Close
  • Français
  • English

LA CYBERSÉCURITÉ, NOUVELLE PRIORITÉ COMMERCIALE DES CADRES DIRIGEANTS [Par Dr Arthur M. Langer, Columbia University]

INTRODUCTION

La gestion des cyber-menaces par les entreprises est un sujet qui a déjà fait couler beaucoup d’encre. Si la majorité des organisations se focalisent sur les éléments techniques qui permettent d’éviter une compromission, peu soulignent la nécessité pour les dirigeants de ces sociétés de faire de la sécurité une priorité. Cet article liste les questions essentielles que les cadres dirigeants doivent se poser, et les moyens à leur disposition pour développer une stratégie de gestion des cyber-attaques susceptibles de nuire gravement à la réputation et aux résultats de leur entreprise ou organisation.

HISTORIQUE

L’histoire des cyber-attaques montre que la typologie des cyber-attaques a évolué et que le rythme des attaques contre les entreprises s’est accéléré. Avant 1990, peu d’organismes autres que le gouvernement, l’armée, les banques et les sociétés de cartes de crédit étaient concernés par la sécurité de l’information. En 1994, avec la naissance de l’Internet commercial, le volume des attaques a nettement augmenté, et en 2001 ont eu lieu les premières attaques sponsorisées par des Etats-Nations. Ces attaques ont entraîné, à partir de 1997, le développement de pare-feux commerciaux et de dispositifs de lutte contre les logiciels malveillants. En 2013, les attaques avaient atteint un degré de complexité bien plus élevé, comme dans le cas du piratage des données bancaires des clients de groupe de distribution Target, la compromission du système de paiement de Home Depot ou encore l’exposition de données détenues par JP Morgan, qui a affecté 76 millions de clients et 7 millions d’entreprises. La peur du sabotage, du vol, ou de l’atteinte à la propriété intellectuelle s’est alors considérablement répandue. Le graphique 1 présente ainsi l’évolution du rythme de la cybersécurité.

Graphique 1_2

 

 

 

 

 

 

 

 

 

 

 

 

Graphique 1 : L’évolution du rythme de la cybersécurité. – Source : Russell Reynolds Associates 2014 Presentation.

Il est coutume, parmi les experts en cybersécurité, de considérer qu’aucune organisation n’est à l’abri d’une compromission. Les dirigeants doivent bien comprendre 1) qu’il existe d’autres moyens pour se prémunir d’une attaque que de développer sans cesse de nouveaux logiciels et 2) qu’il est nécessaire de mettre en place des stratégies internes et externes pour gérer les attaques. Les enjeux en matière de gestion de la cybersécurité peuvent être regroupés en 3 catégories :

  • Apprendre à éduquer le conseil d’administration et à lui présenter clairement les enjeux et défis en matière de cybersécurité ;
  • Développer une nouvelle culture de sécurité, par nature évolutive, au sein de l’entreprise.
  • Comprendre ce qu’implique une compromission pour une organisation.

Chacun de ces éléments sont présentés ci-dessous :

COMMUNIQUER AVEC LE CONSEIL D’ADMINISTRATION

Les membres du Conseil d’Administration doivent être conscients des possibilités d’exposition à une cyber-attaque. Pour ce faire, les cadres responsables de la protection de l’organisation se doivent de communiquer régulièrement à ce sujet. Ils doivent présenter clairement les mesures en place, sans pour autant susciter une trop grande confiance dans les dispositifs existants car ceux -ci n’écartent pas totalement le risque de compromission. Il faut toutefois éviter de tirer la sonnette d’alarme inutilement et d’effrayer le Conseil, au risque de fragiliser la confiance dans la Direction de l’organisation. Le plus important est de systématiquement lier les impératifs de sécurité à des objectifs commerciaux, et surtout d’éviter les termes trop techniques. La gestion des sous-traitants et parties tierces est un autre élément essentiel. Trop de failles sont encore la conséquence de nnégligences dans la supervision des applications gérées par les prestataires externes. Enfin, les dirigeants doivent toujours comparer le niveau de sécurité de leur organisation à celui de leurs concurrents.

