Assises de la Sécurité et des SI, 8 familles de risques pour l’entreprise numérique

10 octobre 2011 | ACTUALITÉS, Entreprises et cultures numériques

La 11ème édition des Assises de la Sécurité et des Systèmes d’Information a été, pour l’ensemble des professionnels de la sécurité et des systèmes d’information, l’occasion de faire le point tous ensemble, sur l’évolution des risques liés à l’ère numérique qui se déploie, à l’entreprise numérique qui se profile. La tâche n’est pas mince et il est urgent de réagir, comme l’a rappelé Patrick Pailloux, directeur général de l’Agence Nationale de Sécurité des Systèmes d’Information en clôturant ces Assises.

Les défis du Directeur des Systèmes d’Information pour l’Entreprise Numérique

Les Assises avaient invité Michel DELATTRE, DSI du Groupe La Poste et Administrateur du CIGREF, à venir expliquer le rôle du DSI lors dans cette période de transition vers l’entreprise numérique et les risques associés :

Toutes les frontières internes ou externes de l’entreprise sont en train de disparaitre, ou deviennent beaucoup plus fines. Nous sommes maintenant dans une « entreprise ouverte », en interne, sur l’extérieur, sur ses clients… Dès lors, les modèles d’affaires de l’entreprise numérique sont bouleversés, les clients se sont plus les mêmes, ce sont des clients numériques. On observe ses comportements, ses attentes, ses modes de fonctionnement. Le marketing et la distribution sont également complètement transformés. Tous les secteurs de l’entreprise sont touchés par cette vague du numérique, une vague qui n’en est qu’à son début.

Dès lors, tous les processus des entreprises reposent de plus en plus sur les systèmes d’information. Les produits eux-mêmes sont de plus en plus à composante numérique. Exemple à La Poste, le transport du colis, qui était un produit traditionnel logistique, est maintenant un produit qui devient un service avec des accompagnements permettant au client de savoir où est son colis, quand il sera livré. Il lui permet de choisir où il veut qu’il soit livré : chez lui, au bureau de poste, au bureau de tabac d’à côté… Ces services numériques d’une importance clé pour l’entreprise reposent sur les capacités de nos systèmes d’information. Evidemment, ces services numériques sont eux aussi vulnérables. La question des menaces portant sur les systèmes d’information, les outils, et les ressources numériques, est au cœur de nos réflexions et doit l’être dans les entreprises au plus haut niveau. Ce n’est pas qu’une question de DSI, c’est une question globale de direction des entreprises, de directions métiers aussi, parce que c’est au cœur des processus métiers que se trouvent les actifs numériques et les processus.

Les risques liés au numérique, les risques liés aux systèmes d’information, occupent dans nos entreprises une place de plus en plus importante. A La Poste, depuis quelques années, nous avons mis en place tout un processus d’identification, de cartographie des risques, de management de ces risques, en liaison avec les métiers, en partant des processus métiers et de leur criticité. Comment fait-on en sorte d’anticiper, de maitriser ces risques, de les réduire ? C’est tout un processus de management des risques numériques. Le DSI, le RSSI ont un rôle central à jouer dans la détection, la prévention et la correction des risques. Cette question est beaucoup plus globale que la prévention du risque informatique au sens traditionnel. On n’a plus seulement à protéger des infrastructures, des matériels, des logiciels, des data centers, ce qui est toujours vrai bien sûr, mais on doit protéger des ressources numériques. La disponibilité des services numériques pour nos clients est un enjeu essentiel.

Nous devons également tenir compte d’un cadre réglementaire très évolutif. En France, nous avons un texte datant de 2000 qui évolue en permanence, dans une sorte de course poursuite entre, d’une part l’évolution des technologies et usages du numériques, et de l’autre, la réglementation. Il faut s’y adapter, suivre les jurisprudences pour se conformer à ces législations, qu’elles soient françaises ou européennes.

Ne pas négliger les menaces humaines

Lorsque l’on parle de risques numériques, il faut évoquer les menaces humaines, notamment les comportements de salariés des entreprises. Les comportements frauduleux peuvent exister, mais ils sont rares. Les menaces sont surtout liées à une méconnaissance des règles, à de la négligence ou à un manque de sensibilisation. Tout ce qui peut permettre une meilleure compréhension des risques et des enjeux, tout ce qui peut sensibiliser l’ensemble des collaborateurs est important. A La Poste nous sommes 260.000 personnes, nous avons en permanence des campagnes de sensibilisation des collaborateurs. Cette année, nous avons fait deux grandes campagnes, l’une sur les données à caractère personnel et, dans quelques semaines, une autre campagne sur les téléchargements internet. La sensibilisation est une mesure de prévention de plus en plus importante, d’autant plus que l’interne et l’externe à l’entreprise sont de plus en plus imbriqués.

Logiques, physiques, humaines, les menaces se combinent entre elles, se propagent de plus en plus vite. Les menaces dans leur ensemble peuvent mettre en péril le fonctionnement d’une entreprise. Elles peuvent aussi mettre en péril l’image de l’entreprise. La confiance des Français dans La Poste est un facteur-clé pour nous. On doit être très vigilant sur tout ce qui peut altérer l’image et la confiance dans clients dans une entreprise.

8 familles de risques pour l’entreprise numérique

Le CIGREF a effectué un travail pour classifier tous ces risques, certains auxquels on pense spontanément, et ceux auxquels on pense moins. Lorsqu’on est DSI, on doit regarder comment ces risques s’appliquent dans notre entreprise, les cartographier et se demander quels plans d’actions nous pouvons mettre en place pour les prévenir, les corriger, les réduire. Je vais parcourir quelques-uns de ces risques auxquels on ne pense pas naturellement et qui viennent s’ajouter aux risques que nous connaissons tous.

