L'analyse de Michel van den Berghe

L'analyse de Michel Van Den Berghe, Orange Cyberdefense

Faire de la cybersécurité un levier de croissance pour les entreprises

Option Finance - 26 juillet 2019 - Michel Van Den Berghe

La sécurité numérique a longtemps été une matière réservée aux seuls experts des systèmes d’information. Or l’intensification croissante de la numérisation des activités économiques, tant dans les phases de conception, de production que de commercialisation, oblige à élargir la communauté des parties prenantes concernée par la protection de ces actifs numériques. En effet, la multiplication des solutions technologiques utilisables directement par les directions métiers, sans connaissance technique préalable, avec des budgets limités ouvre la voie à de possibles contournements des équipes en charge de l’informatique interne. 

Il est donc indispensable de diffuser la culture de cybersécurité, qui mêle un usage des bonnes pratiques à un sens des responsabilités qui est de plus en plus exigé par la communauté financière. En effet, les campagnes d’attaques pouvant conduire à la paralysie d’équipements ou au vol d’informations stratégiques, la durabilité même de l’organisation peut être discutée. Ces possibles déstabilisations d’origine numérique font partie des événements qui peuvent altérer la valorisation et la confiance dans les projets économiques les plus prometteurs. 

C’est la raison pour laquelle les investisseurs et les analystes financiers cherchent à collecter le maximum de renseignements sur les modalités de prise en compte de la cybermenace. En mai 2019, l’agence Moody’s a ainsi dégradé la note attribuée à la société Equifax en raison de la qualité insuffisante de sa cybersécurité. Et lors de la publication de ses résultats semestriels en juillet 2017, Saint-Gobain a dû fournir des éléments chiffrés quant à l’impact de la cyberattaque qui l’avait paralysé durant douze jours au début de l’été, soit - 220 millions d’euros sur les ventes et - 65 millions d’euros sur le résultat d’exploitation pour les six premiers mois de l’année. Ces valorisations exigent un véritable travail partenarial entre les équipes IT et celles de la finance.

Dès 2016, la France a pris l’initiative dans le cadre de sa loi de programmation militaire (LPM) de désigner près de 300 entreprises qualifiées d’opérateurs d’importance vitale (OIV). Issues de douze secteurs d’activités (télécoms, santé, finances, traitement de l’eau, énergie…), ces sociétés doivent justifier d’un niveau de cybersécurité particulièrement exigeant. C’est le rôle des quelques prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) au regard de leur expertise, d’intervenir auprès de ces acteurs économiques particulièrement exposés. Cette valorisation des entreprises stratégiques se retrouve dans la directive NIS adoptée par l’Union européenne qui désigne à son tour des opérateurs de services essentiels (OSE). Là encore il s’agit d’assurer la continuité de service pour ne pas amplifier une situation de crise causée par une cyberattaque affectant ces services qui structurent nos sociétés modernes. 

Ces dispositifs juridiques ont désormais des équivalents dans les grands pays du monde. Le règlement général sur la protection des données (RGPD) impose aux détenteurs de données personnelles de signaler tout vol ou perte de celles-ci, les autorités nationales de protection desdites données ayant la possibilité de fixer des sanctions financières pouvant aller jusqu’à 4 % du chiffre d’affaires mondialisé de la compagnie incriminée. Des chiffres qui ont de quoi intéresser le moins technophile des directeurs financiers ou des contrôleurs de gestion.

La prise de conscience en matière de risque numérique doit être l’occasion d’une analyse de la valeur des actifs détenus par l’entreprise. Dans un monde où les concurrences peuvent revêtir des formes et des origines souvent inattendues, cette connaissance fine des ressources détenues par la société est un précieux outil pour bâtir des ripostes économiques créatives. L’analyse de ces données, afin de leur apporter le juste niveau de protection, participe à cette valorisation du patrimoine informationnel de l’entreprise dans un contexte où l’exploitation de la donnée constitue un important levier de croissance.