Extrait du guide de l’Institut Français des administrateurs (IFA) sur la Sécurité numérique et la gouvernance, 2024.
Sécurité numérique : il est impératif que les entreprises se mettent à la page
Depuis quelques années, et en accélération forte depuis la pandémie, le risque cyber s’est étoffé dans plusieurs dimensions : à la fois dans ses parties prenantes (criminelles ou non), au niveau géopolitique, mais également sur la multiplication des points d’accès.
L’entreprise évolue dans un écosystème dense et multipolaire d’employés, de clients, de prestataires et de fournisseurs, d’actionnaires, chaque partie prenante ayant son propre écosystème. Dans le cyberespace, l’entreprise n’est qu’un maillon dans une chaîne, et la chaîne n’est aussi solide que son maillon le plus faible. Ce qui explique la récurrence des attaques provenant des chaînes d’approvisionnement dont les maillons faibles sont les PME, et la politique délibérée des grands acteurs de la cybersécurité de travailler à promouvoir les pratiques et les obligations à destination des entreprises, quelle que soit leur taille.
En parallèle, on assiste à une progression phénoménale et une aggravation considérable des risques dans la géopolitique du cyberespace. La sophistication croissante de l’organisation des attaquants criminels comprend une plus grande spécialisation et une industrialisation des processus. Il faut compter également avec de nouvelles méthodes d’intrusion, ainsi que sur le soutien, voire la structuration, par certains États de groupes de hackers.
Depuis quelque temps maintenant, la prolifération des objets connectés, souvent moins bien protégés, mais aussi le basculement de pans entiers de l’économie en accès à distance durant la pandémie, puis le maintien du télétravail à des niveaux élevés post-pandémie, facilitent les accès aux données, systèmes d’information et réseaux. Avec l’Internet des objets et la multiplication des entrées possibles, ou la capacité d’acteurs criminels de détruire les serveurs physiques, la frontière entre les domaines physique et numérique se brouille.
L’accélération du déploiement et de l’usage des nouvelles technologies, qui ne vont faire que se renforcer, entre autres, avec les possibilités de codage et de deep fake offertes par les nouvelles intelligences artificielles, requiert une vigilance renforcée et la nécessité d’adapter en continu les dispositifs pour ne pas dégrader le niveau d’exposition de l’entreprise, dans un contexte où le facteur humain reste le premier déclencheur d’incidents en matière de cybersécurité (phishings, négligence, ingénierie sociale).
L’amplification exponentielle des cas de fraudes, escroqueries et attaques cyber depuis quelques années, en nombre, en montant, et en impact, ont mis en lumière l’importance croissante de la cybersécurité : le coût mondial de la cybercriminalité s’élèverait à $ 8 000 milliards en 2023 d’après CyberSecurity Ventures, et l’ONU estime à $ 5 200 milliards le coût annuel pour l’économie mondiale entre 2020 et 2025.
Face à ces risques, les initiatives gouvernementales et réglementaires se sont multipliées, avec pas moins de 600 conventions internationales, 90 directives européennes et 17 codes français qui traitent de sécurité numérique recensés en 2022 (1). Dans ce contexte de risque croissant, sur un sujet perçu comme hautement technique, et avec une inflation des référentiels, dispositifs normatifs et déclaratifs, il importe que la gouvernance, conseils d’administration ou de surveillance (2), se saisisse de ces sujets dans le cadre de son rôle de surveillance active et de suivi des risques.