A l’heure où les dirigeants d’entreprise augmentent sans commune mesure leur attention sur les sujets RSE, notre chroniqueuse Anne Doré s’interroge sur les liens à faire avec le sujet cybersécurité, moins paradoxaux que l’on pourrait le croire.
Le nombre cyberattaques et le nombre de victimes associées, personnes physiques et morales, ne cessent de croitre à un point tel que le mot cybersécurité est entré dans notre langage quotidien.
Malgré cette prévalence, les pressions exercées par les dirigeants, les investisseurs et les conseils d’administration sur la gouvernance environnementale, sociale et d’entreprise (ESG) tendent à mettre l’accent sur l’environnement et la justice sociale, tandis que la cybersécurité est laissée aux organismes de réglementation et à l’informatique. Quel lien imaginer entre ces deux tendances en apparence contradictoire ?
Faut-il donner du sens à la cybersécurité ? Et pourquoi vouloir donner du sens quand le CISO peine à impliquer activement les dirigeants et les collaborateurs sur ce sujet ? Pourquoi donner du sens quand il est parfois difficile de l’intégrer dans la gouvernance des organisations ? Cette démarche serait-elle vaine, idéaliste ou une simple vue d’esprit ?
A lire aussi : Gouvernance de la cybersécurité : quelles questions doivent se poser les dirigeants ?
Pour beaucoup le défi cyber est tel qu’il n’y a pas de place pour l’utopie. Pour autant, si la valeur d’une entreprise dépend de la manière dont elle protège ses données, son savoir-faire, son opérabilité, sa réputation et sa confiance, il n’y a qu’un pas à franchir pour penser que la cybersécurité est structurante et vitale pour l’entreprise.
La cybersécurité a donc naturellement du sens ; un sens corrélé à la stratégie et pérennité de l’organisation, au besoin d’attirer et retenir les talents et enfin un sens du fait de son caractère inextricable de la RSE.
Aligner la raison d’être de la cybersécurité sur celui de l’organisation
Si la cybersécurité pose ses fondamentaux sur des principes d’hygiène de base, il serait vain de la limiter à ce périmètre. La méthode de gestion du risque numérique, méthode promue par l’Anssi puise d’ailleurs ses racines sur les missions, les valeurs métier de chaque organisation. La cybersécurité a donc un objet, un sens spécifique à chaque organisation selon son métier, ses services et ses métiers.
Le sens de la cybersécurité d’un CHU est de garantir la continuité des soins, la santé publique et la protection des données médicales des patients. Il y a dans ce cadre une responsabilité politique et un sens public.
Parallèlement, quand une PME sur deux fait faillite dans les six mois qui suivent une attaque cyber, la cybersécurité a du sens, celui de garantir la pérennité de l’entreprise et l’emploi de ses collaborateurs.
L’efficacité d’une stratégie cybersécurité réside sur son adéquation avec celle de l’entreprise. Il y a donc un sens, celui propre à chaque entreprise, la raison d’être de chaque entreprise.
Donner du sens à la cybersécurité pour attirer et retenir les talents
Les organisations sont confrontées à un défi de taille : recruter, développer l’attractivité des métiers de la cybersécurité alors que la pénurie des ressources fait rage et que 15.000 postes sont non pourvus en France.
Face à un tel manque, la boite à outil des RH et ses ‘packages’ traditionnels a ses limites. Il faut aller chercher de nouveaux profils, notamment des femmes (à peine 11% des effectifs cyber). Et pour recruter ses nouveaux profils, il faut donner du sens, expliquer par exemple que la cybersécurité consiste à protéger les données personnelles, médicales et les données biométriques et donc l’intégrité des personnes physiques.
Donner du sens à la cybersécurité, ce peut être aussi partager comment elle consiste à protéger le bon déroulement d’une élection ou à protéger des hôpitaux ou toute attaque peut avoir un impact vital pour certains patients.
Ces exemples illustrent bien combien la cybersécurité est aussi porteuse de valeurs identitaires ou statutaires et donc de sens. Face à des collaborateurs, une société en recherche de sens, ces sujets doivent être expliqués, partagés et valorisés.
Corréler la cybersécurité et la RSE vers un objectif commun
Comme mentionné dans ma précédente chronique intitulée « La cybersécurité vectrice de la durabilité des entreprises » a un rôle majeur et structurant dans la mise en œuvre des politiques sociales et sociétale des organisations.
La cybersécurité est un des garants de la pérennité des organisations et de leurs responsabilités RSE et constitue de fait un élément clé et structurant de la stratégie environnementale et économique de l’entreprise.
Partant de cette hypothèse et sachant combien cette dimension RSE est attendu par les investisseurs, les collaborateurs, les utilisateurs ou consommateurs, il parait une fois de plus facile que la corrélation RSE et cybersécurité, donne du sens et de la valeur à la cybersécurité.
Impact culturel et sur les coûts
Ces exemples illustrent combien il est facile de donner du sens à la cybersécurité. On pourrait évoquer le sens de la cybersécurité dans le cadre d’une stratégie commerciale, ou marketing, etc.
Mais l’essentiel est posé. La cybersécurité a un sens, le sens que chaque organisation veut bien lui donner et le sens que chaque département, entité déclinera sur son périmètre.
Cette capacité à donner du sens à la cybersécurité est source de valeur notamment celle de pouvoir rendre la cybersécurité audible et compréhensible par l’ensemble des collaborateurs, celle de pouvoir l’intégrer plus facilement et rapidement dans la culture l’entreprise.
Alors dire que l’intérêt de donner du sens à la cybersécurité est de faciliter son intégration dans la culture d’entreprise et, de fait, de réduire le coût de la cybersécurité, il n’y a qu’un pas à franchir… et il appartient à chaque organisation de se lancer en avant.