Cyberespace : pourquoi les règles ont changé ?

« Quel est le premier actif de votre entreprise ? »

Il y a 20 ans, lorsque nous posions cette question dans notre Baromètre annuel destiné à plus de 1000 dirigeants, la réponse mettait en avant le capital physique de l’entreprise pour évoluer, une dizaine d’années plus tard, vers le capital humain.

Cependant, depuis 3 ans, ce sont bien les "données" que les dirigeants définissent comme étant leur premier actif, alors que leurs investissements se tournent de plus en plus vers le digital. Ce changement de perception témoigne de la prise de conscience des entreprises sur la valeur de leurs données numériques. Mais 65% de ces mêmes dirigeants déclarent ne pas savoir où ces données se trouvent. Le  paradoxe est donc le suivant : alors que les incidents se multiplient et que les cyberattaques se normalisent, la question de la cybersécurité reste un défi pour de nombreuses entreprises. La majorité d’entre elles dépense 1 à 3% de leur budget IT pour la cybersécurité, ce qui correspond à une protection de quelques heures contre une cyberattaque classique.

Pourquoi cette complexité, et cette difficulté à appréhender le sujet ?

1. On ne peut plus échapper au cyberespace !

L’ensemble des activités humaines est aujourd’hui impacté par les logiciels. Le cyberespace témoigne d’une augmentation colossale du volume d’informations traitées, renforcé par l’internet des objets mais aussi l’intelligence artificielle apprenante qui démultiplie les lignes de code. Mais ce n’est pas tout : le cyberespace représente une grande multiplicité de capteurs, de médias, de matériel et de langages. Et ce puzzle aux multiples modes de communication a un impact de plus en plus fort sur notre monde, avec des risques réels pour le quotidien voire la sécurité physique des personnes. Par exemple, en 2015, une cyberattaque a provoqué une rupture de la distribution d’électricité en Ukraine, alors qu’en 2016, un bloc d’appartements en Finlande, n’a pas pu avoir accès au chauffage en raison d’une attaque par déni de service du système contrôlant le chauffage de l’eau. En conséquence, les entreprises et institutions se doivent de repenser leur vision et leur stratégie en matière non seulement de cybersécurité, mais aussi de sécurité classique.

2. Une dette technique et humaine des entreprises

Au-delà de cette intrusion du cyberespace dans notre quotidien, les entreprises possèdent toutes une « dette technique » liée à l’historique et l’évolution de leurs systèmes d’informations qui complexifie leur défense et donne un avantage aux potentiels hackers. A cela s’ajoute une « dette humaine » non négligeable : deux tiers des incidents de cybersécurité proviennent de l’intérieur de l’entreprise. La cybersécurité n’est pas qu’une problématique technique ! Une partie de la réponse consiste à prendre en compte le comportement et les réflexes cognitifs des humains dans leurs interactions avec les logiciels.

3. Des règles sensiblement différentes, une réponse à adapter

Le cyberespace n’obéit pas aux mêmes règles que le monde physique. En effet, les notions de distance et de frontière n’opèrent pas de la même façon. La vulnérabilité face à une éventuelle attaque ne dépend pas de l’emplacement physique mais des systèmes et de leur interconnexion. Cette différence fondamentale nécessite un changement de perception et une adaptation de l'ensemble des acteurs économiques et institutionnels en matière de sécurité. Aussi dans ce contexte, il est primordial de favoriser la coopération entre les différentes instances à un niveau juridique, politique et économique pour apporter une réponse commune. Ceci permettra à terme d'avoir un véritable avantage défensif, rééquilibrant ainsi la dynamique en matière de sécurité et nous permettant de pouvoir mieux faire face aux cybercrimes.

Afin d’appréhender cette complexité, les acteurs économiques doivent privilégier la voie de la coopération et apporter une réponse complète, à la fois sur les aspects techniques et humains. Au-delà de la question de protection des données, la cybersécurité permet de déployer un avantage compétitif déterminant pour renforcer la confiance avec les consommateurs et constitue le point central d’un écosystème digital pérenne.

Découvrez la chaire “Cybersécurité: un enjeu de confiance” sur Harvard Business Review France