Bernard Duverneuil*,
Président du Cigref
Depuis de nombreuses années, le Cigref place la réussite de la transformation numérique de notre économie, et plus spécifiquement des grandes entreprises et administrations publiques, au cœur de ses enjeux stratégiques. En 2015, il définissait en ce sens neuf enjeux et défis pour l’entreprise, deux d’entre eux ayant directement trait à la cybersécurité. Le premier concerne la création de confiance et la valorisation des données, les données étant un joyau à valoriser, partager et protéger. Elles doivent être protégées, car au-delà des aspects éthiques et légaux (protection de la vie privée), c’est le contrat de confiance avec les clients et les prospects qui est en jeu. Le deuxième de ces enjeux de cybersécurité concerne la maîtrise des nouveaux risques numériques, la cyber résilience devant désormais être gérée au plus haut niveau de l’entreprise pour assurer le bon niveau d’investissement et de sensibilisation de l’ensemble des acteurs.
Un constat s’impose : malgré les avertissements lancés depuis plusieurs années sur le risque cyber, les dirigeants demeurent plus ou moins bien sensibilisés à ce risque. La cybersécurité apparaît parfois encore comme une affaire de spécialistes et reste déléguée à la filière SSI, là où une prise en compte réelle par l’ensemble des décideurs (mandataires sociaux, directions exécutives, direction des systèmes d’information …) apparaît comme indispensable, au vu de l’intensification de la menace.
En janvier 2018, le Cigref a proposé sept « résolutions numériques » pour faire de 2018 l’an 1 de la reconquête de l’autonomie stratégique de la France et de l’Europe, dans toutes les dimensions du numérique. La quatrième de ces résolutions appelle à « positionner la cybersécurité comme condition indispensable de la confiance dans l’économie numérique et comme domaine stratégique pour la compétitivité des entreprises et la performance des administrations ». Cette ambition affirmée par le Cigref de placer la cybersécurité au cœur de ses préoccupations correspond à une attente croissante de ses membres, les grandes entreprises et administrations publiques françaises. La croissance du nombre des attaques et de leur sophistication fait désormais peser un risque vital sur toutes les organisations dont les activités se sont massivement numérisées.
Depuis plusieurs années, le Cercle Cybersécurité du Cigref, sous la présidence de Jean-Claude Laroche, DSI d’Enedis et administrateur du Cigref, explore cette thématique au profit des décideurs numériques. La vocation de ce Cercle est de leur fournir une information qualifiée et adaptée à leurs besoins, sur les principaux enjeux liés à la cybersécurité. Elle leur permet d’enrichir leur dialogue stratégique sur le risque cyber avec les dirigeants de leur entreprise, leur conseil d’administration, leur comité exécutif. C’est ainsi qu’en octobre 2016, le Cigref a publié un rapport intitulé : « Le cyber risque dans la gouvernance de l’entreprise. Pourquoi et comment en parler en Comex ? ». Ce rapport, disponible librement sur le site du Cigref est le résultat d’une étude pilotée par Jean-Jacques Tourre, du Groupe Total, lequel précisait que « si la sécurité numérique occupe régulièrement le devant de la scène médiatique, son traitement reste encore trop souvent un sujet d’experts, alors que les enjeux peuvent concerner les processus vitaux des entreprises. »
En conséquence, un des rôles du DSI consiste dans la plupart des entreprises membres du Cigref à expliquer les risques cyber au Comex et au conseil d’administration, mais également de les qualifier et de les quantifier. C’est pourquoi le Cigref diffusera à l’automne 2018 un nouveau rapport, complémentaire du précédent, rédigé sous le pilotage de Jean-Claude Laroche, et intitulé : « Cybersécurité : visualiser, comprendre, décider ». Ce rapport propose un ensemble d’outils et d’indicateurs qui permettront au DSI de communiquer avec les dirigeants de son organisation sur les éléments d’appréciation de l’état de la menace cyber et de leur exposition. Ainsi que des investissements qu’il leur appartient de décider pour sécuriser leur activité de la manière la plus juste.
Les membres du Cigref partagent une même conviction : la question n’est plus de savoir si son entreprise sera attaquée, mais quand elle le sera. Les organisations globales sont plus que jamais confrontées à l’ardente obligation de se préparer à une cyberattaque et à ses conséquences éventuelles. Cette démarche ne peut plus être confinée à un domaine d’expertise ; c’est désormais un projet d’entreprise qui implique les dirigeants et toutes les parties prenantes de la gestion des risques.
Le Cigref est un réseau de grandes entreprises et administrations publiques françaises qui a pour mission de développer la capacité de ses membres à intégrer et maîtriser le numérique. Par la qualité de sa réflexion et la représentativité de ses membres, il est un acteur fédérateur de la société numérique. Association loi 1901 créée en 1970, le Cigref n’exerce aucune activité lucrative. En 2018, il regroupe près de 150 membres publics et privés de tous secteurs d’activité.
*Bernard Duverneuil est Président du Cigref depuis octobre 2016. Il est le directeur du digital et des systèmes d’information d’Elior Group depuis 2018, et à ce titre membre du comité exécutif. Diplômé de l’École polytechnique et de Télécom ParisTech, Bernard Duverneuil a développé une expertise de 25 années dans les systèmes d’information, la transformation numérique et l’innovation.
