Tandis que le rythme des innovations IT va crescendo, il devient de plus en plus difficile pour les dirigeants, les décideurs et les directeurs informatiques d’avoir une vision prospective long terme. Pourtant, il est indispensable pour les DSI de s’interroger afin de préparer l’avenir et de prendre dès maintenant les bonnes décisions.
Le Cigref, le Club Informatique des Grandes Entreprises Françaises, qui regroupe plus de cent très grandes entreprises et organismes français et européens de tous les secteurs d’activité (banque, assurance, énergie, distribution, industrie, services…), et qui a pour mission de promouvoir l’usage des systèmes d’information comme facteur de création de valeur et source d’innovation pour l’entreprise, s’est interrogé sur la vision prospective de l’une des préoccupations majeures des DSI : la « cybersécurité », c’est-à-dire, la sécurité des systèmes d’information.
Et tandis qu’en ce début d’année 2015, les attaques malveillantes en matière de cybersécurité, à destination des entreprises comme des institutions, se sont multipliées, le Cigref s’est appliqué à définir les enjeux auxquels les entreprises pourraient être confrontées en matière de cybersécurité, à l’horizon 2020.
Nous allons dans cet article vous présenter les principaux résultats de cette étude.
Dans un premier temps, le Cigref s’est consacré à l’étude des principales variables pouvant avoir une influence importante sur la cybersécurité des entreprises. Ainsi ont été identifiées trois variables principales :
- les menaces : c’est-à-dire les acteurs non commerciaux (État, groupes criminels, pirates informatiques etc.) qui font état de la conflictualité dans le « cyberespace » (Internet, mais aussi, l’ensemble des réseaux informatiques), et sont relatifs notamment à tout ce qui touche au terrorisme et à la « cyberguerre » (les actes de guerres ayant lieu dans le cyberespace, attaques, piratages etc.) qui font désormais de plus en plus de tort à la sécurité des entreprises,
- les vulnérabilités et opportunités : qui font directement référence aux relations de l’entreprise, à ses fournisseurs et ses propres utilisateurs,
- l’environnement extérieur : Il s’agit des menaces qui reposent sur des éléments externes à l’entreprise, sur lesquels l’entreprise a peu de marge de manœuvre et auxquels elle ne peut que s’adapter.
Sur la base de ces trois variables, l’organisme a élaboré un certain nombre de scénarios mettant en avant des enjeux et des recommandations liées à la cybersécurité des entreprises. Nous avons décidé de vous présenter quatre de ces scénarios :
Garder la main sur sa sécurité
Dans ce premier scénario, le Cigref recommande aux entreprises de tâcher le plus possible de conserver le contrôle de leur propre cybersécurité.
En effet, parce que les entreprises n’ont pas toujours les compétences pour traiter la sécurité informatique en interne, ou parce qu’elles ont pris le parti de confier cette sécurité à un ou à plusieurs partenaires, elles peuvent être parfois sujettes à en perdre le contrôle.
L’organisme recommande donc d’être vigilant dans le choix de ses partenaires, notamment lorsqu’il s’agit d’acteurs non Européens, et de tâcher de travailler avec des solutions informatiques sécurisées et labellisées, pourquoi pas en collaboration avec les pouvoirs publics, ou coconstruits par des entreprises et les états.
La donnée au cœur de la préoccupation des entreprises
La donnée, son intégrité, son stockage seront probablement en 2020 au cœur des préoccupations des entreprises du point de vue de la cybersécurité.
Il sera donc important pour de disposer d’une cartographie précise des données de l’entreprise et de réfléchir aux différentes manières de les valoriser, ceci pouvant passer par le recours à de nouveaux métiers (chief data officer, data scientist etc).
Le Cigref recommande de mettre en place un cadre législatif strict en matière de gestion des données avec notamment une obligation légale de stocker physiquement les données des entreprises européennes dans des serveurs sur le sol européen.
Plus d’importance donnée à la veille
Enfin, dans plusieurs de ses scénarios, le Cigref recommande de donner davantage de place aux outils d’alerte et à la veille.
Ainsi, le Cigref suggère la mise en place de plates-formes d’information communes entre des entreprises d’un même secteur, voire même, entre les entreprises et les États. Le but serait ainsi d’établir des systèmes de protection communs et d’identifier plus facilement les données sensibles.
Le Cigref recommande également aux entreprises de mettre en place une veille sociétale au sein de la structure, et de développer l’intelligence économique et la prospective. Ceci permettrait de déterminer les tendances liées à des domaines comme l’e-réputation ou encore à l’économie de l’échange et du partage, et de mieux gérer la relation de l’entreprise avec les individus et les groupes extérieurs.
Impliquer davantage ses propres collaborateurs
Enfin, le Cigref recommande d’impliquer davantage les collaborateurs de l’entreprise en développant une culture “cyber”. Il s’agirait de disposer d’employés ayant été formés (au préalable, pourquoi pas dans les programmes scolaires…) à la sécurité informatique.
De plus, il est également important que des formations à la sécurité informatique soient disponibles sur le marché de la formation professionnelle. Du côté de la gestion des carrières, les entreprises devront se préparer à proposer des parcours attrayants afin de susciter des vocations en matière de sécurité informatique.
Enfin, les entreprises devront travailler à générer au sein de leurs collaborateurs des comportements adaptés aux risques informatiques, et ceci dans tous les services et à tous les niveaux de l’entreprise.
Ainsi, nous venons de voir quelques-uns des principaux scénarios établis par le Cigref concernant la sécurité informatique pour les entreprises à l’horizon 2020.
Le Cigref recommande en effet de choisir son prestataire de sécurité informatique avec attention, d’apporter un soin tout particulier à la gestion et au stockage des données, de donner plus d’importance à la veille afin de mieux se préparer aux risques et aux attaques, et enfin de limiter ces risques en formant davantage ses collaborateurs et en les impliquant dans le processus de gestion de la sécurité informatique de l’entreprise.
Si ces scénarios sont le fait d’une prospective, on ne peut que remarquer qu’ils sont également totalement d’actualité, et qu’il est aujourd’hui possible de les recommander à n’importe quelle entreprise dans le cadre de sa politique de sécurité informatique.