ETABLIR UNE CULTURE DE SÉCURITÉ

L’exposition aux cyber-attaques est souvent le résultat de négligences ou d’imprudences d’employés de l’organisation ciblée. Il convient d’abord, pour éviter ce type de comportement, de communiquer régulièrement avec ses équipes et d’établir un guide des pratiques à suivre pour protéger efficacement la société en question. Il est cependant difficile de contraindre les employés à s’y conformer. Et la recherche a toujours soutenu qu’il est plus facile, pour engager un changement de culture à l’échelle d’une organisation, de renforcer les liens entre les dirigeants et les employés en développant un leadership “d’influence” plutôt qu’un management centralisé, et d’accroître la présence des dirigeants auprès de leurs équipes au quotidien. L’individu demeure en effet la variable la plus importante quand il s’agit de transformer les comportements et les pratiques au sein d’une organisation.

COMPRENDRE CE QU’IMPLIQUE UNE COMPROMISSION

Toute organisation doit être dotée d’un plan lui permettant de faire face à une faille de sécurité. La première phase de ce plan consiste à développer une culture du risque. Comme organisation ne peut pas protéger tous les éléments de son système à la même hauteur, certains doivent être mieux protégés que d’autres contres les cyber-attaques. Par exemple, la protection des données techniques et scientifiques les plus essentielles doit devenir une priorité. Le degré de contrôle des accès au réseau, variable lui aussi, dépend du type d’exposition qu’entrainerait un incident. Une autre approche consiste à mettre au point un guide des pratiques à suivre par les sous-traitants et fournisseurs, et de tracer les mouvements et évolutions de ces parties tierces (suivre par exemple d’éventuelles fusions, ventes, rachats, interruptions de service et même d’éventuelles failles de sécurité dont elles pourraient être victimes, y compris indirectement.) Enfin, les dirigeants se doivent d’être particulièrement attentifs aux choix en matière de cloud computing, et de prévoir une réévaluation régulière des menaces pouvant venir des architectures de service de ces tiers.

LE DYNAMISME DE LA CYBERSÉCURITÉ ET LE « DYNAMISME ORGANISATIONEL RÉACTIF »

Le dynamisme se définit comme un processus ou un mécanisme responsable du développement ou de l’évolution d’un système. Langer (2011, 2013) introduit une dimension technologique à ce concept en définissant le dynamisme technologique comme « la façon imprévisible et accélérée dont la technologie peut changer la culture et les comportements d’une organisation ». (2010, p. 44). Le dynamisme technologique est donc un processus résultant d’une accélération d’événements et d’interactions au sein d’une organisation, et implique que les individus et métiers gagnent en responsabilité et en autonomie pour y répondre. On peut aussi comprendre le dynamisme technologique comme une impulsion interne à une organisation et qui se reconnaît par les symptômes qu’elle produit. Le dynamisme du monde numérique, ou « cyber-dynamisme », se reconnaît ainsi par une série d’événements et d’interactions nouveaux qui émergent en réponse aux cyber-menaces.

Au sein d’une organisation, le dynamisme en matière de cybersécurité bouleverse l’équilibre confortable ou l’immobilisme indésirable préexistant. Il remet aussi en cause l’équilibre entre les différentes variables et relations qui régissent l’absorption et l’intégration des technologies par une organisation– ce que Langer appelle l’intégration stratégique – et l’assimilation par cette organisation des changements culturels qu’ils entraînent – ce qu’il appelle l’assimilation culturelle. Prendre en compte le cyber-dynamisme permet donc de gérer les impacts négatifs d’une menace technologique. Langer suggère que les répercussions du cyber-dynamisme sur une organisation, reflété par les événements et changements précipités qu’il engendre, doivent être traitées de façons bien particulières. Cette série de réponses aux défis posés par la technologie représente ce que Langer a appelé le dynamisme organisationnel réactif (ROD). L’intégration stratégique et l’assimilation culturelle sont ainsi deux phénomènes distincts qui permettent justement de répondre au cyber-dynamisme.

graphique 2_2

Le graphique numéro 2 présente les composantes du ROD – Source: Langer (2011).

