L’art de la guerre, leadership et cybersécurité (par François Gratiolet)

La stratégie a d’abord été un art de la Guerre avant de s’appliquer aux affaires économiques. Le texte le plus ancien en la matière est celui de Sun Tzu (L’Art de la Guerre), Général chinois ayant vécu 500 ans avant J.C.

Certaines études ont démontré que les entreprises dont les dirigeants adoptent une approche et un discours militaire sont plus performantes que celles refusant de considérer leurs concurrents comme des ennemis. Il est possible de tirer dix leçons de l’Art de la Guerre.

Précédemment d’ordre opérationnel et technique, les enjeux de la cybersécurité englobent aussi bien des leviers de confiance et de développement d’affaires que ceux permettant de préserver et d’assurer la pérennité de l’entreprise. Au-delà de leur expertise métier, il appartient donc aux responsables en charge de la cybersécurité de comprendre les codes de la stratégie d’entreprise et de les intégrer dans leur discours et leurs actions.

Comment un responsable sécurité des systèmes d’information (RSSI) peut-il transposer les principes de l’Art de la Guerre à la cybersécurité ?

1. Soyez un chef commandant fort et exemplaire pour mobiliser tout le potentiel cybersécurité de vos employés. En cas d’attaque cyber avérée, vos employés seront les premiers à réagir, et ils doivent pour cela être formés et entraînés en conséquence.
2. Soyez prudent et faites des réserves budgétaires en cas de fuites de données, elles sont inéluctables à terme. Il s’agit de gérer au mieux l’incertitude ;
3. Réalisez des analyses SWOT (Strengths Weaknesses Opportunities Threats) pour mieux comprendre votre organisation et la fonction cybersécurité elle-même, ainsi que son environnement et vos “ennemis” cyber. Vous élaborerez ainsi une stratégie de cybersécurité pleinement alignée avec les objectifs de votre organisation
4. Renforcez vos cyber défenses avec de l’amélioration continue. La cybersécurité n’est pas une solution, un projet ponctuel, mais un processus !
5. Innovez, en collaborant par exemple avec des startups technologiques pour faire face aux nouveaux usages numériques et cyberattaques de plus en plus fréquentes et sophistiquées
6. Cessez de copier ou de suivre vos pairs dans d’autres organisations. Les bonnes pratiques (et référentiels) de cybersécurité incitent les organisations à se « benchmarker » entre elles. Se benchmarker ne signifie pas copier ce que fait une autre organisation… Les bonnes pratiques nécessitent d’être déclinées en tenant compte de la chaîne de valeur de l’organisation et des enjeux métier. Ainsi, devenez le spécialiste de votre secteur d’activité en mettant en place un modèle opérationnel adapté à votre organisation, et maximiser ainsi la performance cybersécurité de votre organisation ;
7. Développez des capacités et des offres de cybersécurité adaptées fonctionnellement et économiquement aux besoins de vos lignes métier. Par exemple, proposez une solution d’authentification à 2 facteurs (2-FA) pour un groupe d’utilisateurs d’un service en ligne ayant une aversion aux risques faible.
8. Pour résoudre vos problèmes d’aujourd’hui, n’utilisez pas les solutions d’hier ! L’Intelligence Artificielle vous sera d’une aide précieuse pour détecter des attaques jusqu’alors inconnues, diminuer le nombre de fausses positives, faire face au manque de ressources cybersécurité sur le marché….
9. Diminuez votre complexité pour augmenter l’efficacité cybersécurité de votre organisation. Développez une offre lisible du reste de l’organisation, automatisez autant que possible les processus cybersécurité, adoptez une approche DevOps dans les projets cybersécurité…
10. Mettez vos efforts et allouez les ressources aux bons endroits et au bon niveau en utilisant les outils de management stratégique (chaîne de valeur, force Porter, SWOT, matrice d’Eisenhower…). Protégez en priorité les “joyaux de la couronne”, c’est-à-dire les actifs qui créent le plus de valeur pour votre organisation ;

Aujourd’hui les RSSI doivent devenir des stratèges militaires pour gagner la guerre contre les cybercriminels et autres agents menaçants. Les organisations sont dans la ligne de mire d’attaques rapides qui compromettent en un instant les données de leurs clients et sabotent des services.

La mise en pratique des principes de l’art de la guerre renforcera à juste titre la posture de stratège et de dirigeant du RSSI. Les outils, les compétences et l’état d’esprit inspirés de la stratégie d’entreprise et militaire lui sont nécessaires ! En plus des apports méthodologiques, il s‘agit notamment d’acquérir un langage qui facilite la communication avec le conseil d’administration dirigeants, les comités de direction, les actionnaires … mais aussi l’ensemble des employés.

L’auteur

François Gratiolet est consultant en stratégie et marketing dans le domaine de la cybersécurité. Il est l’auteur de la formation “Leadership & cybersécurité”. Il est également membre de conseils d’administration de startups. Diplômé de l’Executive MBA de l’ESCP Europe (2011) et de Telecom ParisTech (1999), il est certifié CISM, CISA et Risk Manager ISO 27005. Il est membre de l’IFA et du groupe cybersécurité de Télécom ParisTech où il pilote l’initiative cyber assurance.