A l’occasion des 26e Rencontres du Risk Management de l’AMRAE, l’atelier portant sur les risques digitaux pour l’entreprise, animé par François Beaume du bureau Veritas et Mathieu Couturier de chez Wavestone, a permis de mettre en lumière la nouvelle menace à laquelle doivent désormais faire face les entreprises.
Les récentes cyber-attaques, telles que Wannacry qui a touché plus de 300 000 ordinateurs, ou encore le cyber-braquage de la banque du Bengladesh, qui a entraîné la perte de près de 100 millions de dollars, illustrent parfaitement ces nouveaux risques contre lesquels les entreprises doivent lutter.
Ces attaques sont en pleine croissance et cela s’explique tant par les gains importants et les risques faibles de sanctions auxquels sont exposés les hackers que par la multiplication des cibles peu sécurisées.
Constat sur l’écosystème et risques actuels
La digitalisation extrêmement rapide des entreprises est réelle dans tous les secteurs d’activités. Elle induit une concentration et un accroissement des données collectées ainsi qu’une hausse du nombre de clients en interaction directe avec le service informatique de l’entreprise. Les transferts de données, y compris personnelles, augmentent ainsi considérablement, notamment grâce à une dématérialisation des frontières qui s’opère entre différents acteurs échangeant à l’international.
La problématique de transformation digitale des entreprises est omniprésente et incontournable aujourd’hui pour deux raisons. La première montre que si les entreprises ne la prennent pas en considération, elles sont condamnées à s’éteindre. Il n’existe donc pas d’alternative à la transformation digitale. Elle est d’ailleurs évaluée par des agences de notation qui classent les entreprises, ce qui peut avoir un réel impact sur leur image.
Par ailleurs – et c’est la deuxième raison – la transformation digitale impacte tous les aspects de l’entreprise. La stratégie et le business model intègrent la digitalisation, les processus de fonctionnement internes et externes sont amenés à être modifiés et les entreprises sont contraintes de s’ouvrir à l’écosystème et de sous-traiter à des tiers des activités autrefois prises en charge au sein de l’entreprise. La transformation digitale conduit donc à un changement de culture de l’entreprise, notamment à cause de la multiplication des interactions entre les entités de l’entreprise concernées.
Il existe deux éléments majeurs de la transformation digitale : la transformation digitale interne, ou digital working, et la transformation digitale externe, ou digital business relative aux clients. Elles sont définies comme suit :
Cependant, la transformation digitale ne peut se faire sans prendre en compte les problématiques de sécurité, sans quoi l’entreprise serait menacée par des attaques qui seraient à même de la déstabiliser et de la mettre en péril.
Le rôle de la gouvernance dans la maîtrise des nouveaux risques
La gestion et la couverture des risques sont très souvent des activités réalisées « en silos » au sein des entreprises. Chaque filière traite et pilote ses propres risques de manière indépendante et laisse souvent les risques touchant les systèmes d’informations aux services informatiques de l’entreprise. La « culture cyber » dans les entreprises n’existe pas réellement et les sujets digitaux manquent d’une vision transversale et globale. C’est donc au top management de donner cette impulsion car le manque de culture digitale et de stratégie numérique peut entraîner de lourds dommages pour l’entreprise. Il est ainsi primordial de mettre en place une gouvernance cyber au sein des entreprises afin de se prémunir contre les différentes attaques informatiques. La FERMA (Federation of European Risk Management Association) a d’ailleurs publié un document pour mettre en place une gouvernance adaptée.
La proposition de la FERMA pour la gouvernance des risques cyber
Le rôle de la gouvernance est de piloter et mettre en place des dispositifs transverses pour traiter toutes les problématiques car les impacts digitaux n’ont pas uniquement des conséquences « technologiques ».
Il existe plusieurs facteurs clés de succès pour la mise en place de la gouvernance cyber :
- Disposer d’un mandat du top management ;
- Être doté d’un processus « auditable » ;
- Intégrer le dispositif dans les processus de l’entreprise ;
- Assurer une remontée rapide de l’information pour faire face à l’évolution des technologies et des menaces.
La gouvernance doit prendre en compte ces nouveaux risques dans le processus de gestion de crise. Historiquement, les programmes de gestion de crise ne sont pas adaptés aux risques cyber. Il est donc nécessaire d’être préparé afin de pouvoir anticiper ces éventuels scénarios de crise. Plusieurs facteurs sont alors à prendre en compte : le temps extrêmement court pour réagir, l’incertitude sur l’ampleur de la crise, le caractère « sans frontière » de l’attaque et les facteurs règlementaires.
Une législation de plus en plus contraignante pour assurer la protection digitale des entreprises
Plusieurs textes ont été adoptés dans l’optique de renforcer le niveau de cyber sécurité de certaines entités. Les premières concernées par la sécurité des systèmes d’information ont été les Opérateur d’Importance Vitale (OIV) avec la loi de programmation militaire de 2013. Elle impose l’obligation d’assurer la maîtrise des systèmes d’information, notamment par des contrôles et des règles de sécurité les concernant. Cette loi va être renforcée par la transposition de la directive européenne Network and Information Security (NIS) adoptée en 2016. Elle définit des mesures destinées à assurer un niveau élevé de sécurité des réseaux et des systèmes d’information, commun aux Etats membres de l’Union européenne.
Le Règlement Général sur la Protection des Données (RPDG), adopté par le Parlement Européen et le Conseil le 27 avril 2016, entrera, lui, en vigueur le 25 mai 2018. Il traite de la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il impose ainsi à certaines organisations de modifier et adapter certaines pratiques sur la collecte, le traitement et la diffusion des données. La charge de la preuve à donner est inversée et c’est désormais à l’organisation de prouver que ses pratiques sont conformes au règlement. La sanction a considérablement augmenté et peut dorénavant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise.
Ce nouveau cadre législatif relatif à la digitalisation a donc pour but d’assurer la protection des entreprises dans la transformation digitale et de responsabiliser davantage les acteurs concernés. Les entreprises doivent désormais démontrer qu’elles ont développé des mesures de sécurité nécessaires, essentielles dans la valorisation de l’entreprise.
Les nouvelles technologies se développent de plus en plus rapidement dans les organisations, faisant ainsi évoluer les produits et les services. Les entreprises doivent donc maîtriser leur transformation digitale pour être aptes à faire face aux différents risques digitaux émergents. La maîtrise des risques digitaux devient à la fois une obligation et une opportunité pour les entreprises ; obligation, car sans elle les entreprises sont destinées à mourir et opportunité, car l’image de l’entreprise en dépend désormais.
Mathilde de Gournay