Et si le cybercrime, en plus d’être le problème majeur des entreprises, était aussi l’occasion d’augmenter leur résilience par des politiques de cybersécurité intelligentes ?
Est-ce qu’en toute chose qui fait du mal, il est possible de trouver quelque chose qui fait du bien ? Cette interrogation n’a rien de la profession de foi d’un masochiste, elle est au cœur des nombreuses questions posées par la cybercriminalité aux entreprises, notamment à ses cibles privilégiées : les PME et les ETI.
Il n’est pas question de trouver dans la douleur une source de satisfaction, mais plutôt de voir comment les épreuves, fussent-elles très difficiles et désagréables, peuvent nous enrichir et nous faire progresser. Autrement dit, si l’on reprend Nietzsche : « ce qui ne me tue pas me rend plus fort ».
Il est possible qu’affronter une épreuve permette d’en sortir renforcée. Cela s’appelle la résilience que l’éthologue Boris Cyrulnik définit ainsi : « On est hébété par un traumatisme, qu’est-ce qu’on fait ? Si on ne fait rien, on reste hébété. Et si on se débat pour se remettre en vie, c’est le processus de résilience. »
La cybercriminalité peut faire partie de ces épreuves. En effet, à terme, si le processus a été bien mené, elle est capable d’améliorer la résilience d’une entreprise.
Renforcer l’entreprise
Comme en toute chose (ou presque) on peut trouver une dimension positive, il est possible de dire que l’un des effets de la question cyber est de participer au renforcement de la coopération entre les services de l’entreprise. C’est à première vue paradoxal, puisque le cybercrime est censé affaiblir l’entreprise.
Une entreprise qui fonctionne bien suppose une certaine synergie et une parfaite complémentarité des différents services qui la composent. Avec un système de cybersécurité efficace qui effectue en temps réel un cyber-rating, le Directeur Général est à même de comprendre les risques cyber et leurs enjeux économiques : réputation, perte d’exploitation, espionnage industriel, etc… On sait d’ailleurs que 80% des attaques se font pour des intérêts financiers, et que 10% relèvent de l’espionnage industriel.
Le DSI, quant à lui, dispose de rapports capables de soutenir son discours dans sa présentation de budget auprès de sa direction. Les DSI des PME, voire des ETI, manquent parfois de compétences et d’outils pour aborder les risques cyber. Le point de vue extérieur fourni par le cyber-rating va leur permettre d’avoir une vision claire de ces risques à travers des détails sur la remédiation sur chacun des points de risque.
Un discours commun
Mais la cybercriminalité, et son corollaire la cybersécurité, ne concernent pas seulement ces deux postes, mêmes s’ils sont en première ligne pour subir ou contrer le cyber-risque. En fait, chaque échelon de l’entreprise, chaque poste, chaque fonction, chaque service, est directement concerné. Le risque cyber ne discrimine pas : il touche tout le monde. Pourquoi ? Parce que le plus grand point de fragilité de tout Système d’Information n’est pas le Système d’Information lui-même, mais les personnes qui y ont accès et s’en servent. L’humain est la principale faille des risques cyber. Et c’est par les collaborateurs (internes ou externes à l’entreprise), leurs ordinateurs, leurs objets connectés, ou par ceux des partenaires, que les hackers pénètrent dans les systèmes. Ils utilisent un arsenal de ruses allant des très simples aux très sophistiquées, mais elles toujours ont toujours pour dénominateur commun de tromper la vigilance des utilisateurs du Système d’Information.
Tout le monde dans l’entreprise est guetté par le cyber-risque. Une politique de cybersensibilisation est donc impérative aujourd’hui, que ce soit dans la plus petite PME ou l’ETI en croissance. Au-delà de la menace qu’il représente – ou à cause de cette menace –, le cyber-risque produit aussi cet effet paradoxal de renforcer la cohésion, de « resserrer les rangs ». La guerre rend tout le monde solidaire.
La cybersécurité produit de cette certaine manière un discours commun, une préoccupation commune, qui traverse toute l’entreprise, et renforce sa cohésion. Celle de ses process comme celle de ses relations avec les autres entreprises. Ainsi, la cybersécurité devient un maillon essentiel de la convergence des différents services. Plus de convergence et moins de risques au niveau global, tels sont les bénéfices d’un système efficace et d’une bonne politique de cybersécurité.
C’est ce qui s’appelle faire d’un mal un bien !
___________________
Par Lior Rachmani, CIO & Co-Fondateur de Menaya