L’INTÉGRATION STRATÉGIQUE

L’intégration stratégique est un processus qui permet à une organisation de gérer l’impact d’une cyber-attaque sur ses mécanismes organisationnels. En d’autres termes, l’impact stratégique d’une technologie exige une réponse immédiate avec dans la plupart des cas un temps de latence proche de zéro, voire nul. Le concept d’intégration stratégique reflète donc la nécessité pour une organisation d’adapter ses ressources au delà de ses traditionnelles frontières géographiques, de redéfinir la chaine de valeur dans le cycle de vie d’une ligne de produits ou de services, et de favoriser des processus commerciaux plus flexibles (Murphy, 2002). Ces changements sont nécessaires pour adapter les processus opérationnels d’une organisation et lui permettre faire face à de nouvelles cyber-menaces. Et ce dans le but de garantir la continuité de ses activités, et dans la plupart des cas, son fonctionnement même et sa survie.

Des facteurs de multiplicité peuvent rendre l’intégration stratégique plus difficile, dans le cas où plusieurs cyber-attaques simultanées engendrent une multitude de problèmes affectant différentes étapes du fonctionnement d’une organisation. Les cyber-attaques fragilisent la confiance des consommateurs dans l’entreprise concernée, et par la même sur sa capacité à enregistrer de nouvelles commandes. D’autre part, les cyber-attaques peuvent aussi entraîner une réduction de la productivité qui peut être difficile à tracer et à exposer à la Direction.

Il est donc indispensable pour les organisations d’identifier des moyens de développer des stratégies leur permettant de gérer les cyber-menaces, par exemple en répondant aux questions suivantes :

1. Comment réduire le nombre d’incidents en instituant des structures organisationnelles proactives conçues pour réévaluer régulièrement l’exposition aux menaces ?

2. Quelles nouvelles menaces nécessitent une veille systématique et une collaboration avec des tierces parties sous forme d’alliances stratégiques ?

3. Quels nouveaux mécanismes permettraient de combattre un nouveau cyber-dynamisme nourri par l’émergence de nouvelles menaces ?

4. Comment créer des architectures systèmes pouvant être restaurées en cas de faille de sécurité ?

Pour atteindre ces objectifs les dirigeants doivent être capables de :

• Mettre en place en interne des mécanismes dynamiques capables de travailler au quotidien à une meilleure compréhension des nouvelles menaces et de leur impact global sur les différents services et métiers de l’organisation, et ce pour en favoriser le changement par la base ;

• Suivre et analyser les investissements de la société en matière de cybersécurité pour pouvoir décider, si besoin, de revoir le délai entre la proposition d’une idée et sa concrétisation.

• Remédier aux faiblesses de l’organisation en termes de gestion des nouvelles menaces, et protéger au mieux les activités commerciales essentielles.

• Proposer un mécanisme qui permette à l’organisation de gérer l’accélération des changements induits par les cyber-menaces, et les intégrer à un nouveau cycle de gestion du changement.

• Proposer une approche intégrée qui associe la responsabilité en matière de cybersécurité à d’autres critères mesurables.

La combinaison de cyber menaces en constantes transformations et d’une demande qui ne cesse d’évoluer a donné lieu a une révolution qui a rendu la mise en œuvre de la composante « intégration stratégique » du dynamisme organisationnel réactif absolument nécessaire. Seule l’intégration stratégique peut permettre de faire passer du concept à la réalité la nouvelle façon, plus rapide et évolutive, dont les entreprises traitent avec leurs clients et fournisseurs. Sans une initiative permettant une intégration stratégique axée sur la cybersécurité, les organisations risquent de perdre leur avantage compétitif, avec d’inévitables répercussions sur leurs profits. Pour la plupart des experts, le réajustement des processus opérationnels occasionné par la multiplication des cyber-attaques sera à l’avantage du consommateur et modifiera la relation client/vendeur. Le cyber-dynamisme, principe accélérateur des changements dans une entreprise, sera l’élément moteur de ce réalignement.

