En mars 2018, la société de conseil en assurance, Bessé, réalisait en collaboration avec PwC une étude consacrée à la perception de la menace cyber par les dirigeants d’Entreprises de Taille Intermédiaire. Moins sensibilisés mais tout aussi concernés et exposés que les grands groupes, les dirigeants d’ETI présentaient alors une attitude quelque peu attentiste, immobiliste, voire circonspecte. 18 mois plus tard quelques évolutions sont à noter mais nous sommes loin d’une révolution dans l’appréciation de ce risque majeur et de sa prise en charge.
Alors que la menace gagne en gravité, en probabilité, et en imprévisibilité, comment expliquer ces réponses globalement sous-dimensionnées. Que faire pour inverser la tendance ?
Eléments de réponses et pistes de réflexion pour construire un avenir cyber-résilient.
Un risque stratégique mais non prioritaire…
Depuis 18 mois, l’évolution de la menace s’est traduite par une forte augmentation du nombre d’entreprises victimes d’attaques cyber, en particulier des ETI françaises, de toute taille et de tout secteur d’activité. Fin 2019, ce sont les systèmes d’information du groupe français Edenred qui ont été infectés par des logiciels malveillants. Les ETI figurent ainsi sans surprise, parmi les principales cibles des hackers et s’en trouvent lourdement affectées…
Les dirigeants d’ETI percevant le caractère stratégique du risque progresse : « 35% d’entre eux considèrent le cyber comme un risque stratégique » souligne Frédéric Dabi, Directeur Général Adjoint Ifop France. Une bonne nouvelle de prime abord. Mais alors que 55 % des ETI interrogées évaluent ce risque comme important, ils le qualifient dans le même temps de « non prioritaire ».
Une appréciation du risque encore trop faible
L’estimation de leur exposition au risque cyber étant mitigée, cela explique certainement en partie cette « schizophrénie » dans les résultats.Les dirigeants d’ETI estiment en moyenne« à 5,8 sur 10 le risque de cybermenaces pour leur entreprise. Plus précisément, 56% des sondés considèrent leur exposition à ce risque comme très importante ou importante, tandis que les 44% restants la qualifie de modérée (21%) voire faible à inexistante (23%). » détaille Frédéric Dabi et de poursuivre « Les dirigeants qui jugent le niveau de la menace cyber faible voire inexistant estiment être autant prêts à affronter une attaque cyber que ceux qui évaluent la menace comme très importante. » Or, la bonne gouvernance de ce risque est nécessairement fonction de l’appréciation qu’encourt l’entreprise, selon leur dirigeants. Quant aux mesures et aux moyens à mettre en œuvre pour affronter une cyber attaque, ils supposent un niveau de maturité élevé quant à l’appréhension de ce risque et des investissements à réaliser pour le maîtriser…
Préparation et exposition : une perception décalée
Toujours dans la contradiction entre perception et réalité, peu d’ETI sont aujourd’hui véritablement préparées à faire face à une telle menace : 32% des dirigeants d’ETI considèrent que leur entreprise est « tout à fait préparée » à affronter une crise cyber, mais 89% des sondés se disent « préparés » à l’exercice.
Au-delà des chiffres qui interpellent une nouvelle fois, la définition de la préparation cyber pour un chef d’entreprise questionne. Quels sont les indicateurs objectifs permettant d’argumenter et de vérifier l’affirmation « être tout à fait préparé ou préparé » ? Non par soucis de justification ou besoin de transparence accrus, mais avant tout pour éviter un leurre qui pourrait bien avoir des conséquences dramatiques le moment venu.
En effet, la question du niveau de préparation de ces entreprises se pose quand près d’un tiers des dirigeants d’ETI s’estime prêt à affronter une crise cyber alors même que 53% considèrent être « faiblement voire nullement exposés au risque cyber » : des chiffres à la fois très élevés compte tenu de la prudence et l’humilité que requiert ce sujet et parallèlement assez faibles pour confirmer que le chemin à parcourir reste entier !
