Les dirigeants et administrateurs ont un rôle à jouer dans la lutte contre le crime informatique. « Quand c’est urgent, c’est trop tard » (Talleyrand).
Crise sanitaire, crise numérique et conseils d’administration
La crise sanitaire aura des conséquences significatives sur nos entreprises. Au-delà de la survie de l’entreprise à court terme, la direction d’entreprise et le conseil d’administration se pencheront sur les conséquences à moyen terme et long terme, et l’adaptation éventuelle de l’entreprise au monde d’après, qui sera certainement plus numérique.
Une crise numérique pourrait avoir des conséquences tout aussi graves que cette crise COVID-19, et il est nécessaire de s’y préparer. L’entreprise Lise Charmel, attaquée fin 2019, en redressement judiciaire depuis mars 2020. « Quand c’est urgent, c’est déjà trop tard » disait Talleyrand.
Le développement du numérique est nécessaire, mais fragilise nos entreprises, et le rythme des attaques informatiques n’a pas ralenti, bien au contraire, y compris contre les hôpitaux et les organisations de santé, notamment pour collecter des données qui ont de la valeur sur le marché du « big data ».
La mise en place de dispositifs de cyber sécurité fait partie des responsabilités des dirigeants et administrateurs. Ils permettront d’assurer la pérennité des organisations et de se positionner comme acteurs de confiance.
La prise de conscience par les conseils d’administration des impacts que pourrait avoir une crise numérique est insuffisante, faute de compétences à bord. Plus de 50 % des conseils d’administration n’utilisent pas d’outils dédiés à l’échange de documents. Plus de 60% des documents échangés par les conseils d’administrations et les directions ne sont jamais chiffrés ou sont occasionnellement chiffrés. 1% des conseils d’administration sont identifiés comme complétement formés et informés sur les thématiques de cyber sécurité.
Les mesures à prendre sont comparables dans les domaines sanitaires et numériques. En termes de :
- prévention : appliquer les règles d’hygiène (dans le domaine numérique : sécurité des postes de travail, des communications, et des réseaux…), partager des informations de qualité sur les menaces pour pouvoir réagir vite et efficacement.
- identification des vulnérabilités, des actifs critiques et vitaux
- détection des signaux faibles, pour pouvoir intervenir très vite
- protection : organisation, formation, règles et processus (mises à jour, configuration, sauvegardes), outils : firewall, antivirus, VPN, scan tools…
- réaction : se confiner dans le domaine sanitaire, débrancher les postes de travail infectés pour éviter la propagation des virus, dans le domaine numérique.
- restauration des systèmes et données, via des sauvegardes
La qualité des infrastructures nationales (réseaux de télécommunications, data centers, équipements et applications…) est essentielle pour la performance des organisations, elle sera un facteur de décision, concernant les développements à l’international.
Enfin, la qualité de l’écosystème (fournisseurs, banques, prestataires) est déterminante, d’un point de vue de la qualité de leurs produits ou services, mais aussi du point de vue de leur maturité en matière de cyber sécurité.
L’espace cyber n’a pas de frontières, la crise peut être systémique, et les virus peuvent se répandre rapidement. L’objectif de la cyber sécurité n’est pas d’arrêter l’épidémie, mais de se préparer à limiter les impacts.
Marie de Fréminville
Présidente de Starboard Advisory
Membre du Cercle Suisse des Administratrices