Il y a d’abord eu Rolle, puis Montreux et Veytaux (VD). Mais aussi Comparis, Zurich Assurances et le Département fédéral de l’économie (Seco)… Sur le front de l’actualité de la cybersécurité, les cas se multiplient. Et si toutes les victimes d’une recrudescence de la criminalité informatique en Suisse sont à la même enseigne, elles divergent dans leur stratégie de réponse. A ce titre, le cas très médiatisé de Rolle est emblématique. Petit retour en arrière.
Le 20 août dernier, la presse romande révélait l’ampleur et les conséquences du vol de données massif subi par la commune vaudoise à la suite d’un piratage informatique. Soit la publication sur le dark web (le côté obscur du web dédié aux marchés clandestins) des données personnelles des 5393 habitants de la commune, ainsi que des courriels des employés de Rolle. Et ce, contre une rançon. Si Rolle n’a pas payé, elle est devenue malgré elle le visage du cyberamateurisme affiché par les collectivités publiques romandes.
Stratégie du sparadrap
Le constat est sévère, mais il est réaliste. En effet, dans le sillage des révélations sur le cas rollois, toutes les communes se sont mises à courir comme des poules sans tête afin d’auditer leurs infrastructures informatiques en espérant ne pas être les prochaines sur la liste des victimes. Une stratégie du sparadrap qui ne gommera pas le retard pris depuis une vingtaine d’années en matière de cybersécurité par manque de ressources financières et humaines, ainsi qu’une connaissance limitée des enjeux. Difficile dans ce contexte de bâtir une cyberstratégie efficace et efficiente.
Mais au-delà de la donne purement cyber, le cas de Rolle pose une question fondamentale. Comment une organisation, une PME ou une collectivité publique peut-elle et doit-elle adapter son management des risques dans un environnement mouvant, à la fois physique et dématérialisé? De quelle manière peut-elle adapter ses processus internes pour parer au mieux aux cyberrisques? Les responsables de la sécurité et de l’information (CISO) se démultiplient dans les entreprises. Or, dans l’organigramme, ils sont encore trop souvent perçus comme des responsables informatiques.
Notre exploration démarre par un constat: la mentalité suisse porte une aversion pour les risques dans son ADN. Ce trait de caractère se reflète bien évidemment dans la manière de les gérer: «La dimension cyber met en lumière la posture, la culture et les biais des entreprises en matière de gestion des risques. Pour elles, tout l’enjeu face à l’évolution des cybermenaces est d’appréhender ce qu’elles ne savent pas, explique l’entrepreneuse Aline Isoz. Afin de couvrir ces risques-là et cette ignorance face à l’incertitude, il faut des compétences diversifiées tout en haut des entreprises. Or elles ont encore une tradition d’expertise pure en matière de recrutement. En allant chercher des expertises trop spécifiques pour leur conseil d’administration, les PME retombent sur des réponses «silotées», qui ne tiennent pas compte des aspects systémiques.»
La gestion des risques, un empêcheur de tourner en rond
Aline Isoz est la fondatrice de la PME vaudoise Blackswan. Selon l’administratrice indépendante et experte en éthique et transformation numériques, la construction d’un socle de connaissances générales à l’interne de l’entreprise lui permet d’appréhender des enjeux plus holistiques. «Les risques d’aujourd’hui sont complexes, car interconnectés. Le problème est que l’être humain n’est pas fait pour apporter des réponses complexes. Il veut des réponses simples. La conception même de ce qu’est un risque et du management des risques est complexe.»
Guillaume Saouli abonde dans ce sens. L’expert en gouvernance et cybersécurité au sein de l’entreprise Sémafor Conseil nage dans le risque depuis vingt ans. «Dans de nombreuses entreprises, la gestion du risque n’est pas appliquée à bon escient, ni prise au sérieux. Car, dans la tête d’une entreprise, la gestion du risque est un empêcheur de tourner en rond.» Selon Guillaume Saouli, il est indispensable d’adapter la mentalité des dirigeants face aux risques: «Ils font l’autruche. C’est un schéma mental qui existe depuis toujours. On préfère s’attacher à des problèmes que l’on sait régler Mais on ne s’interroge jamais sur ce que nous ne savons pas gérer.»