Alors que les experts en cybersécurité rappellent que tout un chacun est concerné, que la question n’est plus de savoir si on sera attaqué, mais quand – en espérant que ce ne soit pas le cas en ce moment même ! – ces chiffres doivent nous interpeller. Ils doivent surtout faire réagir l’ensemble des acteurs sur la nécessité d’une meilleure sensibilisation et acculturation au sujet – qui impliquent certainement de changer de méthodes – mais aussi sur les actions à mener. Il est urgent de faire preuve, peut-être, d’un peu plus de discernement dans l’approche que requiert ce risque cyber perçu comme étant à la fois trop flou, lointain, immatériel « incernable, inquiétant et complexe » explique Jacques Fradin, docteur en médecine, spécialiste en psychologie cognitive.
Manque ou excès de confiance… une perception des enjeux déstabilisante
Le manque ou l’excès de confiance en soi, qui découlent largement des mécanismes irrationnels de dominance, de soumission, distordent notre perception de la réalité et des risques. « Un sujet « soumis » est plus à même de surprotéger l’entreprise, privilégier les processus de sécurité, au risque d’en freiner le développement, les initiatives ou l’innovation… A l’inverse, la dominance engendre des prises de risque plus importantes voire inconsidérées, via une surestimation de sa capacité à faire face… voire une confiance très irrationnelle dans sa « bonne étoile » ! Ce qui peut là aussi entraîner un déni, pour des raisons diamétralement opposées à celles de la peur… » détaille Jacques Fradin.
Le risque subi est aussi plus facile à gérer « émotionnellement » que le risque pris (notre responsabilité voire culpabilité est engagée, plus encore lorsque notre image sociale est engagée), ce qui peut pousser à la non-décision ! « La décision humaine subit de nombreux biais. En situation de non contrôle, notre cerveau se met par défaut en posture de repli voire en évitement, en déni. Ceci explique sans doute pourquoi certains répondants à la présente étude Ifop se croient bien protégés… contre toute raison ! » éclaire Jacques Fradin.
Résistance au changement
Les grands facteurs de résistance au changement semblent donc réunis : la nouveauté qui rend le risque, par essence abstrait, plus irréel encore, au profit d’enjeux du quotidien plus pressants, plus concrets et tout à la fois plus bénins et rassurants. Tout comme la gravité et la complexité des risques qui incitent paradoxalement à l’attentisme voire au fatalisme.
« Ceci survient aussi dans un contexte où l’on voit se multiplier les risques nouveaux et non des moindres : climatiques, écologiques, technologiques, économiques, sociaux, géopolitiques, migratoires… le tout adossé à la rencontre d’un modèle libéral décomplexé et triomphant depuis la chute du mur de Berlin, focalisé sur sa rentabilité à court terme… et un avenir incertain teinté de collapsologie » détaille le docteur Fradin.
Enfin, le risque cyber appartient véritablement à un genre nouveau. « Hautement évolutif, peu traçable, décalé, délocalisé voire émanant de territoires « complices », il comporte des potentiels relais internes humains au sein de l’entreprise, conscients et malveillants ou déclenchant la crise par erreur ou négligence. » souligne le docteur Fradin. De cela découle des conséquences économiques potentiellement très lourdes et une probabilité de survenance« pas si faible que cela »…
Autant de points qui semblent – aux yeux des dirigeants d’ETI mais aussi de PME ou TPE – faire de ce risque un luxe réservé aux grandes entreprises … perçues à tort comme beaucoup plus exposées. « Nombreux sont les dirigeants d’ETI qui pensent peut-être ne pas pouvoir s’offrir un tel luxe et espèrent tout à la fois « passer à travers les gouttes »… ? » commente le docteur Fradin.
Cyber-assurance :une solution au service de la cyber-résilience
Face à un risque dont la probabilité d’occurrence est très difficile à appréhender et les conséquences non mesurables sur le plan quantitatif, le seul moyen pour les entreprises d’en minimiser l’impact est de lisser le risque financier par voie de transfert au marché de l’assurance.
