La cybersécurité : un enjeu pour l'entreprise responsive de demain

Dans un contexte de fortes tensions internationales, l’augmentation des risques Cyber s’est invitée au coeur de l’actualité et des préoccupations. Les cyber-attaques, notamment de type « ransomware », sont en constante augmentation, et peuvent avoir des impacts dévastateurs pour les entreprises, causant la paralysie des ventes ou de la production pendant plusieurs semaines et des perturbations parfois sur plusieurs mois. Lorsque ces situations de crise ou « tempêtes » se présentent, les Directions Générales sont pleinement mobilisées pour gérer les effets, organiser la reprise et coordonner les actions et les communications.

Si l’on arrive, même difficilement, à mobiliser en temps de crise, l’alignement des acteurs et consciences de l’entreprise sur les sujets cyber par « temps calme » constitue bien souvent un casse-tête pour les responsables numériques. 

Et pourtant dans ces périodes calmes, c’est un sujet stratégique que toute équipe dirigeante aurait tort de perdre de vue :

• Responsabilité latente et permanente. La menace cyber ne dort jamais et tout l’écosystème de l’entreprise est aujourd’hui sensibilisé et attentif à sa capacité de résilience. Clients, partenaires, régulateurs, actionnaires, syndicats ont des attentes élevées et leur regard est tourné vers le Comex qui, in fine, porte la responsabilité de protection d’un bien commun, l’entreprise.
• Une surface d’exposition croissante. Les risques cyber ne font qu’augmenter et se diversifier au gré de l’ouverture de plus en plus importante du système d’information (télétravail, nouveaux usages, collaboration étendue, supply chains intégrées, …).
• Transition du rôle de la cyber. Avec l’évolution du rôle du numérique au coeur de toute transformation stratégique Métier, la fonction cyber ne doit plus se cantonner à un rôle de protection mais aussi veiller à ne pas ralentir les projets et la trajectoire de transformation digitale de l’entreprise.

Ces dernières années, les entreprises se sont globalement saisies du sujet de la cybersécurité. Le caractère stratégique a été diffusé dans l’entreprise via un « tone at the top » sans ambiguïté, et des budgets parfois conséquents ont été sanctuarisés, tant sur le volet sensibilisation, la mise en place de nouveaux outils que pour assurer les opérations

Mais le Comex peine à maintenir son attention sur la maîtrise des risques cyber, et notamment par « temps calme », pour différentes raisons :

• Il a des difficultés à appréhender une ligne directrice claire et les priorités qui en découlent. La grande évolutivité des menaces cyber (techniques, cibles, déroulement des attaques, …) bouscule sans cesse les planifications et les priorisations. La répartition de l’effort n’est pas simple entre les efforts de surveillance et d’anticipation des crises, la transformation numérique et les autres projets à accompagner, la dette de sécurité à résorber et les exigences de conformité en évolution constante.
• Il manque de repères financiers. La gestion budgétaire de la cybersécurité ne bénéficie pas aujourd’hui de standards, taxonomies, outils et reportings de référence. Dans ce contexte, il est difficile de comprendre une base de coûts, analyser l’efficacité d’un portefeuille d’initiatives, ou de se comparer avec d’autres acteurs.
• Il est confus sur l’avancement des sujets cyber et les impacts en termes de maitrise effective des risques. Les responsables cyber peinent bien souvent à partager une vision claire, complète, à jour de l’avancement des programmes opérationnels, et de leur traduction en termes de mitigation des risques métiers. Le Comex est alors rarement conscient de l’état réel de préparation de l’entreprise face aux menaces et de sa capacité de résilience.
• Il n’estime pas la valeur réelle des actions cyber au-delà de la protection qu’elles apportent. Les business case des projets de cybersécurité restent encore peu satisfaisants, se limitant à la notion de conformité et de clear and present danger, sans mettre en avant de quantification concrète du coût du risque évité. Les COMEX ne sont pas sensibilisés à la véritable valeur de systématisation des réflexes de protection, ainsi qu’aux difficultés évitées par de bonnes décisions cyber dans l’exécution des projets de transformation.

Indépendamment de toute capacité de réaction à une crise, c’est bien par « temps calme » que doivent être construites les composantes qui permettent justement de se protéger et éviter la crise. Les difficultés à maintenir le dialogue sur les thématiques cyber en dehors des moments de « tempête » entrainent bien souvent un déficit de sponsorship, avec de nombreuses conséquences préjudiciables en rebond.

Sans sponsorship éclairé… les choix d’investissements cyber peuvent être inadaptés, en décalage avec la criticité des risques métiers adressés, ou encore partiels avec une focalisation trop forte sur certains sujets au risque de passer à côté de certaines sources d’exposition. Si toute ou partie de la stratégie cyber est mal posée, les risques opérationnels auxquels l’entreprise s’expose sont colossaux : arrêt de l’activité, perte de chiffre d’affaires, mise en cause juridique, amendes, sanctions et défiance.