De son côté, Jacqueline Reigner ne cache pas sa frustration. La fondatrice, il y a vingt-huit ans, de Sémafor ne comprend toujours pas pourquoi le changement de mentalité des décideurs prend si longtemps: «Les cyberrisques, on les connaît. Il faut donc faire comprendre aux décideurs qu’ils doivent avoir une vraie responsabilité face à la gestion du risque. Le changement ne peut venir que du top management.»
Dégât d'image et perte de confiance
L’enjeu d’une stratégie de gestion des risques efficace résiderait donc dans la capacité d’une organisation à définir et à tenir un cap dans un environnement incertain. A cela s’ajoute la capacité d’une entreprise à communiquer en temps de crise. La commune de Rolle s’est par exemple terrée dans un mutisme durant des semaines avant de communiquer publiquement sur la cyberattaque dont elle a été victime. Outre le dégât d’image, cette stratégie a suscité une certaine perte de confiance de la population rolloise envers ses autorités et de multiples interrogations.
A Genève, Marie de Fréminville est administratrice de sociétés. L’experte en finance est spécialisée dans le management des risques, la gouvernance et la cybersécurité. Elle a œuvré notamment au sein du groupe européen Airbus. Selon elle, les entreprises font l’erreur d’appréhender le cyber comme un risque technique alors qu’il s’agit d’un risque business: «En cas d’attaque, elles vont être empêchées de vendre, de produire, d’administrer et de protéger leurs secrets commerciaux. Elles seront également impactées dans leur réputation et leurs finances.» Dans ce contexte, comment une entreprise peut-elle bâtir une gestion des risques efficace?
Le conseil
Marie de Fréminville préconise aux PME de travailler sur quatre piliers stratégiques. Soit les axes organisationnel, technique, processus et culturel.
«Le risque est partout. Il se niche chez les collaborateurs, la supply chain, les partenaires externes, etc. Il faut donc prendre le temps de le cartographier. Il faut identifier ce qui est précieux pour l’entreprise et d’où peut venir la vulnérabilité, quels en seront les impacts potentiels et quelles mesures prendre. Le risque cyber est transverse. Un site industriel peut s’arrêter par exemple à cause d’une attaque informatique.»
Selon l’administratrice et auteure du livre La cybersécurité et les décideurs, «les entreprises n’arrivent pas à répondre à la transformation numérique fulgurante de notre société. Donc elles n’anticipent pas et réagissent lorsqu’elles sont impactées.» Marie de Fréminville plaide pour la création d’une autorité de surveillance en matière de cybersécurité, calquée sur le modèle de la Finma ou de Swissmedic. Cette autorité édicterait des standards à respecter pour les collectivités publiques et les entreprises sous peine de ne pas pouvoir exercer en Suisse. On en est loin.
Promouvoir le pouvoir du CISO
L’autre option pour mieux affronter les cyberrisques serait de valoriser davantage la place et le pouvoir du Chief Information & Security Officer (CISO) dans l’organigramme: «Le responsable de la sécurité de l’information devrait être en mesure de parler directement avec sa direction générale. Or il est trop souvent rattaché à la direction informatique, insiste Marie de Fréminville. Sauf que ces deux postes ont des cahiers des charges très différents. Un directeur de l’informatique doit s’assurer que les systèmes fonctionnent. Un CISO doit sécuriser. C’est une contrainte. Il faut donc qu’il soit entendu par la direction générale, car la sécurité, c’est de la stratégie d’entreprise. Avoir les bons outils et les bonnes personnes ne suffit pas.»