- Accueil
- Gestion des risques
- La cybersécurité n’est qu’un pilier de la responsabilité numérique !
La cybersécurité n’est qu’un pilier de la responsabilité numérique !
La cybersécurité nécessite une approche de gouvernance des risques et une implication de tous les acteurs de l’entreprise : administrateurs, dirigeants, équipes informatiques et utilisateurs, en y ajoutant les fournisseurs, sous-traitants et partenaires.
Le conseil d’administration a, entre autres, l’obligation légale de suivre l’efficacité du dispositif de gestion des risques de l’entreprise. Les dirigeants doivent donc prendre conscience des risques, les comprendre, et définir une stratégie numérique : mettre en place un dispositif permettant de suivre l’évolution des risques et prendre les mesures adaptées, sous la responsabilité du RSSI et du DSI, en coordination avec les autres directions. Celles-ci doivent impérativement être associées à la gestion des risques, ainsi qu’à la mise en œuvre des mesures, pour adhérer aux règles à mettre en place, et les faire respecter. La formation de tous les utilisateurs est essentielle, les outils ne peuvent malheureusement pas empêcher toutes les attaques de passer au travers des filtres.
La faille est 95% humaine et provient essentiellement de négligences. Le RSSI ne peut pas être derrière chaque utilisateur, pour empêcher ces négligences, de même que chaque conducteur de véhicule automobile doit connaître le code de la route, respecter la règlementation, et conduire de façon responsable.
La cybersécurité ne doit pas être considérée seulement comme un coût mais doit être pensée comme un levier au développement et à la réalisation des affaires, un outil au service de la compétitivité et de la performance, et comme un baromètre de la bonne santé de l’organisation. Elle est un pilier de la stratégie numérique.
Néanmoins, la responsabilité numérique ne se limite pas à la cybersécurité. Elle inclut aussi des considérations sociales et environnementales, des enjeux juridiques et enfin des questions de souveraineté !
Du côté social, il s’agit de :
- formation : avec la transformation numérique, des métiers disparaissent, et de nouveaux métiers apparaissent. L’entreprise a la responsabilité d’anticiper les évolutions, de former les salariés pour les orienter sur de nouvelles fonctions, et également de recruter des compétences correspondant aux futurs enjeux de l’entreprise ;
- télétravail : il a certes des côtés positifs (moins de transport, flexibilité des horaires, responsabilisation des collaborateurs…) mais aussi des côtés négatifs : confusion des temps, des lieux et des outils de travail, qui ont des conséquences la productivité, la sécurité et la qualité, bref sur la performance de l’entreprise selon moi.
- la diversité hommes/femmes est malheureusement trop peu répandue dans les métiers numériques. Les femmes sont peu nombreuses dans ce domaine, et c’est inquiétant car le monde est de plus en plus numérique ! La proportion de femmes dans les emplois informatiques a en fait diminué au cours des 35 dernières années. Aujourd’hui, seuls 20 % des postes de directeur de la sécurité informatique sont occupés par des femmes, notamment parce qu’il y a peu de femmes dans les écoles d’ingénieurs en informatique.
Du côté environnemental, la révolution numérique et technologique transforme les entreprises et nos modes de vie, avec des conséquences sur les consommations d’énergie, l’organisation du travail, le monde de l’emploi, et la collecte de données personnelles pour mieux cibler les consommateurs. En effet, si le numérique peut être un formidable outil au service de la transition énergétique, il reste énergivore (un datacenter consomme autant qu’une ville de trente mille habitants) et représente 4% des émissions de gaz à effet de serre (GES). Parallèlement, il conduit à l’appauvrissement en ressources naturelles, puisque 50% de la production mondiale annuelle d’induim sert à la construction de téléviseurs connectés.
Cette même part du numérique dans les émissions mondiales de GES doublera dans les prochaines années, pour en représenter possiblement 8% à l’horizon 2025. C’est dans ce contexte que sont nés différents concepts tels que le green IT, le numérique responsable et la sobriété numérique.
Allonger la durée de vie des équipements, utiliser du matériel reconditionné, privilégier le WiFi plutôt que la 4G, etc. Autant d’exemples qui montrent que l’innovation numérique permet aussi de développer des pistes pour la définition d’une stratégie numérique responsable. En témoignent les datacenters en immersion dans des solutions liquides agissant comme de véritables conducteurs de chaleur et permettant une réduction drastique de la facture énergétique compte-tenu de leur refroidissement. En matière d’Intelligence artificielle, grâce à leur architecture optimisée, les robots deviennent frugaux en termes de consommation énergétique.
Du côté juridique, « Le Cloud, c’est l’ordinateur de quelqu’un d’autre ! »[1] : il y a des conséquences juridiques selon le choix du prestataire de Cloud, par exemple concernant l’accès aux données. La justice américaine, avec le FISA et le Cloud Act, peut par exemple obliger les grandes sociétés US à lui fournir les données situées sur leurs serveurs (qu’ils soient sur le sol américain ou sur le sol suisse).
Le Cloud souverain permet d’héberger des données et applications sur le territoire national, il est respectueux des lois du pays. Il permet de protéger juridiquement l’accès aux données, et de réduire la dépendance vis-à-vis des géants du numérique : capacité à opérer sans interruption, à des conditions économiques compétitives.
Du côté de la souveraineté numérique, il appartient aux entreprises de définir leur stratégie numérique (outils, organisation, processus et formation), pour limiter les risques liés à leur activité et réduire leur dépendance juridique et économique. Pour cela, il faut qu’elles aient le choix ! La capacité de l’État à réguler et sécuriser le cyberespace (justice et police), et aussi à peser sur l’économie numérique : sécurité des infrastructures critiques, protection des informations et systèmes de l’État, des entreprises et des citoyens, développement d’acteurs nationaux (système d’exploitation, matériel, réseaux, messageries, bureautique, outils de détection et protection, logiciels, Cloud), etc. Tous ces aspects permettent de garantir l’indépendance du pays et de ses entreprises.
Par ailleurs, si la migration vers le Cloud est facile, le retour en arrière est quant à lui beaucoup plus difficile, voire impossible ou très coûteux. Les compétences permettant de développer des solutions propres sont perdues. Les prix, attractifs au départ, sont ensuite augmentés, une fois que la solution s’avère incontournable.
A méditer lors de l’orientation de la stratégie numérique !
Je recommande pour compléter mes propos la lecture du rapport Ethos[2] qui évoque 7 principes :
- la mise en place d’un code de responsabilité numérique ;
- la communication sur les pratiques numériques et l’empreinte numérique (sociale et environnementale) ;
- le respect de standards relatifs à la collecte, au traitement et à la protection des données ;
- l’éthique en matière d’Intelligence artificielle ;
- l’éthique en matière d’activités numériques sensibles (surveillance, armes autonomes, fake news, droits humains, addictions…) ;
- la compréhension des conséquences sociales de la transformation numérique, notamment l’emploi et les modèles sociaux ;
- la réduction de l’empreinte carbone liée à la transition numérique.
[1] « Lettre à ceux qui veulent faire tourner la France sur l’ordinateur de quelqu’un d’autre », Tarik Krim
[2] https://www.ethosfund.ch/fr/news/ethos-publie-sa-premiere-etude-sur-la-responsabilite-numerique-des-entreprises-suisses
la newsletter
la newsletter