A l’occasion de la sortie de sa nouvelle étude « Cyber-sécurité : gérer les scénarios de menace dans les entreprises manufacturières », Roland Berger, cabinet de conseil de Direction Générale, nous livre commentaires et conseils.
Les acteurs de secteurs très divers (automobile, biens de consommation, produits chimiques, industrie aérospatiale…) sont de plus en plus tributaires des procédés numériques et doivent stocker et partager des données importantes, aussi bien en interne qu’avec leurs fournisseurs. Même si cela rend les procédés de production plus rapides et plus efficaces, cela augmente le risque d’attaques en ligne des entreprises. La protection des données devient ainsi une affaire de plus en plus complexe, consommatrice de temps et coûteuse pour les entreprises.
« Le piratage est un énorme problème, qui concerne différentes parties de la chaîne de valeur, souvent attaquées en même temps », explique Nicolas Teisseyre, Senior Partner Télécoms, Médias & Technologies (TMT) au sein du cabinet Roland Berger Strategy Consultants. « Les départements de sécurité informatique traditionnels se concentrent presque exclusivement sur le business IT (les systèmes de communication ou les applications business), alors que les entreprises devraient plutôt s’intéresser aux problèmes de la cyber-sécurité dans une perspective intégrée. »
Chaque membre du personnel doit être sensibilisé aux risques
Les experts Roland Berger ont mis au point une nouvelle approche de la sécurité pour aider les entreprises à atténuer les risques engendrés par le piratage et prévenir des dommages financiers considérables.
La première clé de succès de cette approche consiste à identifier les actifs critiques pour les entreprises et les scénarios de menace. Le danger des attaques en ligne ne se limite pas au « business IT » traditionnel. Les logiciels intégrés dans les produits sont également menacés, tout comme les architectures IT de production et les moyens de connexion de ces produits avec l’exploitation et la maintenance, dans tous les domaines (mécanique, aviation ou ingénierie automobile, ou encore les infrastructures critiques). « Une évaluation intégrée de la situation pose les bases d’une stratégie pour une bonne protection, » conseille Jérôme Colin, Principal TMT chez Roland Berger Strategy Consultants. « Dans un monde de plus en plus interconnecté, la cyber-sécurité ne peut demeurer plus longtemps dans des silos de l’entreprise. »
De plus, pour se protéger contre la criminalité en ligne, les entreprises doivent continuellement améliorer et développer leurs structures existantes, leurs processus et leurs systèmes : les systèmes de sécurité doivent être adaptés aux menaces potentielles – sans perdre de vue le business modèle.
Les éléments traditionnels de gestion de la sécurité des systèmes d’information (ISMS) doivent être transférés à d’autres stades de la chaîne de valeur. Enfin, le thème de la sécurité doit faire partie de la culture d’entreprise. « La criminalité sur Internet est susceptible d’affecter tous les secteurs de l’entreprise, chaque membre du personnel doit être sensibilisé aux risques », recommande Anne Bioulac, Partner TMT chez Roland Berger Strategy Consultants. « Une formation adaptée peut aider les employés à repérer eux-mêmes les vulnérabilités de l’entreprise avant qu’il ne soit trop tard. »
Cinq étapes pour battre le cyber-crime
Dans un souci de prévention des attaques externes, les experts Roland Berger conseillent aux entreprises de se concentrer sur cinq chantiers clés.
- Établir le champ d’application et définir les priorités : Compte tenu de la multitude de points sensibles dans une entreprise, la direction doit tout d’abord identifier les actifs critiques et déterminer quels processus et domaines d’activité sont prioritaires. Ceci comprend avant tout, les données sensibles, les systèmes, les produits, les procédés, l’expertise mais aussi la propriété intellectuelle.
- Comprendre l’exposition potentielle à la menace : La deuxième étape consiste à déterminer les scénarios de menace potentiels pour les domaines critiques et à identifier quelles protections sont déjà en place.
- Quantifier l’impact potentiel : Les sociétés doivent examiner différents scénarios afin d’identifier leurs impacts objectivement quantifiables et leurs conséquences potentielles – telles que les atteintes à leur réputation. Les plans d’action devront être construits sur cette base.
- Évaluer les options : Il n’existe pas de protection à 100 % contre les cyber-attaques. La direction doit donc définir la prise de risque acceptable et sélectionner les concepts de sécurité applicable sur la base d’une analyse coûts/avantages.
- La cyber-sécurité sur toute la chaîne de valeur : La cyber-sécurité affecte l’entreprise dans son intégralité. La seule manière de protéger une société en permanence contre le crime en ligne est de planifier et concevoir des mesures de protection, en tenant compte de tous les processus et procédures et en couvrant toutes les divisions de la société.
Les employés doivent être impliqués dans la planification le plus tôt possible, et informés en permanence des attaques potentielles. Ainsi, les sociétés peuvent être en mesure de réagir rapidement et avec succès aux nouvelles menaces. « Seules les entreprises traitant la cyber-sécurité comme faisant partie intégrante de leur modèle de management, seront capables de se protéger efficacement contre les menaces numériques « explique Jérôme Colin.
Les attaques en ligne affectent également les parties prenantes
La protection contre les menaces virtuelles n’est pas seulement importante pour les entreprises concernées. C’est aussi une préoccupation pour ses interlocuteurs (clients, fournisseurs, partenaires,…) qui eux aussi, exigent plus de sécurité pour leurs données. La protection des données est aujourd’hui un facteur important dans la décision d’achat des consommateurs, les sociétés auditent de plus en plus fréquemment les systèmes de cyber-sécurité de leurs fournisseurs, et les compagnies d’assurance sont également très impliquées, avec des produits spécifiques et grâce à leur point de vue général des risques de l’industrie.
Des pertes de données ou des pannes système peuvent influer sur la cote de solvabilité de l’entreprise et compliquer l’obtention de financement, voire même mettre l’avenir de la société en péril. En outre, certains gouvernements ont l’intention de rendre obligatoire, pour les entreprises, de rendre compte des cyber-attaques qu’elles subissent. « Les entreprises doivent donc agir maintenant pour protéger leurs données et leurs produits des cyber-attaques – dans le but de maintenir leur position concurrentielle, en vue de protéger leurs clients, employés et propriétaires, mais surtout, la société dans son ensemble », explique Nicolas Teisseyre.
