Accueil Expert Pourquoi les entreprises doivent prendre conscience que la sécurité est le talon...

Pourquoi les entreprises doivent prendre conscience que la sécurité est le talon d'Achille de leur transformation numérique

A l’occasion des Assises de la Sécurité, Eric Soares, vice-président de Symantec France, livre une tribune sur le rôle de la sécurité dans la transformation numérique des entreprises et l’impact des failles de sécurité sur la réputation des entreprises et marques.

 

Aujourd'hui, la quasi-totalité des entreprises ont démarré leur transformation numérique. Pourtant, rares sont les dirigeants qui en sont pleinement conscients. Résultat : ils méconnaissent les véritables cyber-risques auxquels leur organisation est exposée.

Plus les cyber-attaques sont sophistiquées et plus les violations de données se multiplient, plus le coût pour les entreprises augmente. En réalité, le coût moyen d'une violation de données pour une entreprise a atteint les 3,5 millions de dollars cette année, soit une hausse de 15 % par rapport à 2013. Ajoutez à cela l'impact des médias sociaux, et le moindre incident peut avoir des effets dévastateurs sur la réputation de l'entreprise et ses résultats. Prenons l'exemple de Sony. En 2011, la cyber-attaque contre la PlayStation, compromettant 77 millions de comptes, a coûté 171 millions de dollars  à la société en investissements de sécurité pour prévenir de futurs incidents, en campagnes marketing pour reconquérir les clients, et en relations publiques et investisseurs pour recréer la confiance dans la marque. De même, l'attaque subie par Adobe en 2013 et qui a touché 38 millions de clients aurait coûté 17 480 000 dollars à l'éditeur, rien qu'en courriers de notification.

De nos jours, pour bien analyser le risque qu’encourt une entreprise, il faut savoir précisément comment les choses ont évolué. Le numérique est omniprésent. Pourtant, si la plupart des dirigeants commencent à l'admettre, beaucoup ne mesurent pas tout ce que cela implique pour leur entreprise.

À l'ère du numérique, il faut considérer la protection de l'information comme un gage de confiance et de bonne réputation, et non plus comme une tâche assurée par les informaticiens. Qu'elle soit causée par un incident physique ou virtuel, toute violation de données ou panne des systèmes coûte de l'argent à l'entreprise. Et ce coût n'est pas seulement celui du nombre d'heures (ou de jours) pendant lesquels vous, votre client ou les tierces parties ne pourrez pas accéder aux systèmes. Il s'agit également d’un manque à gagner, si le site Web de l’entreprise est inaccessible, si les clients vont voir ailleurs, si les partenaires ne veulent plus être associés à une société peu fiable, et si les futurs investisseurs ne croient plus à la réussite de votre entreprise.

Face aux 552 millions d'identités exposées dans le monde et à la hausse de 62 % des violations de données en 2013, la question n'est plus de savoir si une panne ou une cyber-attaque risque de se produire, mais quand elle risque de se produire. Il est donc indispensable que les dirigeants connaissent bien les processus numériques de leur entreprise et sachent comment les sécuriser de bout en bout. Ils pourront ainsi continuer à prendre des risques calculés pour développer leur activité.

C'est la prise de risques calculés qui crée de la valeur pour les actionnaires. Sans une part de risque, il n'y aurait jamais de produits, services ou processus métier nouveaux, et l'économie stagnerait. L'enjeu pour les dirigeants est néanmoins d'évaluer les avantages et la véritable portée de ce risque, mais aussi de savoir comment donner à l'entreprise les moyens de le gérer efficacement.

La banque en ligne en est un bon exemple. Le stockage des données financières des clients dans le cloud présente de nombreux risques. Pour avoir la garantie qu'aucune panne système ou incident de sécurité n'entache leur réputation, les banques pourraient très bien supprimer ce service. Néanmoins, l'avantage de ce service pour la banque et ses clients est trop important pour être occulté. Au lieu de revenir en arrière, les dirigeants doivent innover de manière plus fiable par le biais des systèmes informatiques utilisés. Ils doivent limiter leur risque de réputation, et ne pas se contenter de recruter une bonne équipe de support.

Pour œuvrer dans l'univers numérique, il faut également comprendre l'évolution de la relation avec le client. Plus l'activité est « virtuelle », plus l'entreprise doit demander d'informations à ses clients pour pouvoir adapter ses produits et services. La sécurité devient alors l'une des clés de la réussite. Les consommateurs confient de précieuses informations à l'entreprise en échange d'un service. Par conséquent, lorsque ces informations sont compromises, perdues ou volées, le consommateur accuse inévitablement l'entreprise, souvent sur les réseaux sociaux, quel que soit finalement le véritable coupable.

C'est là que la relation entre l'entreprise et le client se complique. Après l'incident, même si le client ne sait pas vraiment ce qui s'est passé, il a sans doute une moins bonne image de l'entreprise. Pour la marque qui essaie de reconstruire cette relation et de préserver sa réputation, il peut être extrêmement difficile d'expliquer l'origine de l'incident lorsqu'il faut explorer une chaîne logistique mondiale et complexe impliquant souvent plusieurs structures.

Une telle atteinte à la réputation peut donc avoir des effets dévastateurs. En France, 79 % des personnes qui préparent leurs achats partagent leur avis en ligne, soit pour venir en aide à d’autres internautes, soit pour exprimer leur ressenti auprès de l’entreprise, soit enfin pour répondre à une sollicitation d’un site Internet. Un chiffre qui prend toute son importance lorsque l’on sait que 93 % des internautes renoncent à un rachat après avoir lu un avis négatif. Autrement dit, en cas de compromission des données clients, non seulement la nouvelle peut se diffuser dans le monde entier mais l'entreprise risque en plus d'être privée d'informations indispensables au sein de ses bases de données. Résultat : une pénurie de données clients qui va réduire sa capacité d'innovation par rapport à la concurrence.

Le processus de compréhension du véritable risque de réputation des systèmes de sécurité et numériques commence en interne. Le numérique n'est pas qu'une lubie d'informaticien, c'est une manière de travailler. Pour bâtir le niveau de confiance et la réputation qui seront les garants d'une innovation continue et d'une croissance soutenue, il est plus que jamais essentiel d'inscrire le débat sur le risque numérique à l'ordre du jour des conseils d'administration.

Pour limiter la vulnérabilité de l'entreprise et les zones d'ombre dans la gestion du risque d'entreprise, une analyse pointue de l'impact d'une cyber-attaque ou d'une débâcle numérique s'avère indispensable. Si les entreprises veulent enregistrer une croissance durable, les conseils d'administration doivent regarder la réalité en face et comprendre le rôle clé de la gestion de la sécurité et de l'information dans le fonctionnement d'une entreprise à l'ère du numérique.

 

Références des sources chiffrées

Rapport « Cost of a Data Breach » 2014 du Ponemon Institute

Prévisions consolidées de Sony pour l'exercice clos le 31 mars 2011

Rapport « Cost of a Data Breach » 2014 du Ponemon Institute

Rapport Symantec sur les menaces de sécurité Internet 2014