Notre chroniqueuse Anne Doré s’interroge sur la place que doit tenir la cybersécurité du point de vue d’un directeur de l’innovation, en allant au-delà des raccourcis faciles sur le fait que la sécurité est toujours un frein.

L’innovation est au plus que jamais au cœur de toutes les entreprises. La digitalisation de l’économie pousse de nombreuses entreprises à innover et à se transformer. L’adoption des nouvelles technologies : cloud, big data, réseaux sociaux, imprimantes 3D, robotiques, blockchains et autres évolutions sont autant d’éléments déclencheurs et source d’innovation au sein des entreprises.

A lire aussi : [Chronique] La cybersécurité, variable d’ajustement pour les décideurs ?

Tous les secteurs d’activité se sont lancés dans une course, parfois effrénée, à l’innovation technologique pour lancer de nouveaux produits ou services, améliorer les processus, gagner en efficacité ou de manière plus visible, faire évoluer le business model. 

Une récente étude de BCG le rappelle : l’innovation est un facteur de croissance et de performance financière. Elle doit donc être sponsorisée et facilitée au sein des entreprises. Pour autant nombre d’entreprises peinent à innover et la cyberscécurité est souvent pointée du doigt comme un frein voir même un point bloquant.

Il n’est pas rare d’entendre certains responsables métier décrier les contraintes générées par la cybersécurité et promouvoir l’innovation technologique en parallèle des infrastructures informatiques existantes. Ainsi se développe des ‘shadows IT’ certes plus agiles, flexibles mais totalement hors cadre, hors Politique de Sécurité des Systèmes d’Information. Dans ce cas l’innovation génère des failles de sécurité et devient une source de risques cyber.

Si l’innovation passe par l’utilisation de données sensibles dans le cloud, l’idée n’est évidemment pas d’interdire mais de trouver et mettre en œuvre une solution dont le risque est calibré et valorisé. Le bénéfice de l’innovation ne doit pas être inférieur au coût du risque cyber. L’innovation et la cybersécurité sont donc indissociables. Les équipes en charge de l’innovation et la cybersécurité doivent collaborer de manière concrète pour le bienfait de l’entreprise.

1. Pourquoi l’innovation et la cybersécurité sont-elles indissociables ?

La quatrième révolution industrielle se caractérise par une exploitation exponentielle des nouvelles technologies et par leur fusion qui estompe les frontières entre les sphères physique, numérique et biologique.

Mais la quatrième révolution met aussi la confiance au cœur des préoccupations. Les utilisateurs ont besoin d’avoir confiance et de savoir que les données qu’ils partagent sont protégées.  Les fournisseurs ont les mêmes attentes ; ils veulent que toutes les interactions, notamment les flux digitaux soient sécurisés et ne sont pas une « ouverture sur le monde » non maitrisée. Enfin les collaborateurs doivent se sentir protégés.

Accepter de perdre cette confiance, revient pour une entreprise à accepter le risque de voir sa réputation entachée et de subir des préjudices financiers, matériels ou humains.

Or on le sait le risque cyber est omniprésent et exponentielle. Innover et lancer sur le marché un nouveau produit non préalablement validé par les équipes cyber, reviendrait pour un constructeur automobile à mettre sur le marché un nouveau véhicule sans avoir réalisé de ‘crash test’ au préalable. Quelle entreprise peut se permettre de prendre un tel risque ?

Évidemment certaines sociétés notamment celles directement associées aux nouvelles technologies ou soumises à des contraintes réglementaires comme le PCI – Payment Card Industry – sont plus attentives. A contrario d’autres innovent, y compris de nombreuses start-up sans prendre en considération ce risque.

La cybersécurité est indispensable mais ne peut être un frein. Elle doit être au service de la stratégie de l’entreprise.  Il faut innover tout en ayant un risque cyber mesuré et acceptable. Or cet équilibre ne peut se trouver que dans les entreprises ayant mis en place une culture d’innovation responsable.

2. Leadership et culture de l’innovation ‘cyber sécurisée’ 

Si l’innovation exige liberté de pensée et réflexion ‘hors cadre’, il faut pour autant que la création s’inscrive dans un cadre dont les règles sont prédéfinies et dont la prise en compte du risque cyber doit être estimé. Paradoxale certes mais pas antinomique !

Comme évoqué dans la précédente chronique, le directeur général, rôle modèle de la cybersécurité, a un rôle clé à jouer sur les deux aspects. Il doit à la fois promouvoir la culture d’innovation et le droit d’échouer associé mais il doit veiller à la prise en compte du risque cyber. En collaboration avec le CISO, il doit s’assurer que le risque cyber n’est pas marginalisé ou sous-estimé par des décideurs dont les seuls indicateurs seraient le ‘time to market’, le gain de parts de marchés, de productivité ou d’efficacité. Une innovation cyber responsable ne peut se faire que si tous les décideurs et acteurs de l’innovation ont été préalablement sensibilisés et comprennent les risques cyber associés.

Le CISO joue aussi un acteur clé. Au-delà des actions de formation et sensibilisation des collaborateurs et des responsables, il doit s’assurer que la Politique de Sécurité des Systèmes d’Information de l’entreprise évolue au gré des innovations et des besoins métier tant sur les phases de conception que de production. Le CISO et ses équipes doivent être des facilitateurs, partie prenante dans le processus d’innovation. La cybersécurité doit être une valeur ajoutée pour l’entreprise et les utilisateurs des solutions innovantes.

Les dirigeants doivent imposer que l’innovation intègre par défaut la cybersécurité ce qui revient à trouver un équilibre entre innovation, cybersécurité et risque résiduel. C’est d’autant plus important quand l’innovation est ‘sous-traitée’ à des tiers, notamment des start-up qui font souvent abstraction du risque cyber.

3. La cybersécurité gage de valeur ajoutée pour l’innovation

Freiner l’innovation ou innover sans intégrer la cybersécurité ne sont pas des options envisageables. La cybersécurité est un gage de valeur ajoutée et de pérennité des solutions innovantes et de l’entreprise !

Il convient de trouver un équilibre. Les équipes en charge de l’innovation doivent intégrer le cyber risque dès la conception de la solution.  Les équipes cyber doivent comprendre les enjeux métier, s’adapter et faire évoluer la gouvernance et les moyens associés pour intégrer les besoins nouveaux des entreprises dans les phases de conception, développement et d’exploitation.

Il s’agit donc de mettre en œuvre une culture d’entreprise basée sur une organisation apprenante et transversale. La cybersécurité est un enjeu pour tous, personne ne peut s’y soustraire. A contrario la cybersécurité n’est pas une finalité. Elle n’a de sens que si elle est au service de la stratégie de l’entreprise et donc de l’innovation.