Le projet de transformation numérique des entreprises est généralement abordé par la question : comment faire pour que ça marche ? Nombre d’ouvrages et de guides abordent ces leviers de la réussite et leur mise en œuvre. En miroir, d’autres questions tout aussi fondamentales se posent : pourquoi ça ne marcherait pas ? comment anticiper les aléas et incertitudes ? Comment identifier les leviers de démultiplication d’efficacité et les opportunités sous-jacentes ?
Cet article est également disponible en version vidéo
Découvrez notre formation Executive Certificate Expert en gestion globale des risques à l’ère numérique
Les responsables pédagogiques des formations en maîtrise des risques de CentraleSupelec Exed, Sébastien Delmotte, CEO de MAD-Environnement et Vincent Desroches, chef de la division Management de la sécurité numérique au sein de l’ANSSI, nous parlent des enjeux de compétitivité et de gestion globale des risques à l’ère numérique.
Aux enjeux de nature « métier » et « business » évoqués précédemment s’ajoutent des enjeux de sécurité économique et de cybersécurité liés à la compétition exacerbée entre les Etats puissance et les secteurs économiques : espionnage, influence, déstabilisation, désinformation, extra-territorialité des lois (ex : Cloud Act US) constituent autant de menaces que chaque entreprise se doit d’évaluer et caractériser. Les actifs des organisations (informations stratégiques, savoir-faire, salariés clés, etc.) sont particulièrement convoités par les concurrents et agences de renseignement étatiques. Or la transformation numérique implique une exposition accrue de ces actifs dans le cyberespace.
Quelles menaces une entreprise doit-elle prendre en compte dans sa transformation numérique ?
Les principales menaces cyber auxquelles les organisations doivent faire face sont :
- La cybercriminalité (fraude, rançongiciels, vols de données et chantage ou revente),
- L’espionnage (vols de savoir-faire et de technologies)
- La déstabilisation (sabotage, entrave au fonctionnement, atteinte à l’image).
A titre d’illustrations, le nombre de cyberattaques traitées par l’ANSSI a été multiplié par 4 entre 2019 et 2020. La cybercriminalité rapporte plus d’argent que le trafic de drogue depuis le milieu des années 2010 et l’écart n’a cessé de croître (rapport de 3). Elle générerait des revenus annuels de l’ordre de 1500 milliards de dollars à travers le monde, soit près de 2% du produit intérieur brut mondial.
Toutes les organisations sont concernées : grands groupes, collectivités territoriales, PME et TPE. Les chaînes d’approvisionnement (fournisseurs, prestataires de services, etc.) sont particulièrement visées par les attaquants car elles constituent souvent des vecteurs d’entrée à la fois vulnérables et intéressants du fait de l’interconnexion de ces acteurs à des grands comptes.
Les dangers à connaître pour assurer la réussite du passage à l’ère numérique
Ces menaces sont fondamentales et occupent le devant de l’actualité. Mais il est nécessaire d’élargir le champ d’investigation, notamment sur les aspects suivants :
- Les dangers liés à la gouvernance : les décideurs ne sont pas forcément à même de comprendre parfaitement la réalité de ce que sont les outils du numérique. Le regard critique et l’explicitation des incertitudes sont indispensables.
- Les dangers Economiques et financiers : énormément d’échec de start-up (taux d’échec compris entre 60 et 90% selon les études), difficultés de valorisation des services numériques pour certaines entreprises et échec des produits, coût non maîtrisé de la transformation numérique.
- Les dangers techniques et technologiques : les événements récents nous ont rappelé que le monde numérique repose avant tout sur un monde physique : hardware, bâtiments, opérateurs, réseaux de distribution d’énergie, matières premières.
Comment gérer efficacement les risques et les menaces lors de votre transformation numérique ?
Il faut concevoir la maîtrise des risques comme un outil de gouvernance et pas comme une énième couche intermédiaire de procédures qui alourdissent le fonctionnement de l’entreprise. Le management des risques doit être structuré selon le tryptique suivant : avant, pendant et après.
Avant, on cherche de manière structurée et à fréquence optimisée à identifier les incertitudes et évaluer les risques associés aux événements avant que ceux-ci ne se produisent, pour prévenir les problèmes et en réduire l’impact et s’y préparer. La gestion des risques est un corollaire à la gestion de crise. Si on ne se prépare pas, le moment venu, on ne saura pas réagir et l’absence ou la mauvaise réaction agira comme un amplificateur des problèmes.
Pendant, c’est la gestion de crise.
Après, c’est le retour d’expérience : apprendre de ses erreurs mais aussi apprendre de ses succès, et rendre ce savoir acquis disponible pour l’ensemble de l’entreprise.
Le management des risques doit être explicite, inclusif et non punitif. Le pire c’est de cacher les problèmes. Et sans inclure l’ensemble des acteurs d’un système dans ce management, ça ne peut être que voué à l’échec : le management des risques est la résultante des efforts de chacun.
Quels sont les fondamentaux pour la gestion des risques numériques ?
Toute stratégie de gestion des risques numériques devrait intégrer les fondamentaux ci-après :
- Prendre la mesure du risque numérique en tant que risque stratégique d’entreprise ;
- Inscrire la sécurité numérique au cœur de sa gouvernance d’entreprise ;
- Bâtir progressivement son socle de sécurité en termes de protection, défense et résilience ;
- Piloter son risque (amélioration continue, veille sur la menace, audits de sécurité) ;
- Tester régulièrement sa résilience grâce à des exercices de gestion de crise ;
- Valoriser sa cybersécurité pour générer de la confiance auprès des clients et partenaires, et en faire un atout de compétitivité.
En matière de risque cyber, il convient de garder à l’esprit trois invariants fondamentaux : (i) si aucune protection ou défense n’est 100% sûre… aucune attaque n’est 100% garantie pour l’attaquant ; (ii) celui-ci cherche généralement plusieurs points d’entrée et chemins d’exploitation afin de rentabiliser le coût de son opération et assurer la résilience de ses actions ; (iii) l’attaquant applique le principe de moindre action et est dans une logique d’analyse de risque. Il y a donc un rapport de force à établir et maintenir dans la durée entre l’attaquant et le défenseur.