Nombreux sont les dirigeants qui préfèrent botter en touche plutôt que d'aborder le sujet des cyber-risques. Face à un quotidien surchargé, où voulez-vous trouver encore le temps de gérer cette menace invisible, impalpable, diffuse ?
Et puis, le temps n'est pas le seul obstacle. Il y a aussi une question de culture. Le dirigeant doit-il (aussi) se pencher sur des problèmes de "gamelles et bidons" ? Pendant ce temps, qui va gérer la stratégie de l'entreprise, le marché, la concurrence, le renouvellement des talents ?
Et admettons que la gravité du risque en fasse la priorité n°1 : Faut-il céder tout de go aux experts en sécurité qui agitent le chiffon rouge ? Faut-il s'en remettre à son DSI comme s'il était le Chaman de la tribu ? Quel est le bon niveau de décision ?
La réponse se trouve dans l'analyse des impacts d'une cyberattaque sur une organisation. Une étude de Deloitte identifie 14 impacts directs et indirects. Il y a ceux qui engendrent des coûts immédiats :
Sécuriser les données clients post-intrusion
Mettre en place une communication de crise en direction des clients victimes du vol/destruction de leurs données
Auditer les rapports de vulnérabilité des systèmes d'information
Vérifier la mise en conformité règlementaire
Mettre en place des Relations Publiques pour prévenir la perte de réputation et d'image
Améliorer les dispositifs de cybersécurité
Payer des frais d'avocats et de justice
Il y a les coûts indirects qui s'évaluent mal et qui vont se répercuter bien après l'incident :
Une perte de confiance du client
Une érosion du chiffre d'affaire à travers la perte de contrats client
L'augmentation du prix des assurances
L'augmentation des intérêts liés à la dette
Les impacts liés à l'interruption ou au ralentissement de l'activité
La perte de réputation et dépréciation de la valeur de la marque
De tels dommages indiquent suffisamment que le niveau décisionnaire est celui du dirigeant et de son conseil d'administration. Miser sur la seule réponse technique à une cyberattaque (comme par exemple installer des correctifs de sécurité, alerter les clients, traiter les problèmes d'interruption et de continuité d'activité) serait une grave sous-estimation du risque. D'ailleurs, cette réponse technique représente moins de 10% des coûts totaux.
L'essentiel des coûts se concentre dans les démarches juridiques, la gestion de la Relation Client, la mise en conformité règlementaire, la mise en place de nouvelles infrastructures... L'érosion de la réputation de la marque obligera à recréer une saine gestion des actifs, mettre (enfin) en place des processus de sécurité efficaces, investir dans des programmes de cybersécurité. Les dégâts immatériels comptent selon les estimations de Deloitte pour plus de 40% des dommages subis.
La prudence aujourd'hui n'est donc plus d'attendre des solutions miracles, mais d'agir avec cohérence, en pleine connaissance des conclusions d'analyses de risque et des faiblesses de l'entreprise qu'elles révèlent. Il ne s'agit plus seulement d'afficher un Plan de Continuité ou de Retour à l'Activité plus théorique que pratique, mais d'instaurer une politique de sécurité s'appuyant sur un arsenal de plans de tests, d'agenda de contrôles, de cahiers de procédures préventives. Et d'un PRA de secours efficace et testé régulièrement comme le feraient des pompiers pour être opérationnels le jour J.