Idée reçue n°2 : La transformation digitale est une affaire distincte de la cybersécurité

Pourquoi cette idée reçue est-elle fausse ?

En octobre 2016, Microsoft¹ a identifié 4 piliers : pour la transformation digitale, ce qui lui a tenu lieu de définition :

1/ Engager les clients : leur donner de nouvelles expériences qu’ils vont adorer, 2/ Habiliter les employés : réinventer la productivité et permettre une culture centrée data, 3/ Minimiser les opérations : moderniser les portefeuilles, transformer les processus et les compétences, 4/ Transformer les produits : innover sur les produits et les business models.

Si ces 4 piliers ne sont pas directement appliqués à la cybersécurité, l’entreprise se met des bâtons dans les roues. La réussite de la transformation digitale est freinée. Voire hypothéquée !

Que serait l’échec de l’engagement des clients ?

C’est la triple extorsion. Les opérateurs de ransomware contactent désormais les clients des entreprises qu’ils attaquent, afin de les faire chanter. Cela a eu lieu notamment en Finlande, où, en octobre 2020, les patients du prestataire de psychothérapie Vaastamo ont reçu des menaces. Il est à noter que le CEO a été rapidement écarté. Ce n’est pas anecdotique, c’est une lame de fonds : en février 2021, le groupe de rançonneurs REvil a annoncé qu’il avait ajouté deux étapes à leur schéma de double extorsion : les attaques DDoS (déni de service, distribué) et des appels téléphoniques aux partenaires business des victimes et aux médias. On peut désormais parier sur le fait que les opérateurs de ransomware vont ajouter à leurs tactiques la notification des autorités (eg. CNIL).

Pour éviter cela, il faut engager de manière proactive, dès le temps de paix, les clients et partenaires business sur le sujet cybersécurité, bien avant que les cybercriminels ne s’en chargent. Et considérer (comme le font déjà les attaquants), que les clients font partie prenante du terrain cyber de l’entreprise. Oui, quand, sur le sujet cyber, on mobilise à peine les collaborateurs, il faut déjà s’organiser pour mobiliser les clients. Il ne suffit pas de les alerter contre le phishing comme le font désormais les banques ou des acteurs de l’e-commerce.

En ce qui concerne les partenaires métier(s) ou IT, il ne faut pas uniquement les considérer comme des sources de risque, au travers des programmes de “third party risk management” face aux “supply chain attacks”. Ce risque est pourtant bien réel : en 2020, 40% des atteintes à la cybersécurité sont liées à des attaques indirectes (Accenture). Pour une efficacité maximale, il faut aussi réussir à impliquer vos partenaires. Face aux ransomwares, ils sont logés à la même enseigne que votre entreprise.

Quel serait l’échec de l’habilitation des employés ?

Ce sont les e-learning cyber obligatoires, la cybersurveillance, les tests de phishing. C’est pourtant ce type d’”engagement” que l’on constate le plus souvent. Une approche considérée comme de “sensibilisation” par de nombreux experts cyber, pourtant largement perçue comme démobilisante et culpabilisante par les collaborateurs. Et tout aussi décriée par les études scientifiques en psychologie comportementale, neurosciences et sociologie. C’est aussi à rebours des cultures d’entreprises souvent promues : l’agilité, le partage, la responsabilisation de chacun, au service du collectif. Globalement, tout le monde est perdant, car le coût de cette forme de sécurité est majeur sur la culture d’entreprise et impacte négativement l’efficacité des collaborateurs.

Et donc qu’est-ce qu’habiliter les employés, en cyber ? Cela veut dire leur donner les moyens de devenir des piliers de la cybersécurité de l’entreprise. L’efficacité de cette approche a été démontrée, en complément ou en cas de défaillance de moyens purement technologiques, pour le triage (cas de SolarWinds, où un humain a été à l’origine de la découverte de l’attaque, chez l’expert technologique cyber FireEye), la détection (eg. Cas banque du Bangladesh), la réaction d’urgence. Nous ne sommes pas seuls dire que l’humain peut faire la différence face aux cyberattaques. La Cour des comptes européenne et l’ENISA ainsi que quelques grandes entreprises défendent cette approche. Encore trop rarement mise en œuvre. Malgré la disponibilité de plateformes d’engagement des collaborateurs, spécialisées sur la cyber, telles que Captain Cyber.

