Idée reçue n°3 : Le directeur transformation digitale ne peut pas faire grand-chose sur la cybersécurité

Pourquoi cette idée reçue est-elle fausse ?

Paradoxalement, le CDO est probablement l’un des seuls dirigeants, si ce n’est le seul après le CEO, à même de faire quelque chose de décisif sur la cyber / sécurité digitale. Le CISO, quand il est restreint à un périmètre technique, ne sera pas en mesure de porter cette vision à ce niveau stratégique. Car beaucoup de CISO dépendent toujours d’un DSI ou d’un CTO. Leur background est rarement business et sans une dose suffisante de digital. Trop rarement, ils s’autorisent (ou sont autorisés à) penser client (externe).

Le directeur transformation digitale a un intérêt direct : il dispose de budgets, de l’écoute de la direction générale, il lui arrive même de porter un P&L. Il est souvent seul à pouvoir intervenir en transverse sur à la fois la technologie, les clients et canaux de distribution, les partenaires, les collaborateurs et les processus métier. Il sera mandaté par le CEO, qui est désormais - mais depuis plusieurs années déjà - invité impulser la stratégie de cybersécurité (Accenture, Forum Économique Mondial). Si le CDO peut (ou devrait ?) devenir Sponsor de la stratégie de cybersécurité, devrait-il porter la responsabilité ultime ? Pas nécessairement, car il est fondamental que le CISO puisse conserver une forme d’indépendance, lui permettant d’avoir une capacité d’analyse, de recommandations et parfois d’alertes du top management. Cependant, que tous deux travaillent de concert, c’est certain.

Le coût de l’inaction cyber des CDO est trop élevé

Car depuis plusieurs années, les PDG ayant subi des crises cyber significatives, pour lesquels l’inaction a été montrée notamment par la presse, n’ont clairement plus la côte. (Marissa Mayer ex PDG de Yahoo, l’ex PDG d’Equifax, le PDG de SolarWinds… ils sont retraités ou retirés de la vie active de CEO de grande entreprise). En fonction des situations, soit leur CISO de l’époque les alertait, mais ils n’avaient pas trouvé ensemble un terrain d’entente, soit la question de la compétence du CISO a aussi été posée (Equifax).

Demain, seuls les directeurs transformation digitale qui auront convenablement intégré la cybersécurité au cœur de leur démarche seront considérés comme crédibles dans leur gestion de carrière, vers des positions encore plus ambitieuses. Pour paraphraser l’OCDE, il n’y a pas de digital réussi sans véritable sécurité digitale.

Il existe aujourd'hui des stratégies et des solutions capables de répondre à ces défis. Encore une fois, les stratégies de transformation digitale sont sources d’inspiration, sinon de cadre, pour les stratégies de cybersécurité. Encore faut-il savoir les interpréter et transposer. Demain, il y aura les CDO qui n’auront pas saisi le sujet et ceux qui l’auront apprivoisé, pour tout à la fois le bien de l’entreprise et leur bien personnel.

Comment la stratégie digitale peut-elle faire adhérer la stratégie cybersécurité ?

Une approche simpliste serait d’appliquer les conseils de Microsoft.

Avec la cyber, que signifie “une vision et stratégie” alignée sur la transformation digitale ?

Ce n’est pas la simple mise en conformité NIST CSF, CIS20 ou RGS, ou de remédiation suite au dernier audit interne ou externe. C’est aller vers l’intime des processus métier, de la culture de l’entreprise, de sa stratégie et des capacités. Autant métier, IT que cyber. La cyber doit faire partie intégrante de la stratégie de l’entreprise.

En cyber, qu’est-ce qu’une “culture unifiée et élastique qui invite à la diversité” ?

Ce n’est pas les elearnings obligatoires et les tests de phishing accusateurs. C’est une stratégie, des méthodes et des outils qui vont dans le sens de la satisfaction des besoins fondamentaux des collaborateurs (travaux de Ryan et Deci, 2000) : l’autonomie, la compétence et la relation. En somme, l’empowerment sur et via le sujet cyber, au quotidien des échanges des équipes et au cœur de la stratégie de l’entreprise.

En cyber, que signifie “amplifier le potentiel unique” ?

Cela n’est surtout pas faire comme tout le monde. Pas de copycat de stratégie. Cela veut dire disposer d’une connaissance intime des opérations business et de sa stratégie. Les benchmarks (d’hier) sont intéressants, mais sont le risque de faire comme la moyenne, c'est-à-dire médiocre, et certainement pas “sécurisé” (dès aujourd’hui, et pour demain).

En cyber, que signifie “développer des capacités” ?

Cela veut dire quelles caractéristiques doivent être mises en place par le programme cybersécurité. Pas chercher à tout traiter. Ne pas mettre en priorité absolue d’être conforme à la norme X, Y ou Z. Mais, comme dans une stratégie de défense militaire, définir les capacités que l’entreprise doit acquérir, face à des typologies de menaces et de situations. Il s’agit non seulement d’adopter une approche réellement orientée risques, mais, face à cette multiplicité des risques et aux cygnes noirs (les événements peu probables mais pouvant survenir), face à la multiplicité des attaquants, adopter une stratégie d’industrialisation, c’est à dire de définition et de mise en oeuvre de capacités suffisamment fines pour traiter les risques identifiés et adaptable aux nouvelles menaces sans surcoût majeur ou rigidité excessive.

Pour oser paraphraser Stay Nadella, PDG de Microsoft (“every company is a software company”) nous disons : every company is a digital security company.

Le modèle “anti-fragile cyber”

Pour travailler véritablement en profondeur le sujet cyber, et ne pas repousser le problème avec un nième outil magique, ou entrer dans les stratégies d’un acteur du marché dont l’intérêt fondamental n’est pas nécessairement aligné avec l’entreprise, il est indispensable de disposer d’un modèle d’organisation pour la cyber résilience. Un tel modèle est aujourd’hui disponible. Le modèle anti-fragile cyber.