Les résultats de deux études commanditées par VMware insistent sur les problèmes de perception et de gouvernance que les entreprises, et leurs dirigeants, connaissent encore en 2016 quand il est question de cybersécurité.

« La situation est intenable sur le long terme ». La remarque de Philippe Trouchaud, associé chez PwC et auteur du livre « La cybersécurité au-delà de la technologie ? » aux éditions Odile Jacob, est un appel au changement pour les conseils d’administration. Invité lors d’un déjeuner VMware à réagir à deux enquêtes menées par le spécialiste de la virtualisation avec l’Economist Intelligence Unit (EIU)* et le cabinet Vanson Bourne, l’expert est revenu sur les transformations importantes qui sont en train de se jouer au plus haut niveau de l’entreprise.

Dépasser le sujet technique

« En France, seulement 11% des dirigeants considèrent la cybersécurité comme un sujet… et encore, c’est 
un peu mieux que la moyenne EMEA qui s’élève à peine à 8% » a noté en ouverture Sylvain Cazard, directeur général de VMware France, reprenant l’un des enseignements principaux de l’étude EIU. De quoi expliquer le thème de la rencontre « La cybersécurité : talon d’Achille des dirigeants ». Ces chiffres faibles montrent surtout un décalage avec la perception du reste de l’entreprise. Bien sûr, dans les organisations les DSI font partie des décideurs les plus sensibles à la problématique (35% au niveau monde), mais même pour d’autres responsables, la perception a changé ces dernières années. Ils sont maintenant un décideur sur trois et 21% des salariés à juger qu’un dirigeant doit être tenu responsable en cas de violation de données majeure. Un hiatus critique, d’après les deux études, alors même que les attaques et les menaces sont, elles, de plus en plus médiatisées.

Plus précisément, ces résultats donnent l’impression que si les dirigeants ont la menace cyber dans leur radar (elle est 5^e dans le top 10 des menaces évaluées pour 2016 au World Economic Forum de Davos, derrière l’invariable n°1 qu’est une récession aux Etats-Unis mais devant l’éclatement potentiel de la zone euro), ils délèguent trop et ne s’investissent pas sur le sujet. Ainsi, moins d’un tiers des dirigeants participe à la définition de la politique de sécurité de leur entreprise.

« Il y a une part de responsabilité chez les spécialistes, à l’intérieur de l’entreprise et à l’extérieur, qui ont
beaucoup trop tendance à parler de la dimension technique » souligne Philippe Trouchaud. Il épingle aussi le problème de « culture à la Vauban » des ingénieurs sur les sujets de sécurité, difficilement compatible avec des enjeux qui ne sont plus ceux de la « défense périmétrique », mais qui demandent plutôt de savoir reconnaître que des failles existeront toujours dans les organisations aussi complexes que les entreprises numériques. Cette situation oblige plutôt à mettre l’accent sur l’adaptabilité, la réactivité, la résilience face aux incidents et aux attaques d’origines inconnues. Un cap qui n’est pas encore franchi. Difficile donc, d’attendre des dirigeants de s’adapter aux nouvelles réalités de la cybersécurité, si les responsables de la sécurité eux-mêmes ont tendance à camper sur leur position et à ne pas développer une « narration » convaincante vis-à-vis des non-spécialistes. Pour ne rien arranger, 25% des décideurs informatiques n’informent pas la direction en cas de cyber-attaque.

Les cours boursiers comme argument

Tout n’est pas noir dans ce tableau : si la prise de conscience reste faible, des changements ont pourtant bien lieu. Les attentes vis-à-vis des plus hauts responsables des groupes augmentent – à la fois culturellement et économiquement. Ainsi, Sony qui a subi 3 attaques majeures ces dernières années, s’est largement vue reprocher la passivité de son conseil d’administration entre les épisodes. A Davos, après une première apparition remarquée en 2015 dans des cercles du WEF d’où elle était auparavant exclue, la cybersécurité a de nouveau fait parler d’elle en 2016, sur fond d’opposition entre vision européenne et américaine autour de la protection des données. Et si la pression montante de l’écosystème et des pairs n’est pas suffisante, le marché pourrait se charger d’aiguiller l’intérêt des dirigeants.

Ainsi, en octobre 2015, l’opérateur télécom britannique TalkTalk a subi une compromission d’ampleur de ses données clients. Il s’est vu rapidement blâmer pour le caractère très confus de sa communication et de ses réactions. Son cours en bourse a chuté de près de 40% en quelques heures. « Les agences de notation n’étaient pas préparées à un tel scénario… cela a changé depuis. Elles estiment même assez précisément à 20% de leur note le poids de la cybersécurité dans leurs évaluations » souligne Philippe Trouchaud. La possibilité de dégradation est donc aujourd’hui réelle pour une entreprise qui décide d’ignorer cet aspect, avec un impact immédiat sur sa valorisation.

L’art de gouverner

Pour autant, les investisseurs ne croient pas à la promesse illusoire du « risque zéro ». « Pragmatiquement, ils sont prêt à payer une « surprime » que l’on évalue à environ 7% sur le cours, quand les entreprises démontrent qu’elles savent réagir et gérer de façon responsable les attaques. A l’inverse, les autres sont pénalisées à hauteur de 15% en moyenne, ce qui place le poids de la sécurité quelque part entre 20 et 25% de la valeur de l’entreprise » précise l’associé de PwC.

Ces différents aspects contribuent à rendre difficilement défendable pour un dirigeant de garder des œillères quand il est question de cybersécurité, d’autant plus alors que les exemples de sanctions se multiplient. Récemment, le conseil de surveillance du constructeur aéronautique autrichien FACC (587 millions d’euros de chiffre d’affaires) a annoncé avoir révoqué le fondateur et CEO, Walter Stephan, suite à une fraude de type « arnaque au président », qui a coûté plusieurs dizaines de millions de dollars à l’entreprise.

Une illustration qui pourrait convaincre qu’une véritable gouvernance de la sécurité numérique est nécessaire au sein des organisations. Elle doit notamment permettre d’éviter que les DSI et les responsables de la sécurité des systèmes d’information, se retrouvent seuls à devoir déterminer la stratégie de l’entreprise. En effet, au-delà de la qualité de la réaction à une attaque spécifique, l’objectif est bien de maintenir dans la durée l’effort et la concentration de l’entreprise… jusqu’à faire de sa sécurité un véritable sujet régalien ; comme c’est déjà le cas pour un Etat.

* « The cyber-chasm: How the disconnect between the C-suite and security endangers the enterprise” étude The Economist Intelligence Unit réalisée en janvier et février 2016 pour VMware

Retrouvez notre événement du 31 mai dédié à la sécurité numérique