Un système immunitaire est un dispositif complexe permettant à un organisme de se protéger des agressions extérieures. D’une certaine manière, une entreprise est elle aussi un organisme. Profondément transformée par la digitalisation, ouverte sur l’extérieur, elle est en permanence soumise à des échanges. À l’instar des virus, les cybercriminels s’y introduisent sur un mode parasitaire, et y perpètrent leurs nombreux méfaits à l’aide d’outils de plus en plus sophistiqués.

De ce point de vue, l’ensemble des dispositifs de cybersécurité forment désormais le système immunitaire des entreprises : il en va aujourd’hui de leur santé, et même aussi de leur survie.

Qu’est-ce qu’un système immunitaire ? Un dispositif complexe permettant à un organisme de se protéger des agressions extérieures. Virus, bactéries, parasites, champignons et tous leurs semblables cherchent à pénétrer l’organisme, s’installent en son sein, et y prospèrent, provoquant la plupart du temps son affaiblissement. Soit parce qu’ils se nourrissent des forces de leur hôte, dans le cas du parasite, soit en se servant de l’hôte comme terrain pour se multiplier, dans le cas des virus, des bactéries et des champignons. Parfois, l’hôte ne se remet pas de cette agression, et se trouve anéanti.

Par définition, tout organisme est ouvert sur l’extérieur, afin d’y trouver les conditions de sa survie : se nourrir, respirer, etc. Tout organisme présente, pour cette raison, de nombreuses portes d’entrée. Il est ainsi en permanence confronté à des risques multiples, que le système immunitaire est précisément là pour juguler.

D’une certaine manière, une entreprise est elle aussi un organisme. Ouverte sur l’extérieur, elle est en permanence soumise à des échanges. Échanger est même sa raison d’être. Matières premières, matériaux, équipements, partenaires, fournisseurs et clients sont autant de zones d’interfaçage où elle est ouverte à la présence d’un « extérieur » aux multiples formes. La digitalisation de tous les process, renforcée par la transformation numérique des entreprises (et des organisations au sens large) puis par la pandémie de Covid-19 et ses différents temps de confinement, a mis en place des modes de relation numériques entre tous ces acteurs. Si elle est porteuse d’immenses progrès, cette révolution a aussi ouvert de nombreuses portes supplémentaires dont les cybercriminels, à l’instar des virus, n’ont pas tardé à profiter pour s’introduire, et perpétrer, sur un mode parasitaire, leurs nombreux méfaits à l’aide d’outils toujours plus sophistiqués. Les risques externes sont donc multiples. Cet appétit des cybercriminels pour les failles de Systèmes d’Information de plus en plus complexes et interconnectés a rendu nécessaire la conception de dispositifs de cybersécurité robustes. Tels un remède ou un système d’anticorps, ils sont capables de réduire ou d’annuler les risques liés aux attaques, et de maintenir, derrière celle de son Système d’Information, devenu avec la digitalisation son centre névralgique, l’intégrité de l’entreprise tout entière.

Avoir une bonne hygiène de vie, faire régulièrement des examens, se prémunir, se protéger, remédier le cas échéant, ce qui vaut pour l’équilibre du corps vaut aujourd’hui pour l’entreprise ou pour n’importe quelle organisation.

De manière significative, le terme virus est commun au lexique de la biologie et à celui de la compromission des Systèmes d’Information. De ce point de vue, l’ensemble des dispositifs de cybersécurité forment désormais le système immunitaire des entreprises : il en va aujourd’hui de leur santé, et même, sans aucune exagération, aussi de leur survie.

Une dimension stratégique de l’entreprise

Ainsi, la question cyber est entrée au cœur de l’entreprise. Dans la définition d’une nouvelle frontière, elle en est même devenue un élément stratégique de premier ordre, loin de se résumer à la seule dimension technologique à laquelle elle est souvent réduite.