Les assurances risque cyber permettent de bénéficier de l’intervention rapide d’experts en la matière afin de déterminer l’origine de l’attaque, de la contenir et de définir les process à activer pour assurer la disponibilité des ressources informatiques et la continuité des activités critiques.
Cela nécessite une approche sur-mesure du risque, l’élaboration de couverture « cyber » spécifiques et un choix dédié des assureurs mobilisés sur le sujet.
Perception faussée encore, 61% des dirigeants sondés pensent que leur entreprise dispose d’assurances couvrant le risque cyber. Mais, selon la Fédération Française des Assureurs (FFA) le volume de primes collectées en France sur le risque cyber est très faible (80 millions d’€) et le taux d’équipement des ETI estimé à moins de 10%… « Les dirigeants d’ETI doivent donc faire preuve de vigilance. » souligne Pierre Bessé, Président de Bessé et d’ajouter « Pour ce qui nous concerne, nous intervenons au quotidien dans la gestion de la crise pour orienter et accompagner les prises de décision d’ordre stratégique. Nous pouvons ainsi prendre en charge les préjudices techniques et financiers, souvent très lourds : vol de données confidentielles, perte d’exploitation, détérioration voire destruction des systèmes d’information… Nous avons un vrai rôle à jouer aussi bien dans l’indemnisation du sinistre que dans la diffusion des bonnes pratiques et le développement de la cyber-résilience… »
Se voulant rassurant, Pierre Bessé appelle à maintenir le niveau de « vigilance mais aussi à renforcer la mobilisation des acteurs et la cyber-résilience de nos entreprises. »
Repenser l’approche du risque cyber
Le risque cyber n’est visiblement pas un risque qui peut être traité comme les autres. Il semble logique de faire évoluer les solutions traditionnelles de traitement du risque en renforçant les capacités de résilience de l’entreprise pour faire face à une éventuelle crise cyber, dès les premières heures de la phase aigüe jusqu’à accompagner l’émergence de solutions durables, dans leur composante économique (trésorerie, réinvestissement…), stratégique, technique, et facteur humain (via notamment des ressources externes spécialisées).
« Il convient d’inscrire le risque cyber dans un processus d’agilité et d’amélioration globale mis en oeuvre avec le REX (retour d’expérience), qui impacte tous les niveaux de l’organisation et tire de l’analyse des failles et initiatives de chacun un levier majeur de performance et d’innovation. » explique Jean-Philippe Pagès, Directeur de Bessé Industrie et Services.
Les dirigeants et leurs équipes doivent être accompagnés. « Sensibiliser, faciliter, de l’amont à l’aval, former au management de risque, de crise, coaching (cognitifs) spécialisés préparant à une meilleure gestion de soi et des autres en situations difficiles, mutualiser des interventions d’experts spécialisés dans l’accompagnement de cellules de crise, pilotes de chasse, sportifs de l’extrême, personnels hospitaliers… » sont autant de pistes à explorer selon Jacques Fradin.
« Dans les régions et les territoires, au travers notamment des CCI, les actions se multiplient pour accompagner les entreprises dans cette acculturation au sujet cyber. L’échelon local me semble primordial et le plus adapté pour créer une dynamique et un maillage territorial essentiel pour une cyber-resilience de l’ensemble des acteurs. »rappelle Jean Larroumets, PDG fondateur d’EGERIE.
Il pourrait revenir ainsi aux acteurs de la gestion de risque d’aller jusqu’à proposer tout ou partie d’un « package gouvernance, anticipation, sensibilisation, prévention, protection, traitement des risques, gestion des crises et des phases de rebond avec préparation aux agilités stratégiques, managériales et individuelles », permettant ainsi aux dirigeants et à leurs équipes de tirer de ce « nouveau monde » plus d’opportunités que de périls et faire des accidents de parcours de nouveaux départs !
