La cybersécurité et son storytelling
Articles du même auteur :
2
3
4
Ferrari est une entreprise étonnante, à tous point de vue. Que l’on soit partisan du quatre roues jusqu’au bout du pommeau de vitesses ou écolo à enfourcher son vélo électrique à tout bout de champs, on ne peut qu’admirer l’entreprise, ses réalisations, ses performances, son palmarès, en somme son histoire. Mais aussi et surtout son histoire, celle qu’elle raconte à son écosystème : ses clients, à ses prospects, ses sponsors, ses investisseurs.
Vous ne le savez peut-être pas mais Ferrari ne se présente pas comme un constructeur de voiture de sport, mais comme un fournisseur de luxe ciblant les ultra-ultra riches (ou les 1% des 1% pour le dire autrement). C’est ce que l’on appelle le storytelling, l’histoire que l’entreprise raconte et à laquelle on croit – ou pas. Et l’on en croit cette histoire que la marque raconte à ses clients et prospects, cela fonctionne très bien : carnets de commandes remplis, marges énormes compte tenu du secteur, prévisions de croissance stratosphériques.
Des entreprises telles que Ferrari, Apple, Coca-Cola et d’autres ont réussi à élever leur storytelling au rang de mythe, autour duquel se reconnaît l’ensemble de l’écosystème. Certaines ont changé de mythe plusieurs fois au cours de leur vie (Apple ne s’adressait qu’aux geeks un peu hors système à ses débuts). Pour certaines cela fonctionne et pour d’autres c’est un gros couac : Nokia avec son « Connecting People » qui n’a pas survécu à l’arrivée du smartphone ou encore Facebook qui a englouti des dizaines de milliards avec son métavers.
Mais quand cela fonctionne c’est jackpot. Ferrari et Rolex ne vous vendent pas des voitures et des montres, elles vous font l’honneur de vous laisser rentrer dans le petit cercle de ceux qui accèdent au luxe ultime. La nuance est de taille et dans les deux cas si vous poussez la porte d’une boutique, vous pouvez au mieux espérer que l’on vous mette sur liste d’attente.
Les religions, les nations, les marques (Nike ne vend pas des chaussures mais un style de vie, comme l’a démontré Naomi Klein dans son ouvrage « No Logo ») développent des storytellings, des mythes car cela fonctionne. 12 000 ans d’histoire depuis les débuts du néolithique sont en effet là pour en témoigner.
Mais quel est le storytelling de la cybersécurité ? Selon la culture du lecteur, la réponse sera technique, processus, qualité, geek, gouvernance, mais ne s’approchera que rarement d’un storytelling à la Ferrari / Nike / Apple, et c’est certainement pour cela que depuis 15 ans on rame en rond dans la mare à bugs. C’est pour cela que le RSSI est rarement au board, que les pouvoirs publics n’ont, dans quasiment aucun pays occidental, saisi l’ampleur de la menace et les moyens qu’il faudrait y consacrer dans les vingt prochaines années pour éviter que l’Internet devienne un coupe-gorge et que les organisations n’aient d’autres choix que de s’en déconnecter comme récemment cette expérience de Google (certes à petite échelle) sur 2 500 de ses salariés.
La cybersécurité ne se perdra pas simplement faute de combattants, comme je m’en ouvrais récemment dans cet article, elle se perdra aussi faute de marketing des DSI et des RSSI qui auront échoué à s’accorder sur un storytelling auquel adhère la direction générale, les pouvoirs publics, les DSI elles-mêmes et tout l’écosystème. Pas sûr, bien entendu, qu’un storytelling bien léché suffise à faire remonter la cybersécurité dans la hiérarchie des priorités (et des investissements, et des recrutements, et des formations, etc.) mais il est peu probable que sans cela on dure bien longtemps à ce rythme.
Récemment je suis tombé sur cette page Wikipédia, qui relate les principaux faits marquants de l’année 1024, soit il y a 1 000 ans. Il serait intéressant que dans le Wikipédia du futur, nos descendants en 3024 consulte la page de 2024 et voient, dans la liste des faits marquants, la killer-storytelling qui a enfin mis la cybersécurité au centre du monde. Suite logique quand on y pense, après avoir cru que le soleil tournait autour de la Terre, on a fini par admettre que c’était l’inverse. On finira donc bien par se rendre compte que c’est la DSI qui tourne autour de la cybersécurité et pas l’inverse.