De la même façon qu’il serait peu judicieux de concevoir le système immunitaire de l’organisme comme une dimension extérieure, en quelque sorte surajoutée pour lui permettre de fonctionner (alors qu’il est une part essentielle et fondatrice de l’intégrité du corps), il ne serait pas pertinent de continuer à penser la cybersécurité comme un accessoire, certes nécessaire. La place qu’elle a prise ces dernières années est au contraire en train de l’imposer comme un élément structurant. Elle n’est plus une option car elle est désormais incorporée à la vie la plus intime des acteurs économiques. Si elle peut s’assimiler à une assurance (et la dimension assurantielle est en train de devenir un élément critique de ce sujet), c’est une assurance intégrée. Là où l’assurance d’une automobile ne fait pas partie de l’automobile, la cybersécurité, elle, fait partie de l’entreprise. Le Boston Consulting Group affirme ainsi que la cybersécurité « n’est pas un projet technologique. C’est un projet d’entreprise avec une forte composante technologique ».

Comme pour tout organisme vivant, l’adaptation à la menace est la règle d’or. Or, ici aussi, la menace ne cesse d’évoluer, de muter, de jouer avec les défenses mises en place, et bien souvent de se jouer d’elles. Cette versatilité, par ailleurs de plus en plus rapide, est une grande part du problème rencontré par les chefs d’entreprise et les DSI/RSSI : la protection efficace aujourd’hui ne le sera pas demain, et les leçons du passé sont la plupart du temps parfaitement inutiles. Qu’elle soit directe ou indirecte (provenant du système corrompu d’un partenaire ou d’un fournisseur), une attaque informatique est susceptible de mettre en danger la vie de toute l’entreprise à travers une rupture dans la continuité de ses process. Chef d’entreprise, DSI, RSSI, conseil d’administration ou comité exécutif sont directement concernés, mais aussi, dans un bel élan égalitariste, l’ensemble des collaborateurs qu’il faut sensibiliser et former à la cybersécurité. Lorsque l’on sait à quel point les attaques cyber réussissent majoritairement grâce à une erreur humaine, on comprend sans peine que ce soit désormais le problème de tout le monde dans l’entreprise qui, tel un corps attaqué, doit produire les multitudes d’anticorps nécessaires à sa bonne santé.

Ainsi, la cybersécurité contraint à une adaptation permanente. Une fois cette nouvelle logique intégrée (car il est sûr que l’on ne reviendra pas en arrière), le paysage se fait plus simple. Il ne sert à rien d’avoir peur, sauf si on l’utilise pour favoriser ou accélérer les actions de prévention et de protection. Il faut prendre acte du risque et mettre en place les démarches nécessaires pour prédire (ou prévenir) plutôt que guérir, et, s’il y a malgré tout eu attaque, apporter les remèdes adaptés. Analyser, se prémunir et se préparer sont les clefs d’une bonne équation où, sans précipitation ni panique, peut prévaloir une démarche structurée. Le sujet du cyber-risque nécessite des compétences pointues. Il s’adresse pourtant la plupart du temps à des néophytes (notamment les PME et les ETI) qui n’ont – pour une grande partie d’entre eux – ni le temps, ni la capacité, ni les moyens de se pencher en profondeur sur le sujet. Ils veulent juste minimiser le risque pour se concentrer sur leurs activités. D’où l’aspect décisif de la sensibilisation au risque, à tous les niveaux, et du choix du bon partenaire pour être épaulé dans ce trajet sans cesse évolutif.

Le risque cyber oblige toute l’entreprise à réfléchir sur les bonnes pratiques, les précautions à prendre. La réponse à ce risque devient alors un élément de régulation qui oblige à respecter des process pour garantir l’intégrité de l’entreprise. De ce fait, la cybersécurité impose de refonder un ensemble de modes opératoires qui deviennent encore plus rationnels, et donc d’une certaine façon, plus efficaces. Elle peut ainsi paradoxalement participer à une certaine amélioration du fonctionnement de l’entreprise.

