Intégrer la notion de cybersécurité dans les activités des entreprises
Article paru dans l'edition du Business Magazine du 20 avril 2022
Le PwC 25th Annual Global CEO Survey révèle que 49 % des Chief Executive Officers estiment que les cyberattaques constituent la menace numero uno de la croissance économique en 2022 ; tout juste devant les risques sanitaires mondiaux qui figure sur la deuxième marche du podium avec 48%.
Les cyberattaques maintiennent leur statut de menace dangereuse vis-à-vis des entreprises. Après deux années mouvementées liées à la pandémie de la Covid-19, les entreprises ont dû se réinventer pour faire face à des challenges sans précédent.
Afin de contrer cette nouvelle menace aux possibilités drastiques, les entreprises ont accéléré leur processus de digitalisation, compressant ce qui aurait normalement pris des années à réussir en l’espace de quelques mois. Toutefois, il faut aussi prendre en compte le revers de la médaille. Effectivement, cette accélération du processus de la transformation numérique a entraîné des failles au niveau du risque cyber-sécuritaire.
En effet, la pandémie a contraint les entreprises au télétravail, multipliant les risques de cyberattaques, car si le réseau des entreprises est généralement sécurisé, ce n’est pas souvent le cas pour les télétravailleurs qui opèrent de chez eux, sur leur connexion domestique.
Et parmi les obstacles rencontrés par les chefs d’entreprises, l’on retrouve les cyberattaques qui se veulent de plus en plus menaçantes et fréquentes, d’où le besoin de protéger les données des entreprises.
Ainsi, au cours des 24 derniers mois, on a assisté à une déferlante de différents types de cyberattaques, allant du ransomware au phishing en passant par l’usurpation d’identité. D’emblée, Vikas Sharma, Partner Advisory et Chief Security Information Officer de PwC, indique que la transformation rapide du modèle d’entreprise, couplée au concept de Work From Home, a laissé apparaître de nombreuses failles au niveau des organisations.
Dopé par les nombreux appareils mobiles et autres outils interconnectés (décrits comme des attack vectors), la tâche des cybercriminels est désormais plus facile. Car ils disposent de multiples points d’entrée pour infiltrer et causer l’effondrement d’une entreprise.
Prenant appui sur le secteur du commerce et la vente en ligne, l’expert en cybersécurité explique que même si le pouvoir est désormais entre les mains du consommateur, ce dernier peut facilement se faire voler son identité numérique et ses données personnelles, voire son argent.
Confirmant que les logiciels de type ransomware sont à la hausse, Vikas Sharma confie que ce genre d’attaque n’est pas aussi répandue sur le sol mauricien. Cependant, celles associées aux disruptions dans la chaîne d’approvisionnement peuvent avoir un impact conséquent sur les entreprises et, éventuellement, l’économie mauricienne.
Dans la même foulée, il met en garde contre les arnaques liées au phishing, à l’instar de la messagerie électronique intitulée Show Your Care for Ukraine au début du conflit russo-ukrainien. Outre ces techniques utilisées dans les cyberattaques, l’on parle également de cyberwarfare ; stratégie qui peut être déployée par le crime organisé ou une organisation rivale souhaitant détruire la valeur actionnariale d’une entreprise.
La problématique cyber-sécuritaire
Le risque des cyberattaques continuera de prendre l’ascenseur au fur et à mesure que notre dépendance à la technologie s’agrandit. De ce fait, si l’on veut réussir dans le nouveau monde digital, il faudra impérativement intégrer la question de la cybersécurité dans nos tâches au quotidien et c’est justement là où le bât blesse.
En effet, même si la plupart des Chief Executive Officers ainsi que les conseils d’administration des entreprises sont conscients des risques associés aux cyberattaques, ils n’arrivent pas à intégrer cet aspect sécuritaire dans une vision d’ensemble en ce qui concerne les autres risques normalement liés aux sociétés.
Intervenant sur cette problématique, Vikas Sharma explique que les risques traditionnels (financiers, marchés, etc.) sont facilement quantifiables en termes de données financières. Or, cela n’est pas toujours le cas pour «les cyber-risques puisque ces derniers sont difficilement quantifiables tant que l’on n’arrive pas à chiffrer les pertes potentielles». Qui plus est, en l’absence de personnel compétent en la matière au sein du conseil d’administration, ce dernier peut avoir des difficultés à mesurer l’ampleur de ces risques.
Afin de contourner cet obstacle, le Chief Security Information Officer de PwC Maurice suggère «d’adopter le langage du conseil d’administration en communiquant en termes de chiffres par rapport à la valeur actionnariale ou les pertes qui peuvent être encourues par l’entreprise». Hormis une bonne gouvernance de la part du conseil d’administration, le fait de poser les bonnes questions au département IT peut faire toute la différence.
Dans la pratique, l’engagement des CEO par rapport à l’inclusion de la cybersécurité dans les prises de décisions doit se traduire dans leur connaissance des risques. Pour cela, les Chief Information Officers et les Chief Security Officers doivent garantir une bonne fréquence des tests d’évaluation avant de pouvoir relayer les résultats aux membres du conseil d’administration.
Pour Vikas Sharma, cela passe inévitablement par une simplification du jargon technique tout en faisant le lien entre les différents risques. Considérant que les risques financiers et les cyber-risques sont les deux facettes d’une seule pièce, l’analyste indique que le conseil d’administration pourra alors se poser les bonnes questions (Sait-on à quoi nous sommes vulnérables/Que se passe-t-il si l’on est compromis/Peut-on se remettre de cette attaque/Comment rétablir nos pertes ?). C’est uniquement de cette manière que l’organisation pourra mettre en place les éléments déclencheurs qui assureront alors sa protection.
Les vulnérabilités des tierces parties
Alors que les acteurs émergents tels que les tierces parties sont de plus en plus populaires, force est de constater que ces dernières sont plus source d’inconvénients que de bénéfices. Pour cause, même si la transaction semble faire preuve de bon sens d’un point de vue commercial, tel n’est pas toujours le cas en termes de cybersécurité.
En s’appuyant sur un récent cas issu de la fintech, Vikas Sharma révèle que «souvent, l’absence d’une diligence en bonne et due forme sur une tierce partie, à savoir le fournisseur de logiciel, peut coûter énormément aux institutions financières en termes de réputation et de pertes financières». Si dans une telle transaction chaque partie prenante se renvoie la balle, il estime que ce genre de situation peut être évitée si les institutions financières effectuent une diligence appropriée sur les tierces parties.
Les solutions à adopter
Selon Vikas Sharma, la clé autour de la cybersécurité dans les entreprises réside dans le fait «d’éliminer la complexité du sujet par la simplicité». Estimant que chaque personne possède en moyenne quatre à cinq appareils connectés, il suggère de «simplifier l’écosystème en réduisant les dépenses d’une entreprise sur les nouveaux gadgets».
Dans un deuxième temps, il faudra aussi s’assurer de l’efficacité de ces outils ; quelle est l’utilité d’un logiciel antivirus s’il n’est jamais mis à jour ? Finalement, les responsables des entreprises doivent considérer la cybersécurité comme un parcours.
Pour cela, il faut d’abord mettre en place des fondations solides avant d’établir les processus de contrôle et de vérification. Par la suite, il s’agira d’évaluer en continu afin de tester l’efficacité des mesures de protection.
Related content
Contact us
Follow PwC Mauritius
