Dans la troisième édition de son étude « Enjeux Cyber », Deloitte résume les tendances clés qui marqueront l’année 2019. Fait pour le moins marquant, les entreprises françaises semblent vivre un vrai paradoxe, à la fois conscientes des risques, mais ne mettant pas en face les moyens suffisants pour les contrer.
Selon l’étude menée par Deloitte auprès de 854 entreprises, 76% se disent prêtes à parer à un éventuel incident de cybersécurité, mais elles sont, dans le même temps, 82 % à déclarer ne pas avoir documenté ou testé un plan de réponse à une cyberattaque avec les métiers lors des douze derniers mois. « Il y a une déconnexion entre la construction du dispositif de cybersécurité et la réalité, alors qu’embarquer les métiers est primordial, les menaces se complexifient de manière exponentielle », note Marc Van Caeneghem, managing partner Risk Advisory chez Deloitte France.
Certes, si la cybersécurité a été considérée pendant longtemps comme une question IT à traiter en marge des problématiques métiers, « elle doit désormais être pleinement ancrée dans la stratégie de l’entreprise, comme les récentes attaques l’ont montré », ajoute Marc Van Caeneghem. Pour Michael Bittan, associé Cyber Risk Services chez Deloitte France, « les entreprises n’ont pas le choix et sont obligées de se poser des questions à l’aune d’attaques régulières, d’autant que dans certains secteurs, la banque par exemple, les organismes régulateurs font pression pour que la cybersécurité soit traitée au plus haut niveau. »
Se pose évidemment la question des compétences : dans l’enquête Deloitte, 75 % des entreprises estiment ne pas être suffisamment équipées, tant au niveau des ressources que de leurs compétences, pour faire face aux menaces. « C’est d’autant plus difficile que la cybersécurité doit être embarquée dans les métiers, avec des profils très diversifiés mêlant compétences techniques et métiers, ce qui rend plus difficile le travail de formation et de promotion des talents », estime Michael Bittan.
Un RSSI sur quatre est au Comex
Malgré tout, le rattachement direct de la sécurité au sein du Comité exécutif des entreprises reste encore limité. 25 % seulement des organisations sondées par Deloitte déclarent l’avoir formalisé. « Aujourd’hui, il est désormais nécessaire que les conseils d’administration et les comités exécutifs exigent clarification et compréhension dans le domaine technique longtemps délaissé qu’est la cybersécurité », assure Michael Bittan, qui constate encore, dans beaucoup d’entreprises, « des feuilles Excel bourrées de chiffres, qu’il est inutile de remonter aux Comex. »
Pour le consultant, trois actions sont nécessaires :
- La définition d’une vision stratégique, portée par le management.
- La déclinaison opérationnelle de la stratégie cyber en différents piliers et axes pour répondre aux enjeux de proximité avec les métiers.
- Le lancement de programmes/projets cyber pour adresser les objectifs présentés dans la vision stratégique.
« Lorsque les RSSI siègent au Comex, il s’agit de Comex élargis », précise Marc Van Caeneghem, qui voit une tendance positive : « Les générations de jeunes RSSI vont apporter de la fraîcheur, car ils ne sont pas perçus uniquement comme des technophiles, cette nouvelle vague a la capacité d’intégrer les Comex. »
Les RSSI au Comex, une bonne idée ?
