Close
  • Français
  • English

12/01/2019Cybersécurité : Visualiser, comprendre, décider, ou Comment parler de cybersécurité à nos dirigeants ! (Par Henri d’Agrain, CIGREF)

Pour la première fois cette année, Jean-Claude Laroche, DSI d’Enédis et Président du Cercle « cybersécurité » du Cigref, conduira au FIC une délégation composée d’une quinzaine de décideurs du numérique issus des grandes entreprises et administrations publiques françaises membres du Cigref. L’organisation de cette délégation est significative de la préoccupation croissante des membres du Cigref pour leur sécurité numérique.

Désormais, sous l’effet de la transformation numérique et de la dématérialisation des processus physiques, les entreprises ne disposent quasiment plus de fonctions essentielles indépendantes de leurs systèmes d’information. Il est donc vital pour l’entreprise que ceux-ci soient protégés. Les dirigeants demandent désormais, et doivent exiger, la confiance dans le niveau de sécurisation de l’activité dont ils portent la responsabilité.

La crise cyber n’est plus, en effet, une hypothèse à laquelle il faudrait juste « envisager de penser à se préparer ». Sans faire de catastrophisme, ni entretenir une ambiance inutilement anxiogène, l’actualité et les faits sont sans appel : la crise est là, à la porte de chaque organisation, entreprise ou administration publique. Il y a un an et demi, les malwares Wannacry et NotPetya mobilisaient plus ou moins profondément chacune de nos organisations. Et certaines d’entre elles ont déploré des dégâts d’une ampleur inégalée. Pour prendre un exemple hors du Cigref, et illustrer l’ordre de grandeur, le groupe Merck a annoncé en novembre 2017 que la cyberattaque NotPetya lui avait couté plus de 600 millions de dollars sur l’exercice 2017 ! C’est la première fois qu’un tel impact est recensé pour une cyberattaque qui n’était manifestement pas destinée à frapper cette entreprise, et dont elle a été l’une des victimes collatérales.

Ce changement de dimension mobilise aujourd’hui les directions générales. Elles expriment des attentes fortes sur les moyens à mobiliser pour limiter les impacts de telles attaques, mais aussi sur la posture à adopter. Il est désormais essentiel que le décideur numérique soit en situation d’expliquer à ses interlocuteurs, COMEX et conseil d’administration, avec le niveau de langage adapté, les conditions actuelles et à venir de la gestion stratégique de la crise cyber dans les grandes organisations et les entreprises globales. Le décideur numérique, soutenu par ses dirigeants et appuyé par ses équipes opérationnelles, est confronté à l’impérieuse nécessité de préparer son organisation à une crise résultant d’une cyberattaque majeure, de définir les mesures d’urgence à mettre en œuvre dans les plus brefs délais, et d’entraîner régulièrement toutes les chaînes opérationnelles et décisionnelles à réagir en situation contrainte ou dégradée. Car dans les conditions extrêmes d’une crise cyber majeure, le leadership du directeur des systèmes d’information, la confiance de ses dirigeants, la coopération avec l’écosystème de la cybersécurité et la réactivité des équipes opérationnelles constitueront les facteurs déterminants de la capacité de l’entreprise à surmonter le choc, dont elle sait désormais qu’il peut être mortel.

C’est dans cette perspective que la délégation du Cigref viendra le 23 janvier à la rencontre de l’écosystème de la cybersécurité réuni à Lille par le FIC.