La mobilisation, de tous, à l’échelle, est devenue indispensable. Écoutez ce que nous en dit Steve Purser, n°2 de l’agence européenne de cybersécurité.

Quel serait l’échec de minimiser les opérations ?

Cela voudrait dire ne pas simplifier l’architecture cybersécurité, mais au contraire contribuer à la complexifier. Ajouter un nième ”produit magique” qui va tout régler. Alors que la plupart des entreprises ne parviennent pas à déployer pour tous leurs collaborateurs les outils cyber pourtant achetés.

Trop souvent, plusieurs produits installés font la même chose, ou presque. Dans une étude de décembre 2019 réalisée par Reliaquest, 55% des répondants (parmi 400 décideurs cybersécurité d’entreprises de 1000 collaborateurs et plus) indiquent que leur équipe sécurité a atteint un point de non-retour : le nombre excessif d’outils de sécurité en place impacte de manière négative leur posture de sécurité. Si le stack technologique cyber impacte négativement la cybersécurité de la majorité des entreprises, cela freine les autres.

La fiabilité des produits de cybersécurité n’est pas, en soit, garantie. Il existe même des produits de cybersécurité, de marques pourtant reconnues, qui sont connus comme vulnérables. C’est ce qu’ont trouvé des analystes de CyberArk en décembre 2020, identifiant 10 marques différentes parmi lesquelles Symantec, McAfee, Kaspersky, Fortinet, Checkpoint, Avira, Microsoft, Avast.

Au contraire, il s’agit de participer à la transformation des processus métier avec un regard cybersécurité, injecter une dose de cybersécurité dans les compétences de tous les collaborateurs, moduler cette dose en fonction du poste (et donc des enjeux du poste : risque positif ou risque négatif). Cela implique une collaboration forte des départements RH et des différentes fonctions, directions et BU. Et pour y parvenir, une implication de la direction générale à son plus haut niveau pour mobiliser les dirigeants de ces entités. Tous vont vouloir des data permettant de mesurer cette part de cybersécurité à la charge des métiers.

À quoi ressemblerait l’échec de transformer les produits ?

Cela serait mettre sur le marché des produits sans aucune fonctionnalité ou bénéfice probant de cyber-sécurité.

Au contraire, il est devenu indispensable de s’assurer que la cybersécurité est bien intégrée au cœur même des produits de l’entreprise. Ce que recommande McKinsey : Build cybersecurity into business products and processes. For digital businesses – and almost every company we know of aspires to be a digital business – cybersecurity is an important driver of product value proposition, customer experience and supply chain configuration. Digital businesses need, for example, design security into IoT products, build secure and convenient customer interaction processes and create digital value chains that protect customer data.

Et cela fonctionne, même si les entreprises qui y parviennent ne le crient pas sur tous les toits. Comme l’entreprise Netatmo qui gagne des parts de marché grâce à la cybersécurité (voir notre entretien vidéo avec Fred Potter, CEO de Netatmo - groupe Legrand). Comme aussi Amadeus, l’opérateur de services IT spécialisés du secteur de l’aérien, des voyages d’affaires et du tourisme, qui gagne des appels d’offre avec sa différenciation notamment liée à la cybersécurité.

¹ De son côté, Google adopte aujourd’hui une définition avant tout technologique et centrée sur cloud, mais comporte des similitudes avec la définition de Microsoft. _La transformation numérique consiste à utiliser les technologies numériques modernes, y compris les différents types de plates-formes cloud publiques, privées et hybrides, afin de créer ou modifier les processus métier, la culture et l'expérience client. Les entreprises sont ainsi en mesure de répondre aux exigences liées à l'évolution de leur secteur et à la dynamique du marché.