Dans la plupart des cas, les entreprises victimes d’une cyberattaque paient un prix, parfois élevé, mais elles survivent. Deux sociétés de la tech américaine ont ainsi perdu 100 M$ en deux ans. Des hackers ont pris le contrôle d’un haut fourneau d’une aciérie allemande mettant en danger ses employés. Pour autant, aucune d’elle n’a disparu. Mais ne sous-estimons pas l’ampleur de la menace. Aujourd’hui, les risques ont changé d’échelle. À l’heure où les modèles économiques reposent de plus en plus sur les nouvelles technologies et où l’adoption digitale et l’interconnectivité s’accélèrent, les dirigeants ne peuvent plus ignorer une nouvelle réalité : leur entreprise court de plus en plus le risque de perdre toutes ses données, son outil de production ou encore sa propriété intellectuelle. Des conséquences fatales pour leur activité. Cela s’est déjà vu. La plateforme collaborative Code Spaces n’a pas pu se relever d’une cyberattaque brutale au cours de laquelle toutes ses données ont été tout simplement supprimées. Plus insidieux, le piratage et le détournement pendant dix ans de la propriété intellectuelle de Nortel Networks serait probablement à l’origine de la disparition du géant des télécommunications nord-américain. Aujourd’hui, il ne suffit plus de prendre les mesures indispensables de prévention des risques financiers, opérationnels ou de réputation. Il s’agit désormais d’une question de survie, ni plus ni moins, dès lors que sont concernées les ressources digitales, moteurs de la croissance et de la création de valeur des entreprises.

Autre actualité révélatrice, la série de cyberattaques menées cet été par de nouvelles souches de virus informatiques NotPetya et WannaCry. Ces logiciels malveillants traquent la moindre faille dans des systèmes de plus en plus complexes, interconnectés et étendus. La plupart des entreprises victimes de ces rançongiciels n’avaient pas diffusé des outils correctifs et des bonnes pratiques de protection informatique dans l’ensemble de l’organisation. En attendant la prochaine vague, ces épisodes marquants ont montré l’urgence d’une prise de conscience de l’enjeu au niveau des comités de direction.

Pour s’en convaincre, les dirigeants devraient se poser certaines questions clés concernant leur cybersécurité. Quelles sont nos données stratégiquement sensibles et qui y a accès ? Comment sont gérés les risques par nos fournisseurs et notre écosystème ? En termes de gouvernance et de process de la sécurité informatique, qui en a la responsabilité dans l’entreprise et de quels moyens dispose-t-on ? Comment les actions sont-elles déployées et mises en œuvre ? Depuis quand n’avons-nous pas testé notre modèle à partir de différents scénarii ? Avons-nous mis en place une coopération et une cohérence dans les réponses entre les différentes fonctions en matière de sécurité informatique ? Enfin, avons-nous développé dans l’ensemble de l’organisation et du management une culture du cyber-risque et l’appliquons-nous dans notre développement digital ? Si les réponses ne sont pas évidentes, il est temps de reconsidérer sa stratégie de cybersécurité.

Aujourd’hui, seule une approche systémique peut garantir une cybersécurité efficace. Les services informatiques, aussi experts et talentueux soient-ils, ne peuvent plus travailler seuls en restant déconnectés des enjeux stratégiques. Sans une coopération étroite avec les directions opérationnelles, ils travaillent à l’aveugle. Pour construire une véritable cyber-résilience, il faut identifier les cibles potentielles cruciales pouvant mettre en jeu la survie de l’entreprise, et aligner les priorités de la sécurité informatique sur celles de la stratégie globale. Nous sommes convaincus que le sujet implique désormais un engagement au plus haut niveau de l’entreprise. Il répond également à une exigence plus large d’une société digitalisée. Dans le cadre de notre contribution au World Economic Forum, nous avons travaillé avec Hewlett Packard Enterprise pour créer un centre de ressources, identifier les bonnes pratiques au sein des boards et construire un cadre et un langage communs.

 

Antoine Gourévitch

Directeur associé senior au BCG