Ainsi, le concept d’intégration stratégique renvoie à la nécessité pour une organisation de suivre au quotidien et de traiter au fur et à mesure de leur apparition l’émergence de nouvelles technologies numériques. L’intégration stratégique est le produit du dynamisme organisationnel réactif d’une société, et implique que celle ci soit capable de prendre en compte dans son fonctionnement des paramètres variables, et de prendre des décisions dans un environnement imprévisible. L’intégration stratégique implique aussi, de la part des employés, un ajustement des modes et processus de prise de décision. La plupart des entreprises soulignent que leur personnel est encore insuffisamment formé à la cybersécurité et qu’il est donc difficile de leur faire adopter de nouvelles façons de travailler, ce qui freine le processus l’intégration stratégique.

L’ASSIMILATION CULTURELLE

L’assimilation culturelle est un processus qui renvoie aux modes d’organisation des technologies au sein de l’organisation, notamment via le département informatique, et la façon dont la technologie est intégrée à la structure de l’organisation. Comme évoqué précédemment, le cyber dynamisme n’est par nature pas limité à des questions stratégiques mais comprend aussi un changement de culture. Ce qui implique de prendre en compte tous les éléments du fonctionnement d’une organisation. Et ce pour favoriser l’émergence d’une culture interactive plutôt que compartimentée et linéaire comme cela est trop souvent le cas. Une culture interactive est une culture qui permette de répondre à l’émergence de cyber-attaques sur la base d’informations et de connaissances optimales, et qui prenne en compte leur impact potentiel sur la performance et la réputation de la société.

Le type d’assimilation culturelle induite par le cyber-dynamisme et formalisée dans le dynamisme organisationnel réactif est divisé en deux sous-catégories : l’étude de la façon dont une organisation communique avec d’autres, et l’évolution effective des formes d’organisation du personnel.

Pour faire face à l’accélération des cyber-attaques, il est nécessaire de favoriser un plus grand dynamisme au sein et entre les services d’une organisation, qui ne peut être atteint sans une plus grande communication entre les groupes qui les constituent. A l’inverse, la nécessité pour ces différents groupes de dialoguer et d’échanger et de partager leurs connaissances de niveaux variables en cybersécurité requiert des structures organisationnelles nouvelles capables de favoriser une culture d’entreprise « sociale ». La nécessaire assimilation de la technologie a ainsi un effet transformatif sur la culture d’une organisation et sur la façon dont cette culture est constituée et reconstituée.

Pour faciliter l’assimilation culturelle, les organisations doivent s’assurer que leur personnel est à l’aise dans le monde numérique. La première étape consiste à identifier la meilleure structure en mesure d’accompagner une assimilation aussi large possible des connaissances sur une cyber-menace. La seconde concerne la façon dont ces connaissances peuvent être utilisées au mieux par l’entreprise. Le danger réside dans la tentation de rechercher une structure « standard » qui permette l’assimilation culturelle de l’univers complexe des cyber-menaces. Les recherches de Sampler et les études de Langer auprès des dirigeants d’entreprises confirment qu’une telle structure n’existe pas (Sampler, 1996). Une organisation doit donc trouver son propre assemblage de constructions organisationnelles pour faire face à un cyber-dynamisme sans précédent. A l’âge du numérique, les employés doivent être capables de percevoir l’exposition aux cyber-menaces et d’y répondre rapidement, or le personnel plus ancien est encore étranger à cette notion d’exposition. Le défi pour les entreprises est alors de recruter un personnel plus habitué à l’univers du numérique et plus disposé au changement. Il est donc plus facile de concevoir un processus d’assimilation destiné au personnel, à la fois jeune et plus ancien, que d’essayer de greffer à l’organisation une nouvelle structure.

Aujourd’hui, nombre de services fonctionnent toujours “en silos,” ce qui ne leur permet pas de répondre aux exigences d’un nouvel environnement de cybersécurité dynamique et imprévisible. Rares sont les organisations traditionnelles qui disposent des canaux de communications favorisant l’assimilation culturelle par l’ensemble des métiers. Pourtant, les dirigeants ne peuvent plus aujourd’hui prendre de décisions sans prendre en compte les considérations liées à la cybersécurité, et finissent toujours par devoir impliquer les employés concernés dans le processus de prise de décision. La “cyber-assimilation” est réussie quand les différentes cultures qui tentaient d’avancer ensemble deviennent de nouvelles cultures évoluant par synergies.

