Les entreprises françaises subiraient deux ou trois cyberattaques effectives par mois, selon le cabinet de conseil Accenture. Stéphane Geyres, Managing Director chez Accenture Security est intervenu le 16 mars dernier, lors d’une conférence organisée par Didaxis – Hiworkers sur le thème « Arcana of cyberdefense, what you need to know ». L’occasion pour cet expert de nous livrer en exclusivité quelques pistes sur les enjeux de la cybersécurité.
1. Phishing, logiciels rançonneurs, fraude au président : quelles sont les cybermenaces auxquelles sont exposées les entreprises ? Existe-t-il en 2017 de nouveaux risques à prendre en considération ?
Permettez-moi de préciser plusieurs points car il me semble que lorsque l’on parle de cybermenace, il existe quelques confusions. Il convient de dépasser le « buzz » qui existe autour des termes tels que le phishing ou la « fraude au président » que vous citez et qui font régulièrement la Une.
En effet, les moyens d’attaque ne doivent pas être confondus avec les dommages qui prennent sens pour les entreprises. Logiquement, ces dernières se préoccupent de leur rentabilité, de la conquête de nouveaux marchés, de leur productivité, mais beaucoup moins de notre sujet, tant qu’il ne vient pas comme obstacle manifeste à l’atteinte de leurs objectifs.
Aussi, les cybermenaces et les cyberattaques sont encore souvent perçues comme ne venant ralentir leur activité ou ne la gêner que de « manière anecdotique », j’ose le mot. Tout est dans la perception, mais les faits sont tels que c’est souvent la réalité, même si cela s’aggrave hélas chaque jour.
Car l’ampleur des dégâts subis, phénomène assez nouveau, conduit à une prise de conscience de la dimension professionnelle des malveillants qui utilisent des moyens toujours plus perfectionnés pour leurs fins. Ce qui explique en partie le bruit que font les nouvelles formes d’attaque que vous évoquez.
Par ailleurs, les petites entreprises sont bien plus vulnérables que les grosses sociétés, avec une conscience et des moyens bien en retrait. Ce qui en fait souvent le point faible des grandes entreprises.
2. Pourtant seulement 7% des organisations considèrent la « Cyber » comme un sujet de premier ordre selon l’étude Deloitte "les enjeux Cyber 2016". Comment expliquez-vous que les décideurs n’y voient pas un enjeu stratégique et prioritaire alors que les menaces sont croissantes ?
On peut aussi voir ce résultat de manière positive et se dire que déjà 7% des organisations considèrent la cybersécurité comme un sujet important. Et que les 93% qui restent illustrent que le sujet « cyber » n’est pas si simple que cela à traiter et comporte de nombreuses nuances parfois délicates à saisir.
A mon sens, un peu comme évoqué précédemment, si tant de dirigeants n’appréhendent pas le sujet, c’est qu’ils n’y ont pas (encore) été confrontés, et tant mieux. Ils ne matérialisent pas l’impact sur leur quotidien. C’est plutôt logique, il n’y a pas de raison de s’inquiéter tant que l’on n’est pas concerné.
Néanmoins, le sujet est de plus en plus au cœur des préoccupations des décideurs, le 7% le montre. Les enjeux s’accroissent jusqu’à devenir un sujet incontournable à l’agenda des dirigeants d’entreprise. Et cette tendance va s’accélérer avec l’essor de l’économienumérique et de la part du numérique dans l’entreprise. La cybersécurité est inhérente à l’évolution numérique, qui ne sera que par la sécurité.
Mais si tout se passe bien, pas de raison de voir le sujet monter à la Direction Générale. La vraie question me semble-t-il serait donc de savoir si le 7% veut dire que tout est bien géré (dans 93% des cas) ou s’il cache un tsunami à venir de problèmes trop graves pour ne pas monter à ce niveau.
3. Comment faire de la cybersécurité un levier de performance et de compétitivité pour les entreprises ?
Une des caractéristiques de la sécurité est que l’on ne peut en mesurer la performance. On ne peut qu’attester de l’absence de sécurité, au moment où survient un problème. Ainsi, traditionnellement la sécurité n’est pas vue comme un levier de performancecomme tel. Par contre, sans sécurité, on ne va pas loin dans le numérique et cela conduit à s’attacher à réduire les risques, ce qui est plus positif.
Et dans cette logique, à mon sens, les acteurs – au sens entreprises – les plus performants sont qui ceux qui incluent la sécurité dans leur projet global, qui font en sorte que la sécurité fasse partie de leur projet et qui donc embarquent la cybersécurité dans leurs facteurs de croissance.
Pour les autres acteurs qui pour tout un tas de raisons n’ont pas adopté cette démarche ou qui ne voient pas son utilité, il sera bientôt trop tard.
4. Le marché de la cybersécurité est en plein boom : quelles sont selon vous les opportunités à saisir pour les consultants et experts du secteur ?
C’est une question à laquelle il est difficile de répondre dans la mesure où le marché est très diversifié et donc les opportunités professionnelles le sont aussi. De plus, comme il fait partie intégrante de l’économie numérique, il existe d’autant plus de niches qu’il y a de segments sur le secteur.
Néanmoins, j’ai la conviction que s’il existe des opportunités, il faut les saisir en prenant en compte la réalité globale de la cybersécurité. De plus en plus, travailler sur des niches peut être une porte d’entrée, mais je vois de plus en plus l’intégration de la cybersécurité venir de l’amont, vers l’aval de la chaîne de valeur de l’entreprise. Donc de même pour la profession. Aujourd’hui, je pense que le défi est encore d’intégrer la cybersécurité au sein de tous les processus de l’entreprise. Encore une fois, cette tendance s’inscrit dans la numérisation de la société. Mais déjà, on voit les postes évoluer.
Le portage salarial vous intéresse ? Vous pouvez participer à une de nos réunions d’information ou nous contacter directement
.
