Par l’Equipe Zalis
Un grand Professeur de médecine expliquait que la première réaction des patients atteints d’une maladie grave, pourtant bien souvent évitable, est généralement «pas moi, pas ça, pas maintenant ». C’est aussi, trop souvent, la réaction initiale, stupéfaite, d’un dirigeant victime d’un incident de sécurité informatique, quel qu’il soit : fuite de données, ransomware, sabotage industriel. Les exemples abondent, plus ou moins spectaculaires, plus ou moins sophistiqués, plus ou moins dommageables à la réputation de l’entreprise touchée et de ses clients et partenaires.
On imagine souvent le pirate grimé en Tom Cruise dans « Mission Impossible », ou un parfait geek, avec un masque de la Casa del papel pour uniforme. Une passionnante étude de l’Institute for Security+Technology nous montre au contraire que le pirate est plus couramment un employé lambda d’une organisation de plus en plus grande (de 10 à 100 personnes), qui jouit a minima de la complaisance d’autorités de pays peu coopératifs dont les rançons sont devenues un outil d’amélioration de leur balance commerciale. On apprend même que, comme les ERP, il existe des Ransomware as a Service, avec partage économique des profits issus des rançons !
Mal nommer les choses, c’est ajouter au malheur du monde ; mal concevoir la menace, ne pas la prendre suffisamment au sérieux, c’est ajouter, tout en haut de la liste, le risque cyber aux nombreux risques de disruption de l’entreprise. La politique de l’autruche marche rarement ; dans le cas de la cybersécurité, elle ne fonctionne pas.
Les maux sont nombreux, d’un utilisateur trop facile à phisher à un sous-investissement chronique dans un domaine où tous (des Chief Information Officers aux vendeurs de solutions) ont crié au loup pendant des années. Mais aussi parce que personne n’a jamais reçu un bonus pour avoir amélioré la sécurité de la société ou fait le tour de tous les claviers de la société pour décoller les mots de passe… Comme le fumeur oublie le risque en se disant qu’il fume moins que d’autres, il existe chez beaucoup de dirigeants ce sentiment que la taille, l’objet social ou la discrétion de l’entreprise va permettre d’échapper à l’attaque. Et puis, de toute façon, si un pirate veut s’attaquer à vous, il y arrivera, n’est-ce pas ? C’est un puissant incitateur à ne rien faire ; mais c’est faux.
Les solutions existent. Elles demandent bien souvent le même cocktail que le redressement d’entreprise : un diagnostic clinique sans complaisance, une volonté sans faille de la direction, une adhésion de l’ensemble des parties prenantes : salariés, fournisseurs, clients. Se préparer, inlassablement au pire, pour être heureux d’y échapper. Tout comme il est plus simple d’entrainer ses soldats dans une caserne par temps de paix, il est nettement plus simple de définir une politique de sécurité quand tous les serveurs ne sont pas cryptés. Former les salariés (la quasi-totalité des attaques sont liées à des mots de passe mal gérés par les salariés ou les prestataires), les considérer (l’employé frustré, cyber-luddiste), mettre à jour tous les équipements sans relâche (les serveurs, bien sûr, mais aussi les ordinateurs, les téléphones, les équipements réseaux, les imprimantes…), et reporter cette exigence sur ses prestataires et fournisseurs permet de diminuer très significativement le risque.
La cybersécurité est une composante essentielle, décisive, de la transformation digitale des entreprises. De leur redressement. Elle nécessite souvent une adaptation, une inflexion de la culture d’entreprise, et un peu de change management. Bien pilotée, elle peut être un avantage compétitif et durable. L’adage nous rappelle que le meilleur moment pour planter un arbre, c’était il y a 20 ans. Le second, c’est maintenant. C’est valable pour la cybersécurité. Au travail !