Sans sponsorship attentif… l’exécution des programmes se retrouve bien souvent enlisée. Quand bien même la stratégie a été correctement définie, c’est toute son opérationnalisation qui est mise à mal, avec une résistance sur le terrain/ dans les BUs/ dans les filiales, certains projets dépriorisés et des budgets parfois désanctuarisés et réalloués vers d’autres priorités. Face à des cyberattaquants motivés, agiles et créatifs, il y a fort à parier que la course soit perdue d’avance.

Sans sponsorship impliqué… il est quasiment impossible de faire évoluer les comportements et les moeurs autour de la cyber. Le middle management reste figé dans une opposition de la cyber aux enjeux d’agilité, rapidité et performance, et frustré par des injonctions contradictoires. Sans conscience du leadership de la valeur qu’elle peut apporter si elle est intégrée en amont, la cybersécurité est vécue au niveau opérationnel comme une contrainte, facteur de coût et source de retards par les métiers et l’IT.

Présenter, arbitrer, rendre compte d’une stratégie Cyber au plus haut niveau de l’entreprise est un exercice difficile requérant pédagogie et agilité. Conserver l’attention et l’adhésion de la Direction Générale sur le long terme est d’autant plus un défi par « temps calme », lorsque l’entreprise n’est pas en situation de crise. De nos expériences terrain nous retenons certains enseignements et meilleures pratiques.

• Adopter un langage de vérité avec les décideurs Business. La courbe d’apprentissage sur les sujets technologiques n’est pas toujours évidente, mais elle ne doit pas pour autant occulter un langage de vérité, primordial pour la confiance mutuelle. La pédagogie passe par la présentation d’une histoire intelligible, cohérente sur la durée, qui fait le lien de manière transparente entre le plan d’actions cyber et la couverture des risques métiers. Pour être en situation de prise de décision éclairée, la Direction Générale doit comprendre le langage, les tenants et les aboutissants de ce qui lui est exposé ; la contribution effective de chaque chantier à la réduction des risques et/ou à l’atteinte de la stratégie de l’entreprise. Pour aller plus loin, il paraît intéressant d’envisager une formation du ComEx sur les sujets Cyber, ou la rencontre d’acteurs comme l’ANSSI (ce que certains de nos clients ont initiée ces derniers mois).
• Objectiver les risques à l’aide de données. La data, que ce soit via l’utilisation de cibles chiffrées ou la quantification des impacts associés à un risque métier, représente un outil puissant et essentiel pour permettre des arbitrages de niveau Comex. L’équipe Cyber doit se donner l’ambition d’aller chercher des données au sein des SI et des processus, d’alimenter une base suffisante (datalake) pour permettre de faire des évaluations, de mieux suivre les projets, de quantifier les risques résiduels, voire d’effectuer des simulations.
• Evoluer d’une image de protection vers celle du support à l’accélération. Les discours qui résument une stratégie en surfant uniquement sur les peurs ont vécu. La Cyber doit bien entendu jouer son rôle de sécurisation de l’entreprise, mais elle ne doit pas hésiter à jouer une carte de business enabler. Pour repositionner durablement la cyber dans les moeurs et la stratégie d’entreprise, il est fondamental de travailler son « branding », d’insister sur son pouvoir de soutien des transformations, la capacité de la cyber – lorsqu’elle est pensée intelligemment, expliquée et intégrée en amont des projets – à supporter et non freiner l’innovation (ex. pratiques DevSecOps).
• Démontrer une rigueur budgétaire et un sérieux dans l’exécution. Le Comex ne peut rester en tension sur les sujets cyber que s’il peut aisément suivre l’avancement des programmes. Comme tout objet mobilisant des moyens de l’entreprise, la cyber doit faire l’objet d’une gestion budgétaire standardisée et outillée, avec des investissements justifiés par leur valeur, un suivi régulier de la consommation, de l’atteinte des objectifs, mais aussi une analyse des raisons de non-dépense des budgets consacrés.
• Engager le Comex sur la durée et ancrer une relation de confiance mutuelle. Toute relation et compréhension mutuelle se travaille dans la durée. Pour suivre l’évolution du niveau de protection de l’entreprise, réallouer l’effort au fil de l’évolution des menaces, ancrer durablement le changement des comportements… il est crucial de rechercher une fréquence d’interactions sur les thématiques cyber, ne serait-ce qu’avec certains membres du Comex.

Entretenir un dialogue régulier avec les dirigeants, dans les « temps calmes » de l’actualité cyber, est la clé de voute pour faire évoluer leur sensibilité de la gestion à l’anticipation des crises, pour enfin franchir le pas d’une cyber de la peur vers une cyber continue, intégrée, efficace, efficiente, au service de la transformation de l’entreprise.

Envie d’aller plus loin ? D’autres sujets stratégiques épineux ?

Chez KPMG, nous disposons non seulement d’expertises Cyber de pointe, mais également d’une sensibilité unique pour engager au plus haut niveau de l’entreprise. Notre offre « Tech in the Boardroom » accompagne les Tech leaders à prendre position sur des sujets stratégiques, et structurer leur communication vis-à-vis de leur Direction Générale.