Un risque pandémique

Ce qui affecte les entreprises concerne aussi les individus, les organisations ou les États. Le cyber-risque agit à une multitude d’échelles : comme la radioactivité peut le faire, tout et tout le monde peut être touché, quelle que soit la couche sociale. La cybersécurité est devenue un enjeu à échelle 1. En réalité, l’ampleur de la menace qu’il représente, sa fréquence et sa violence, ont fait entrer le risque cyber, avec le changement climatique, les sujets de santé publique et sans doute aussi le risque nucléaire militaire et civil, dans le club très fermé des menaces globales susceptibles d’avoir aujourd’hui des conséquences néfastes sur la totalité de la planète et ses habitants. C’est désormais un risque pandémique.

Cette pandémie accompagne mécaniquement la croissance exponentielle des données en circulation, ainsi que la valeur acquise par les données. L’information est devenue le bien le plus précieux, et son utilité dans les domaines de l’espionnage ou des affrontements militaires, par exemple, ne cesse de s’affirmer. On le sait, aujourd’hui la donnée est la toute première source de création de valeur. Il est donc logique que cette prolifération de nombre et de valeur s’accompagne d’une criminalité visant à en accaparer les flux à son profit.

Un chiffre suffit à cerner la gigantesque puissance acquise par le phénomène : si le risque cyber était une économie, il représenterait la troisième économie mondiale derrière les États-Unis et la Chine.

Sortir des « bulles de certitude » pour renforcer le système immunitaire des démocraties

Les données ne sont pas seulement captées par les cybercriminels pour des motifs d’avidité. Elles peuvent aussi être employées pour influencer ou modeler l’opinion. La manipulation hautement sophistiquée de l’information, les fake news, les deep fakes et autres théories du complot sont largement utilisées par des puissances étrangères pour influer sur la vie politique d’un pays ami ou ennemi, ou pour infléchir une élection dans le sens de ses intérêts.

Créé au départ dans le but de favoriser la libre circulation de l’information pour le plus grand nombre (garantie d’un fonctionnement démocratique), le cyberespace devient ainsi sous la pression de ces multiples influences le lieu où se répand, telle une maladie devenant incontrôlable, l’impossibilité de faire se mesurer des opinions. Chacun est en effet de plus en plus enfermé par les plates-formes et les algorithmes des réseaux sociaux dans ce qu’on peut appeler des « bulles de certitude ». Ce système neutralise la possibilité d’un débat ouvert à la base du système démocratique et de ses différents parlements, lieux qui symbolisent la présence pacifique d’opinions divergentes mais acceptant de discuter ensemble pour déboucher sur des compromis. Chacun n’est plus alors dans la confrontation des opinions, garantes d’un fonctionnement optimal de la démocratie, mais dans des zones de certitude où on n’est d’accord qu’avec soi-même. La violence qui en résulte affaiblit le champ du politique.

Ainsi, une grande part de la préservation du mode de fonctionnement démocratique passe par une cybersécurité du cyberespace, purgé des données falsifiées, de la manipulation des élections et de la prolifération des fake news. Dans ce renfort du système immunitaire des régimes démocratiques se jouent des questions de santé ou de maladie du corps politique et du corps social. Mais le politique aura-t-il la volonté, le pouvoir ou la force d’agir sur ces forces à une époque où la puissance publique et l’autorité de l’État se voient partout de plus en plus affaiblis ? Un sursaut salvateur est pourtant absolument nécessaire sur ces questions.

La cybersécurité est en train de devenir l’un des enjeux majeurs de notre temps. En tant que système immunitaire des entreprises, elle est ce sur quoi repose, en grande partie, l’avenir de l’économie mondiale, durement menacé par les cyberattaques.

Traitons là avec confiance et sérénité, mais sachons lui donner au quotidien toute l’importance et l’intensité qu’elle mérite.

Une chronique initialement parue dans La Tribune