Quel est mon «risk appetite» ? Quel niveau de risques suis-je prêt à accepter pour aller au bout de mes projets et de mes objectifs ? Question sensible.

A entendre les spécialistes de Securelink, nous devrions apprendre à gérer notre «risk appetite», notre appétence aux risques. Or, nous en serions loin. De même, lorsqu’on nous parle de cybersécurité, nous ne voyons que les dangers, les contraintes et les coûts plutôt qu’envisager un éventail de risques à transformer en autant d’opportunités pour structurer notre organisation digitale.

Mais d’abord, qu’est-ce qu’un risque ? Le risque est un événement contingent et dommageable pouvant entraîner des modifications partielles, voire neutraliser totalement un système d’information. En sécurité informatique, le risque est lié à l’éventualité d’une menace informatique volontaire ou involontaire, interne ou externe au système d’information. Le risque informatique est lié à la connaissance du métier, au niveau de la maîtrise de l’outil informatique ainsi qu’à l’utilisation des moyens de contrôles.

Les petites entreprises… peut-être les plus menacées

«Si les entreprises ne peuvent pas faire l’économie d’une réponse technologique avancée, structurée et à la pointe de l’innovation, elles ne doivent pas pour autant penser que la réponse face aux cyber-attaques ne doit être que technologique», estime Jo Vander Schueren, General Manager, Securelink. La cybersécurité est également un enjeu lié à des questions d’organisation et de capital humain au sein des entreprises. Et cela pour toutes les entreprises, grandes et petites.

En particulier les plus petites qui manquent souvent de ressources pour évaluer leurs risques. «C’est une erreur de croire que vous êtes davantage en sécurité parce que vous êtes une petite société, assure Simen Van der Perre, Technical Director, Securelink. Dans le cadre de notre dernier rapport annuel, nous avons pu établir que les petites entreprises sont victimes d’intrusions quasiment cinq fois plus par employé que les grandes entreprises. L’utilisateur final demeure la cible la plus simple : l’attaque sera rarement détectée et la porte restera dès lors ouverte pour un bon bout de temps.» 

Les risques en termes de cybersécurité peuvent devenir autant d’opportunités pour une entreprise : l’occasion de se réapproprier la réflexion sur l’organisation de son capital humain et ainsi réaliser les investissements les plus judicieux sur sa politique digitale. Autrement dit, il faut «refuser la politique du marketing de la peur», puisque le risque zéro n’existera jamais, «et développer une appétence du risque» justement pour structurer son organisation de la manière la plus efficace possible et, de cette façon, mieux répondre aux risques. «Les données deviennent le nouvel actif des entreprises; il convient donc aujourd’hui de transformer ces données en autant de canaux d’innovation.»

L’humain au centre de tout projet

Si les technologies de cyber-défense existent, il faut désormais permettre aux organisations et aux hommes de pouvoir s’en servir. Les technologies d’alerte sont en place et fonctionnent relativement bien. Cependant ni l’organisation de l’entité, ni les personnes en charge au sein de l’organisation, ne sont suffisamment préparées pour réagir. Les entreprises doivent donc repenser leurs stratégies de cyber-défense et, pour cela, réinventer leurs organisations internes en plaçant l’humain au centre du projet. En effet, les incidents de sécurité provoqués par un collaborateur ne cessent d’augmenter. «Si les entreprises ont en grande partie amorcé leur réflexion sur leur transformation digitale, l’enjeu des prochaines années sera de faire de la cybersécurité la pierre angulaire de cette transformation digitale», pense Jo Vander Schueren.

Les dirigeants prennent de meilleures décisions quand on leur a permis d’identifier clairement les risques et leur impact possible. L’exemple du moment, expliquent les spécialistes de Securelink, c’est sans doute le passage au cloud, envisagé par toujours plus de dirigeants dans le cadre des politiques de transformation digitale. Le frein principal est bien connu : la sécurité. Pour le lever et enclencher la mise en oeuvre, il faut donc réaliser rapidement une analyse de risques approfondie qui va mesurer tous les impacts possibles, qu’ils soient techniques, humains ou réglementaire.