Pourquoi ne croyons-nous pas au danger tant qu’il ne gratte pas à notre porte ?

Pourquoi, malgré l’exposition des faits, la médiatisation de cas bien réels, les conseils des experts, les études, les mises en garde des états, pourquoi le risque cyber est-il encore si souvent sous-évalué ?

Force est de constater que savoir n’est pas agir.

Pourtant, dirigeants, DSI, RSSI, DPO, Risk Manager… tous s’accordent à dire que le risque cyber dépasse la sécurité des systèmes d'information.

Si les actifs matériels sont plutôt bien sécurisés, les actifs immatériels restent quant à eux trop peu anticipés, et plus encore les actifs immatériels non comptabilisés. Propriété intellectuelle, industrielle, autorisations… ne représentent en effet que la partie visible de ces actifs intangibles. Réputation, confiance, engagement de l’écosystème, ont tout autant besoin d’être protégés face au risque cyber.

Alors pourquoi ces risques sont-ils donc si peu considérés ? Parce que le cerveau humain a cette fascinante faculté à écarter ce qui est anxiogène. Disons-le franchement, les prophéties catastrophistes n’ont jamais été moteur de l'action.

Et il est vrai que les conséquences d’une attaque sur les actifs immatériels sont particulièrement angoissantes. Elle impacte non seulement l’image de l’entreprise, et donc directement son business, mais par effet collatéral également la confiance de tout son écosystème : partenaires, investisseurs, et donc sa capacité à se développer ou à résister dans un environnement en perpétuel mouvement. En plus du préjudice matériel, plutôt bien anticipé par le responsable des risques et le dirigeant, le préjudice moral est quant à lui largement sous-évalué. Or, l’impact sur l’image, l’impact humain ou organisationnel sont clairement avérés : licenciements, départs volontaires de hauts potentiels, condamnations…

Que le risque vienne de l’intérieur ou de l’extérieur, la vraie menace est qu’il apparaisse sur la place publique ou aux oreilles des partenaires économiques.

C’est pourquoi la sécurité est de la responsabilité de tous les salariés, du collaborateur au dirigeant. Etre protégé c’est aussi savoir se prémunir de l’intrusion téléphonique d’un reporter (habile) auprès de la secrétaire ou de l’accueil. Cartographier les risques cybers doit s’accompagner d’une cartographie des risques réputationnels, d’un travail pointu sur la définition des éléments de langage pour trouver les mots justes et d’exercices de simulation complémentaires aux tests d’attaques, incluant notamment l’exercice difficile de la prise de parole médiatique ou de la prise de parole tout court. Le risque est protéiforme, il évolue vite et il peut coûter très cher... si l’entreprise n’est pas préparée.

Alors peut-être en effet, devrions-nous changer de prisme. Et au lieu de voir le mal partout, aborder le problème de manière positive. Cesser ainsi de parler de risque mais plutôt de formidable opportunité. Car en sommes, dans un environnement incertain, démontrer sa capacité à sécuriser l’ensemble de son écosystème représente un argument certain, lui, pour garantir la pérennité d’une entreprise aux yeux des investisseurs, et plus encore en phase d'IPO, de levée de fonds ou de fusion-acquisition. La gestion du risque cyber devient alors un argument particulièrement rassurant, et inévitablement un actif majeur de la valorisation des entreprises.

#cybersécurité #crise #valorisation #influence