La cyber criminalité n’offre-t-elle qu’une nouvelle manière pour les fournisseurs de solutions techniques de vendre leur matériel ? Ces questions peuvent se poser lorsqu’on discute avec des chefs d’entreprise ou des dirigeants d’établissement.
L’analyse du pro de la cyber !
Il est clair que nous sommes face à un paradoxe culturel qui peut troubler : D’un côté, nous n’arrêtons pas de vouloir « numériser » les entreprises et encore plus notre société. En même temps, certains « prêtres » de cette digitalisation nous exhortent à nous protéger.
La numérisation est souvent synonyme d’évolution et devient même un enjeu stratégique.
Cependant, nous pouvons déjà constater que souvent celle-ci se résume à une numérisation documentaire qui ne remet pas en cause l’organisation et les processus de l’entreprise.
Elle profite aussi des ressources qui sont proposées que ce soit en termes de machines ou de solutions de services.
Les entreprises utilisent très mal leurs ressources informatiques existantes.
Au lieu de les optimiser, elles accroissent leurs ressources informatiques pour numériser l’ensemble de l’entreprise sans réfléchir au fondement même de ce qu’est leur entreprise.
Et cet accroissement de ressources, souvent mal maîtrisé, ne fait qu’accroître la cible offerte aux criminels.
Le coût engendré par cet accroissement technologique empêche le chef d’entreprise d’investir dans les besoins fondamentaux et vitaux de l’entreprise, notamment la sécurité.
Il met en place des solutions de sécurité, proposées par les prestataires.
Cela se traduit aussi souvent par une multiplication d’équipements tous plus performants les uns que les autres, doublée d’un accroissement du volume de données à stocker, qu’il faut protéger dans le « cloud ».
De l’autre côté, il y un manque de prise de conscience des dirigeants sur leurs risques.
Bien souvent, ils se croient hors du périmètre des attaquants.
Ils sont dans le syndrome que nous pourrions appeler « le syndrome de la vache qui rit » : trop gros, trop petit, trop peu intéressant, … et nous pourrions ainsi continuer à énumérer toute une série de caractéristiques qui nous mettent à l’abri des criminels.
En outre, les États ne profitent pas de la relance pour imposer a minima une contrepartie aux entreprises aidées qui pourrait notamment se traduire par une évolution de la structure vers une plus grande résilience.
De tout ça, on voit bien que nous continuons à faire le bonheur des cyber criminels.
Que faire ?
Un début de solution serait qu’au lieu de numériser l’entreprise, ce serait de la digitaliser.
Il faut reprendre l’ensemble des process de l’entreprise et les repenser de manière digitale.
Nous voyons bien alors que cette transformation ne peut être due qu’à une prise de conscience globale du chef d’entreprise.
Pour arriver à ce résultat, celui-ci devrait arrêter de gérer son entreprise mais plutôt la diriger c’est à-dire redéfinir sa stratégie.
Face aux différentes crises, notamment celle du COVID-19, il se positionne dans une problématique de gestion de son entreprise.
Il devrait plutôt profiter de ces crises pour diriger son entreprise et ainsi redéfinir sa stratégie.
Les dysfonctionnements qui sont apparus doivent être corrigés et non pas uniquement traités. Il doit travailler sur la cause et ne pas se contenter de traiter la conséquence d’un problème. C’est bien là, la grande différence entre gestion et direction.
Profitons de ces crises pour mettre en place des solutions correctives à long-terme. Parmi celles-ci, on voit bien que la cyber sécurité et un élément important.
Nous avons donc identifié au moins trois facteurs qui n’incitent pas le chef d’entreprise à prendre en compte les problématiques de cyber sécurité :
- Le premier est que, pour la gestion des crises, le chef d’entreprise se met plutôt en mode correctif que prédictif, c’est-à-dire qu’il traite la conséquence du problème et non pas la cause.
- Le deuxième est que toute cette numérisation, qui se traduit par des investissements nombreux et souvent couteux, ne lui donne pas suffisamment les moyens de définir une politique de sécurité.
- Le troisième est le manque d’incitation légale, soit au niveau du bilan comptable soit au niveau des normalisations, par des labellisations obligatoires à avoir pour répondre à des appels d’offres ou à proposer des services, comme c’est le cas pour la formation avec la labellisation datadock.
Ce qui est dommageable dans le constat qui vient d’être fait est que la digitalisation de l’entreprise n’est pas encore perçue comme un élément discriminant dans le monde des affaires.
Il va de soi que cette digitalisation devra prendre en compte l’ensemble des composants du système d’information et des réglementations qui lui sont attachés.
Par exemple, bien souvent une mise en conformité RGPD amène le chef d’entreprise à revoir l’ensemble de son système d’information.
Revoir les données et leur traitement lui permet d’optimiser ses procédures et en plus de limiter le nombre de données nécessaires à la réalisation des services qu’il doit fournir.
En conclusion, face à l’explosion des attaques cyber qui ont touché les entreprises pendant cette crise COVID et qui continuent, il est temps que les chefs d’entreprise prennent en compte cette problématique très sérieusement. Une incitation réglementaire serait souhaitable.
Le chef d’entreprise doit aussi commencer à comprendre l’importance stratégique de son système d’information et par là même le niveau de protection et de résilience qu’il doit lui octroyer.