expert en gestion globale des risques à l’ère numérique


Les responsables pédagogiques des formations en maîtrise des risques de CentraleSupelec Exed, Sébastien Delmotte, CEO de MAD-Environnement et Vincent Desroches, chef de la division Management de la sécurité numérique au sein de l’ANSSI, nous parlent des enjeux de compétitivité et de gestion globale des risques à l’ère numérique.

Aux enjeux de nature « métier » et « business » évoqués précédemment s’ajoutent des enjeux de sécurité économique et de cybersécurité liés à la compétition exacerbée entre les Etats puissance et les secteurs économiques : espionnage, influence, déstabilisation, désinformation, extra-territorialité des lois (ex : Cloud Act US) constituent autant de menaces que chaque entreprise se doit d’évaluer et caractériser. Les actifs des organisations (informations stratégiques, savoir-faire, salariés clés, etc.) sont particulièrement convoités par les concurrents et agences de renseignement étatiques. Or la transformation numérique implique une exposition accrue de ces actifs dans le cyberespace.

Quelles menaces une entreprise doit-elle prendre en compte dans sa transformation numérique ? 

Les principales menaces cyber auxquelles les organisations doivent faire face sont :

  • La cybercriminalité (fraude, rançongiciels, vols de données et chantage ou revente),
  • L’espionnage (vols de savoir-faire et de technologies)
  • La déstabilisation (sabotage, entrave au fonctionnement, atteinte à l’image).

A titre d’illustrations, le nombre de cyberattaques traitées par l’ANSSI a été multiplié par 4 entre 2019 et 2020. La cybercriminalité rapporte plus d’argent que le trafic de drogue depuis le milieu des années 2010 et l’écart n’a cessé de croître (rapport de 3). Elle générerait des revenus annuels de l’ordre de 1500 milliards de dollars à travers le monde, soit près de 2% du produit intérieur brut mondial.

Toutes les organisations sont concernées : grands groupes, collectivités territoriales, PME et TPE. Les chaînes d’approvisionnement (fournisseurs, prestataires de services, etc.) sont particulièrement visées par les attaquants car elles constituent souvent des vecteurs d’entrée à la fois vulnérables et intéressants du fait de l’interconnexion de ces acteurs à des grands comptes.

Les dangers à connaître pour assurer la réussite du passage à l’ère numérique

Ces menaces sont fondamentales et occupent le devant de l’actualité. Mais il est nécessaire d’élargir le champ d’investigation, notamment sur les aspects suivants :

  • Les dangers liés à la gouvernance : les décideurs ne sont pas forcément à même de comprendre parfaitement la réalité de ce que sont les outils du numérique. Le regard critique et l’explicitation des incertitudes sont indispensables.
  • Les dangers Economiques et financiers : énormément d’échec de start-up (taux d’échec compris entre 60 et 90% selon les études), difficultés de valorisation des services numériques pour certaines entreprises et échec des produits, coût non maîtrisé de la transformation numérique.
  • Les dangers techniques et technologiques : les événements récents nous ont rappelé que le monde numérique repose avant tout sur un monde physique : hardware, bâtiments, opérateurs, réseaux de distribution d’énergie, matières premières.

Comment gérer efficacement les risques et les menaces lors de votre transformation numérique ?

Il faut concevoir la maîtrise des risques comme un outil de gouvernance et pas comme une énième couche intermédiaire de procédures qui alourdissent le fonctionnement de l’entreprise. Le management des risques doit être structuré selon le tryptique suivant : avant, pendant et après.

Avant, on cherche de manière structurée et à fréquence optimisée à identifier les incertitudes et évaluer les risques associés aux événements avant que ceux-ci ne se produisent, pour prévenir les problèmes et en réduire l’impact et s’y préparer. La gestion des risques est un corollaire à la gestion de crise. Si on ne se prépare pas, le moment venu, on ne saura pas réagir et l’absence ou la mauvaise réaction agira comme un amplificateur des problèmes.

Pendant, c’est la gestion de crise.

Après, c’est le retour d’expérience : apprendre de ses erreurs mais aussi apprendre de ses succès, et rendre ce savoir acquis disponible pour l’ensemble de l’entreprise.

Le management des risques doit être explicite, inclusif et non punitif. Le pire c’est de cacher les problèmes. Et sans inclure l’ensemble des acteurs d’un système dans ce management, ça ne peut être que voué à l’échec : le management des risques est la résultante des efforts de chacun.

Quels sont les fondamentaux pour la gestion des risques numériques ?

Toute stratégie de gestion des risques numériques devrait intégrer les fondamentaux ci-après :

  1. Prendre la mesure du risque numérique en tant que risque stratégique d’entreprise ;
  2. Inscrire la sécurité numérique au cœur de sa gouvernance d’entreprise ;
  3. Bâtir progressivement son socle de sécurité en termes de protection, défense et résilience ;
  4. Piloter son risque (amélioration continue, veille sur la menace, audits de sécurité) ;
  5. Tester régulièrement sa résilience grâce à des exercices de gestion de crise ;
  6. Valoriser sa cybersécurité pour générer de la confiance auprès des clients et partenaires, et en faire un atout de compétitivité.

En matière de risque cyber, il convient de garder à l’esprit trois invariants fondamentaux : (i) si aucune protection ou défense n’est 100% sûre… aucune attaque n’est 100% garantie pour l’attaquant ; (ii) celui-ci cherche généralement plusieurs points d’entrée et chemins d’exploitation afin de rentabiliser le coût de son opération et assurer la résilience de ses actions ; (iii) l’attaquant applique le principe de moindre action et est dans une logique d’analyse de risque. Il y a donc un rapport de force à établir et maintenir dans la durée entre l’attaquant et le défenseur.

Aller au contenu principal