Loading...Dans un contexte de transformation digitale, les données professionnelles et même personnelles font plus que jamais parti du patrimoine de l’entreprise. Elles doivent ainsi bénéficier de protections adaptées en adéquation avec la valeur que l’on souhaite leur accorder. Au regard de la gouvernance d’entreprise et de la loi, les dirigeants sont en premières lignes car ces données sont un actif de l’entreprise et ils en sont directement responsables. Mais sont-ils sensibilisés à la cybersécurité ? Sont-il conscient de la valeur, de leurs responsabilités et du rempart de protection à mettre en oeuvre face aux mauvaises pratiques et aux attaques ?
Un comportement adapté
Je ne vais pas ici refaire la démonstration que la cyber-protection est indispensable à la survie des entreprises et qu’avant de déployer des équipements matériels, il est indispensable de sensibiliser les dirigeants, les managers intermédiaires et les collaborateurs aux bonnes pratiques en la matière. Les spécialistes en cybersécurité aiment à dire que le principal problème dans ce domaine est situé entre le clavier et la chaise.
Il faut donc d’abord que l’ensemble des ressources de l’entreprise comprenne les enjeux et les conséquences d’un comportement parfois inconscient. La technologie aide mais le meilleur rempart reste un comportement adapté.
Il est toujours possible de mettre en oeuvre une pile d’équipements ou de solutions mais cela n’aura jamais le poids d’un comportement naturellement responsable.
S’engager durablement
Je compare régulièrement la mise en place d’une démarche de cybersécurité aux pratiques qualité (surtout avec des industriels qui pratiquent l’ISO 9001) : cela paraît évident à tous; ce n’est souvent que du bon sens, quand c’est dans la culture, on ne cherche qu’à s’améliorer, c’est sur le moyen et long terme que les gains deviennent visibles, ce n’est pas parce qu’on a une certification qu’il n’arrivera pas d’incidents.
Oui, il y a de nombreuses similitudes sauf que, dans le contexte de la qualité, le dirigeant n’est pas légalement engagé. Et cela fait une vraie différence !
La mise en place d’une démarche sécurité doit devenir un engagement perpétuel et doit devenir l’un des piliers d’une approche d’innovation SMACS pour Social, Mobile, Analytics, Cloud et donc Sécurité.
Tout le monde est concerné
Au travers de différents programmes (LPM, ANSSI, …), au travers des différents interlocuteurs de l’état impliqués dans l’intelligence économique (police nationale, DIRECCTE, DGSI, …), l’état cherche à initier les dirigeants et les entreprises au sens large mais trop souvent dans une démarche réactive (suite à un incident) plutôt que pro-active.
Il y a un vrai travail à faire sur la prise de conscience des PME en faveur de la cybersécurité. Pour ma part, je pense que cette prise de conscience doit faire partie de la démarche de la transformation numérique de l’entreprise. Dans la cas contraire, les changements digitaux déployés ne seront que des colosses aux pieds d’argile. La cybersécurité doit apporter une forme de protection mais elle n’aura que peu de valeurs sans les bonnes pratiques.
Comment financer la sécurité ?
Pour commencer une démarche de cybersécurité, il faut d’abord avoir les compétences et/ou se faire accompagner pour bénéficier immédiatement des bonnes pratiques.
Dans cette allocation de moyens, je me suis régulièrement demandé comment les entreprises pouvaient être incitées à se lancer. On peut toujours répandre le message « Attention, Attention », engendrer une certaine forme de crainte, mais au final, il faut allouer des moyens.
Si l’on considère que les conséquences du manque de pratique de cybersécurité a une influence directe sur le chiffre d’affaires d’une entreprise, l’état peut également y retrouver un manque à gagner. Je suis loin d’être un adepte de la subvention mais je considère qu’il faut accompagner et inciter les PME se lançant dans cette démarche. Pour bien connaître les dispositifs incitatifs de Crédit Impôts Recherche (CIR et CII), je me demande si un dispositif équivalent (CIC – Crédit Impôt Cybersécurité) ne serait pas une bonne chose. Il faudrait déterminer ce qui rentre dans l’assiette (prestations, achats matériel / services, …) et le pourcentage sur cette assiette qui devient du crédit d’impôt. Cela fonctionne très bien pour la R&D et pour l’innovation. Il va falloir faire du lobbying pour la cybersécurité.
Pensez-vous être sensibilisé à la cybersécurité ? Avez-vous besoin de savoir où vous en êtes en termes de sécurité ? Vous songez à lancer une transformation numérique de votre entreprise ? Contactez-moi.
