[image:1,l]
Comment démêler les questions sociologiques des évolutions technologiques et des enjeux juridiques ? Quels sont les risques majeurs et comment évaluer les menaces pour mieux se protéger ? Comment peuvent s’adapter les décideurs ? Comment doivent évoluer les pratiques de management en termes de gouvernance et d’économie de la sécurité globale ou d’implication des utilisateurs ?
Dans La sécurité numérique de l’entreprise, Pierre-Luc Réfalo analyse l’ensemble des démarches et outils indispensables pour un management innovant de la sécurité numérique. Il apporte aussi aux entreprises les clés pour une meilleure protection de l’information sensible dans un environnement complexe. Son approche stratégique est avant tout pragmatique, pour permettre de mieux maîtriser les risques numériques et d’anticiper les cyberattaques.
Extraits de La sécurité numérique de l’entreprise : L’effet papillon du hacker, de Pierre-Luc Réfalo
À la fin du xxe siècle, le passage à l’an 2000 a représenté une véritable psychose collective au sein des entreprises et plus précisément du monde de l’informatique et des télécoms. La peur du grand bug a mobilisé des énergies et des sommes considérables pour éviter l’arrêt de l’économie mondiale. Bill Clinton, alors président de l’hyperpuissance américaine, demandait aux pirates informatiques « la trêve du 31 décembre » afin qu’ils ne profitent pas des possibles dysfonctionnements et de la mobilisation des équipes informatiques mondiales !
Il y a plus de dix ans donc, les entreprises et l’économie mondialisée étaient déjà fortement dépendantes de leurs systèmes d’information et d’Internet. Aujourd’hui, elles le sont évidemment encore plus. Mais les technologies, et surtout leurs usages, ont totalement changé autour du triptyque cloud computing/mobilité/médias sociaux. Ils se sont surtout démocratisés en devenant accessibles à plusieurs centaines de millions d’individus dans le monde.
Le numérique est au cœur des stratégies et des opérations des entreprises, des plus grandes comme des plus petites. Aucune ne peut prétendre au développement économique sans dématérialisation de ses processus « business ». Et l’État, les administrations et les services publics n’échappent pas à la règle (impôts en ligne, dossier médical personnel, feuilles de soin électroniques, titres de transport, location de véhicules, stationnement, radars automatiques, etc.). Le CIGREF[1] a proposé une définition de cette entreprise numérique : «… une entreprise qui a une vision numérique et un plan numérique pour toutes les dimensions de son modèle d’affaires».
Les dangers et les menaces ne sont plus les mêmes. Aujourd’hui, certains n’hésitent pas à parler de cyberdélinquance, de cyberterrorisme voire de cyberguerre. Le Courrier international titrait à la une de son numéro de septembre 2010 : « Cyberguerre : la menace qui vient du Net ». Réalité profonde ou nouveau marketing de la peur ?
Si l’on se concentre sur le monde de l’entreprise, le CIGREF a également mené une réflexion sur les risques pesant sur l’entreprise numérique. Ici aussi, la complexité saute aux yeux, sous la forme d’une synthèse globale touchant tout type de structure, publique ou privée, industries, services, banques ou assurances. Cette étude a recensé tous les types de risques liés au caractère numérique d’une entreprise, ainsi que ceux susceptibles d’émerger lors de son passage vers le numérique. Ils ne sont pas circonscrits au seul périmètre des systèmes d’information et sont transversaux puisque le numérique est au cœur de la chaîne de valeur de l’entreprise.
Trente et un risques regroupés en huit familles ont été identifiés. Ils concernent les ressources humaines, la dématérialisation des rapports humains, le contrôle des systèmes d’information, le patrimoine numérique. Ils sont de nature stratégique, éthique, juridique, marketing… Plus particulièrement, on note : les atteintes à la réputation (profitant de la caisse de résonance du Web), le vol de données stratégiques et confidentielles (renforcé par la mobilité, le travail collaboratif, l’innovation), le risque systémique (associé aux interactions mutuelles et dynamiques entre acteurs dans une logique d’effet « papillon »), la contrefaçon et les atteintes aux droits de propriété intellectuelle, les atteintes aux informations personnelles, la conservation des données numériques (documents réglementés menacés de perte ou d’altération). Ces travaux ne sont pas sans rappeler le modèle que j’avais proposé en 2002[2].
[image:2,f]
En 2002, j’avais aussi fixé six axes d’orientation[3] pour guider la réflexion de la gestion des cyber-risques (terme utilisé à l’époque) : réglementation, organisation, éducation, veille, architecture, économie. Plus simples que les 12 chapitres de la norme ISO/IEC 27002 (qui associe des questions de gouvernance avec des aspects très techniques et opérationnels), ils restent à l’évidence d’actualité.
[1] Club Informatique des GRandes Entreprises Françaises: association de 140 DSI d’entreprises privées et organismes publics (www.cigref.fr).
[2] Sécuriser l’entreprise connectée, op. cit., deuxième partie: «Les 7 familles de cyber-risques», p. 97.
[3] Ibid., troisième partie: «6 axes d’orientation pour mieux progresser», p. 249.