La sécurité numérique a longtemps été une matière réservée aux seuls experts des systèmes d’information. Or, l’intensification croissante de la numérisation des activités économiques, tant dans les phases de conception, de production que de commercialisation, oblige à élargir la communauté des parties prenantes concernée par la protection de ces actifs numériques. En effet, la multiplication des solutions technologiques utilisables directement par les directions métiers sans connaissance technique préalable, avec des budgets limités, ouvre la voie à de possibles contournements des équipes en charge de l’informatique interne. Il est donc indispensable de diffuser la culture de cybersécurité, qui mêle un usage des bonnes pratiques à un sens des responsabilités qui est de plus en plus exigé par la communauté financière. Les campagnes d’attaques pouvant effectivement conduire à la paralysie d’équipements ou au vol d’informations stratégiques, la durabilité même de l’organisation peut être discutée. Ces possibles déstabilisations d’origine numérique font partie des évènements qui peuvent altérer la valorisation et la confiance dans les projets économiques les plus prometteurs.

C’est la raison pour laquelle les investisseurs et les analystes cherchent à collecter le maximum de renseignements sur les modalités de prise en compte de la cybermenace : quels sont les scénarii envisagés en cas d’atteinte aux systèmes de traitement automatisé de données ? Quelles sont les mesures prises en cas de perte ou de vol de données personnelles ? Quelles sont les ressources mobilisables si l’informatique maison était piégée par un rançongiciel ? Autant de questions qui ne relèvent plus de la théorie mais dont les réponses vont contribuer à apprécier la robustesse des entreprises. Cette démarche concerne les entités de toutes tailles et de tous les secteurs, même les ETI, PME et PMI. En effet, les pirates peuvent les viser en tant que sous-traitant d’un grand donneur d’ordres. En les identifiant comme le probable maillon faible de la chaîne technique, ils tenteront de les infecter pour remonter, via les systèmes d’information, jusqu’au cœur de l’entreprise effectivement ciblée.

Une législation contraignante mais structurante

Dès 2016, la France a pris l’initiative dans le cadre de sa loi de programmation militaire (LPM) de désigner près de trois cents entreprises qualifiées d’opérateurs d’importance vitale (OIV). Issues de douze secteurs d’activités (télécoms, santé, finances, traitement de l’eau, énergie…), ces sociétés doivent justifier d’un niveau de cybersécurité particulièrement exigeant. C’est le rôle des quelques prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) au regard de leur expertise, d’intervenir auprès de ces acteurs économiques particulièrement exposés. Cette valorisation des entreprises stratégiques se retrouvent dans la directive NIS adoptée par l’Union européenne qui désigne à son tour des opérateurs de services essentiels (OSE). Là encore il s’agit d’assurer la continuité de service pour ne pas amplifier une situation de crise causée par une cyberattaque affectant ces services qui structurent nos sociétés modernes. Ces dispositifs juridiques ont désormais des équivalents dans les grands pays du monde. Tandis que le règlement général sur la protection des données (RGPD) impose aux détenteurs de données personnelles de signaler tout vol ou perte de celles-ci. Les autorités nationales de protection desdites données ayant la possibilité de fixer des sanctions financières pouvant aller jusqu’à 4 % du chiffre d’affaires mondialisé de la compagnie incriminée. Des chiffres qui ont de quoi intéresser le moins technophile des directeurs financiers ou des contrôleurs de gestion.

Identifier la valeur des données

La prise de conscience en matière de risque numérique doit être l’occasion d’une analyse de la valeur des actifs détenus par l’entreprise. Dans un monde où les concurrences peuvent revêtir des formes et des origines souvent inattendues, cette connaissance fine des ressources détenues par la société est un précieux outil pour bâtir des ripostes économiques créatives. Afin de leur apporter le juste niveau de protection, l’analyse de ces données participe à cette valorisation du patrimoine informationnel de l’entreprise dans un contexte où l’exploitation de la donnée constitue un important levier de croissance. .

 

Orange Cyberdefense
  • 1500 collaborateurs, 
  • 353 millions de chiffre d’affaires en 2018, 
  • Qualifié Prestataire en Détection d’Incidents de Sécurité (PDIS) et Prestataire en Audit de Sécurité de l’Information (PASSI) par l’ANSSI, 
  • 10 Security Operations Center (SOCs) répartis à travers le monde pour assurer une couverture 24/7 de la menace. 

 

Aller plus loin
  • FIC 2019 : Le Forum International de la Cybersécurité (FIC), 22-23 Janvier 2019, Lille. www.forum-fic.com
  • OIV : Liste des trois cents Opérateurs d’Importance Vitale
  • LES RECOMMANDATIONS DE L’ANSSI (Agence Nationale De la Sécurité des Systèmes d’Information) en matière de cybersécurité. www. ssi.gouv.fr
  • COMCYBER : Le Commandement de la cyberdéfense (COMCYBER), placé sous l’autorité du Chef d’État-Major des armées rassemble à compter du 1er janvier 2017, l’ensemble des forces de cyberdéfense des armées françaises sous une même autorité opérationnelle, permanente et interarmées. Effectif : 3400

 

Cet article a été publié dans le numéro 370 (juin 2019) de la revue finance&gestion.