Nombre d’universitaires et dirigeants insistent sur la nécessité d’établir une entité dédiée à la gouvernance de la cybersécurité au sein de la structure opérationnelle d’une organisation. Mais cette approche pose un problème fondamental : elle ne permet pas aux employés et aux dirigeants d’assimiler les changements générés par les problématiques liées à la cybersécurité, ni de concevoir une culture d’entreprise qui favorise le dynamisme organisationnel réactif. En d’autres termes, la question de la gouvernance est interprétée à tort comme une question de positionnement structurel ou de hiérarchie, alors qu’il s’agit plutôt d’une question d’assimilation culturelle. Ainsi, les solutions proposées par les entreprises pour répondre aux problématiques de cybersécurité ont tendance à être prescriptives plutôt qu’analytiques et ne permettent pas de résoudre le véritable problème.

CONCLUSION

Cet article a démontré que les organisations doivent être capables de fournir des réponses stratégiques et culturelles susceptibles de réduire l’exposition aux cyber-menaces et aux failles de sécurité. Les cadres dirigeants devront constituer leurs équipes dans l’objectif de faire face à l’accélération des menaces induites par le cyber-dynamisme. Les organisations aujourd’hui doivent adapter leur personnel aux nouvelles conditions établies par le ROD, et ce en créant des processus permettant d’évaluer le degré d’exposition aux cyber-menaces émergentes et en développant une culture qui permette à l’entreprise d’être à tout moment prête à se défendre. La plupart des cadres dirigeants du secteur industriel reconnaissent que la cybersécurité est devenue l’une des variables clés qui leur permet de maintenir et d’étendre leurs marchés de leurs sociétés.

REFERENCES

Langer, A. M. (2011). Information technology and organizational learning: Managing change through technology and education. CRC Press, Inc.

Langer, A. M., & Yorks, L. (2013). Strategic IT: Best Practices for Managers and Executives. John Wiley & Sons.

Murphy, T. (2002). Achieving business value from technology: a practical guide for today’s executive. John Wiley & Sons.

Sampler, J. L. (1996). ‘Exploring the Relationship between Information Technology and Organizational Structure’. In M. J. Earl (Ed.),

Information Management: The Organizational Dimension (pp. 107-123). New York, NY : Oxford University Press.

Dr Arthur M. Langer est directeur du Center for Technology Management à l’université Columbia, Vice Président de la Faculté et Directeur Exécutif de la Division Innovation et Design de la School of Professional Studies. Il travaille aussi à la faculté du Department of Organization and Leadership de la Graduate School of Education (Teachers College) est est élu au Sénat de la Faculté de l’université Columbia. Il est l’auteur de Strategic IT: Best Practices for Managers and Executives (2013 avec Lyle Yorks), Guide to Software Development: Designing & Managing the Life Cycle (2012), Information Technology and Organizational Learning (2011), Analysis and Design of Information Systems (2007), Applied Ecommerce (2002), et The Art of Analysis (1997) et a publié de nombreux articles sur des sujets tels que l’apprentissage par le service communautaire pour les populations défavorisées, l’intégration organisationelle des technologies de l’information, le mentoring et la formation du personnel. Dr. Langer conseille des grands groupes et des universités sur les technologies de l’information, la cybersécurité, la formation du personnel ou encore l’élaboration des programmes d’enseignement. Dr. Langer est aussi Président et Fondateur de Workforce Opportunity Services (www.wforce.org), une organisation a but non lucrative qui propose des bourses et des ceee a des populations défavorisées à travers le monde. Avant de rejoindre l’université Colombia à temps plein, Dr. langer était Directeur Executive du Service de Support Informatique de Coopers & Lybrand, Directeur Général et Partenaire de Software Plus, et Président de Macco Software.