Faciliter la construction de réseaux de coopération entre entreprises ayant surmonté ce type d’événement et d’autres cherchant à s’y préparer ou à les gérer, à mutualiser leurs ressources… est un autre axe à développer. « Il est en effet essentiel de communiquer sur les enjeux et conséquences du risque cyber, en favorisant le partage d’expérience et la diffusion des bonnes pratiques. »ajoute Pierre Bessé.
Replacer l’humain et son mode de réflexion au coeur des enjeux
Le risque cyber et ces enjeux exigent de replacer l’humain au coeur du sujet et de la stratégie. Pour autant, seuls 3% des dirigeants interrogés dans l’étude Ifop pour Bessé, envisagent d’embaucher dans les 12 prochains mois un profil dédié à la gestion de la cybersécurité. « Or les enjeux cyber nécessitent des compétences dédiées qui ne se limitent pas à une vision technique de la sécurité informatique. Les experts en cyber sécurité sont néanmoins rares, ce qui cause de réelles difficultés aux entreprises… »
Les PME et les ETI ne disposent pas des ressources internes permettant de créer les infrastructures IT dont ils ont besoin et encore moins pour les maintenir au niveau de sécurité et d’exigence requis par les réglementations mais aussi par l’évolution de la menace qui pèse sur elles. « Elles vont donc devoir passer par le Cloud et les services managés. D’où les actions engagées au niveau français et européen pour l’émergence d’un cloud de confiance. » explique Jean Larroumets et d’ajouter « Les dirigeants d’entreprise n’ont pas une perception réaliste du risque et nous devons les accompagner à mieux appréhender celui-ci notamment au travers des audits et des diagnostics. En leur expliquant concrètement les risques et les impacts des menaces cyber sur leur métier, leur activité, cela permet de faire passer d’un risque flou et abstrait, à une réalité soudainement des plus concrètes. »
Pour aller plus loin dans la compréhension et l’optimisation du facteur humain, au cœur de la crise comme de ses solutions, « on gagnerait à davantage partager quelques aspects très éclairants et opérationnels de la connaissance du fonctionnement de notre propre cerveau et de nos comportements. » conseille Jacques Fradin et de rappeler que le manque d’authenticité dans les échanges, au sein des Comités de Direction par exemple, « peut induire le « paradoxe d’Abilène1, l’origine de décisions absurdes, chacun alors, en son for intérieur, ne croyant pas ou peu à leurs pertinences (« on ne sent pas la décision », mais, faute d’arguments précis ou par peur de briser un difficile consensus… on n’ose pas le dire) !… »
Alors, pour le prévenir, au-delà des classiques leviers « objectifs » de décision, on gagnerait à créer des conditions favorables, « à laisser un temps bref à l’expression de l’intime conviction, l’intuition, souvent pertinente et prospective (notamment lors de la phase finale de la prise de décision) en contexte nouveau, incertain et complexe. » détaille t-il. Des actions individuelles et collectives, reflet de l’externalité positive souvent au cœur des leviers de développement et d’innovation et non sans rappeler la question du discernement qui refait peu à peu surface. « Il semble évident que l’humain ne peut plus cantonner son intervention dans la décision au seul domaine normatif, espace destiné à devenir inéluctablement le domaine réservé de l’intelligence artificielle. De fait, ce nouveau paradigme place l’humain au cœur des organisations et des organes de pouvoir, signant une revanche des compétences cognitives sur les compétences purement normatives. » explique Caroline Ruellan, présidente de SONJ Conseil et associée chez Ecole du Discernement. Alors à l’ère de la complexité, de l’hyper transparence et de l’intelligence artificielle, la question n’est plus tant celle des ressorts profonds de la décision que celle des qualités requises tant normatives, cognitives qu’empiriques. Et Caroline Ruellan de rappeler « En plaçant l’humain au cœur de la décision, le discernement a de beaux jours devant lui. »
1. Le paradoxe d’Abilene, présenté dans l’ouvrage « The Abilene Paradox and Other Meditations on Management », du sociologue Jerry Harvey illustre la façon dont un groupe peut prendre des décisions absurdes.