On peut déplorer, comme le montre l’enquête Deloitte, que les RSSI ne soient pas plus actifs au sein des Comex. Ce n’est pas forcément une bonne idée. Non pas que les Comex ne doivent pas se saisir du sujet cybersécurité. C’est, au contraire, une ardente obligation. Mais plusieurs raisons nuancent l’arrivée des RSSI au Comex, de façon quasi permanente. D’abord, c’est donner trop d’importance à la fonction au détriment des missions. La cybersécurité s’incarne de moins en moins dans une fonction, une personne, une direction ou un département. Le DSI qui, lui non plus, n’est pas une fonction massivement représentée dans les Comex, a davantage de légitimité à porter la thématique sécurité. Ensuite, dans la mesure où la cybersécurité est traitée au Comex sous l’angle stratégique et métier, les aspects opérationnels sont sous-jacents et risquent, par la voix du RSSI, de polluer le propos. Bien souvent, en matière de cybersécurité, les fondamentaux ne sont pas assurés : il est difficile de propulser un RSSI au Comex alors que l’entreprise ne dispose pas d’un plan de continuité d’activités digne de ce nom, que les salariés ignorent même les plus basiques des bonnes pratiques et que les applications et les infrastructures restent de vraies passoires. Si un RSSI entend porter sa voix au Comex, autant qu’il y soit serein et qu’il ait assuré ses arrières. Enfin, c’est une question de génération : la plupart des RSSI ont encore une formation technique. L’arrivée de nouvelles générations va probablement transformer la posture du RSSI, dans un contexte où les risques numériques prennent une tout autre dimension par rapport aux risques « informatiques ».
Les chiffres-clés de l’étude Deloitte
- 2 entreprises sur 3 affirment communiquer tous les trimestres au comité exécutif leurs indicateurs de sécurité.
- 1/3 des entreprises interrogées juge la stratégie cyber de leur organisation adéquate aux besoins/exigences métiers.
- 13 % des organisations interrogées déclarent avoir intégré les business unit managers au cœur de l’organe de gouvernance de la sécurité.
- 75 % des entreprises estiment ne pas disposer des compétences et des ressources nécessaires pour assurer la sécurité.
- 32 % des entreprises considèrent que les mesures de sécurité mises en place au sein de leur organisation ne sont pas adaptées à leur stratégie de développement et de commercialisation de produits connectés.
Les quatre principales menaces du cloud
- Une surface d’attaque élargie.
- Une perte de contrôle sur l’ensemble des systèmes se connectant au réseau de l’entreprise.
- Des contrôles non adaptés : les contrôles traditionnels liés aux cyber risques doivent maintenant englober le cloud, alors que les entreprises ont déjà beaucoup de mal à composer avec les menaces existantes. C’est tout un défi si l’on considère que les anciennes architectures n’ont pas la capacité inhérente pour protéger les outils existants.
- Un manque de transparence : face à l’augmentation du volume de trafic qui circule, il devient impossible d’assurer la visibilité complète des flux de données au sein du réseau.
Source : Deloitte.
L’IA pour tout le monde ?
«From expert-only to everywhere », résument les consultants de Deloitte dans leur analyse des tendances 2019 (*). Le cabinet de conseil prévoit qu’en 2019, les entreprises accéléreront davantage leur utilisation des logiciels et des services d’intelligence artificielle (IA) basés sur le cloud. Parmi les entreprises utilisant l’IA, 70 % obtiendront des fonctionnalités d’IA via des logiciels d’entreprise basés sur le cloud, 65 % créeront des applications d’IA à l’aide de services de développement basés sur le cloud et, d’ici 2020, le taux de pénétration des logiciels d’entreprise avec intégration d’IA, et le développement des services d’IA sur le cloud, atteindront respectivement environ 87 % et 83 %.
« Jusqu’à présent, les géants de la technologie ont bénéficié en premier de l’intelligence artificielle », souligne Ariane Bucaille, associée responsable TMT chez Deloitte France. « Nous prévoyons que la mise en œuvre de solutions intégrant de l’intelligence artificielle s’étendra rapidement à toutes les entreprises, en particulier sur des plateformes basées sur le cloud. » Ainsi, la proportion d’entreprises qui considèrent que l’intelligence artificielle est d’une importance critique pour leur succès passera de 9 % aujourd’hui à 38 % en 2022. Dans le même temps, la proportion des entreprises qui ne s’y intéressent pas ou peu tombera de 37 % à 19 %. Pour Duncan Stewart, directeur du centre de recherches technologies, médias et télécommunications chez Deloitte, « ceux qui, aujourd’hui, ignorent l’intelligence artificielle et le Machine Learning sont comme ceux qui, au XIXème siècle ignoraient l’électricité ou ceux qui, au XXème siècle, ignoraient Internet. »
(*) Technology, media and telecommunications predictions 2019, Deloitte Insights, 109 pages.