Risques stratégiques
Le premier risque pour une entreprise, sans doute le plus important, est de ne pas avoir de stratégie numérique ! Une entreprise qui, aujourd’hui, ne se poserait pas la question de ce qu’est une stratégie numérique, c’est une entreprise qui se met en danger.

Le second risque, le Lock in, en français « dépendance fournisseur ». On est dans un monde où l’on a, en face de nous, de très grands fournisseurs, de plus en plus puissants, qui se consolident, se rapprochent. En tant que DSI, on se repose sur eux, ce sont de grands partenaires. Mais l’enjeu est aussi que nous ne soyons pas dépendants de ces fournisseurs. Exemple, on s’interroge sur le Cloud Computing, comment l’utiliser, dans quel contexte, avec qui. Comment ne pas être pieds et poings liés, c’est-à-dire comment étudier la réversibilité, comment se mettre en situation de pouvoir peut-être réintégrer, ou passer à un autre fournisseur si celui-ci est défaillant.

Le troisième risque est lié au fait que nous sommes dans une période de transition, entre le nouveau monde et l’ancien monde, avec des produits traditionnels et des produits numériques, des canaux traditionnels et des canaux numériques. On s’est interrogé sur la façon de gérer la concurrence entre deux canaux de distribution. Aujourd’hui ce débat est un peu dépassé, il est souvent admis qu’il faut mettre en place un mix-canal. La concurrence entre produits et services traditionnels et numériques est aussi un risque majeur pour l’entreprise. C’est le cas pour La Poste entre le courrier traditionnel et les services numériques que nous développons. Notre ambition est de ne pas les opposer, mais d’en faire des produits complémentaires. Nous voulons offrir à nos clients « le meilleur du papier et le meilleur du numérique ».

Risques éthiques et juridiques
Ces risques sont liés à l’évolution rapide des législations touchant à l‘usage des TIC, ainsi qu’à leur hétérogénéité d’un pays à l’autre. S’y ajoute l’imprévisibilité de la jurisprudence. L’entreprise numérique se doit d’être vigilante pour respecter les réglementations concrant en particulier les données à caractère personnel et l’authenticité des documents. Le risque juridique se double souvent d’un risque d’image pour une entreprise qui enfreindrait la législation.

Risques liés aux ressources humaines
Un de ces risques est lié au fait que les transformations vers l’entreprise numérique se confrontent à des résistances. Comment faire adhérer les salariés à des transformations profondes dues à l’innovation ? Cela peut aller jusqu’à des risques de blocage social, à des risques psycho-sociaux à cause des métiers qui se transforment. Autre risque, s’assurer que l’on est capable de faire évoluer nos compétences en interne, au même rythme que les technologies et le numérique. Notre président, Jean-Paul Bailly, dit souvent « comment faire La Poste de demain avec les postiers d’aujourd’hui » !

Un autre risque que l’on appelle « infobésité ». C’est le fait que nous soyons tous confrontés à une avalanche d’informations. Comment faire pour trier, sélectionner, analyser les informations pour les utiliser de manière vraiment efficace. Il faut aussi savoir gérer le fait que les relations humaines ont tendance à être de moins en moins interpersonnelles. Comment faire en sorte de ménager cette part de relations, de ne pas trop affaiblir la nature des relations interpersonnelles. Ou encore un risque auquel on ne pense pas forcément, vient de la numérisation de processus client. On y gagne en coût, en délais très souvent, mais on risque de perdre en flexibilité, en intelligence humaine.

Risques Marketing
Parmi les risques marketing, il y a évidemment ceux de l’e-réputation, de la mondialisation de la concurrence qui se traduit par une pression très forte sur les marges. Le numérique ne fait qu’accélérer le phénomène.

Risques liés au contrôle et à la maîtrise du SI
Plus classiques, les risques de vol ou d’altération de données, que ce soit en interne ou par des pirates… Les risques liés à la saturation des réseaux ou des processus numériques. A La Poste, on a mis en place un Observatoire de la sécurité des SI, c’est un opérateur interne de surveillance permanente des réseaux, qui permet de détecter en amont les problèmes. Cela représente des moyens techniques très importants.

Risques Patrimoine
Le patrimoine numérique est essentiel. Comment le protéger ? Les ressources numériques sont un facteur clé. Concrètement, se pose la question la question de leur conservation dans le temps, de l’archivage légal. Ou encore des questions de défaut de garantie des produits numériques. Autrement dit, des produits numériques achetés à des fournisseurs n’ont pas toujours des garanties comme en ont des produits matériels. On y pense moins mais il existe encore un risque de sous-valorisation financière. On est dans un modèle où la valorisation d’une entreprise se fait traditionnellement par les marchés, par les analystes sur des critères établis. Comment se valorise l’entreprise numérique ? Quel modèle utiliser ? C’est beaucoup plus compliqué. Comment calculer la valeur d’une entreprise numérique à 5 ans, à 10 ans ?

Risques Périphériques
On répertorie ce que l’on appelle des risques périphériques, comme l’irradiation. Ce sont les flux financiers transnationaux que plus personne ne contrôle. On le voit avec la crise financière. J’en parle ici car ces risques sont liés à la numérisation des flux financiers. Les moyens de contrôle de ce type de risques ne sont pas évidents. Autres risques périphériques, les risques pays. Les entreprises sont mondialisées, elles vont de plus en plus dans les pays émergents parce que c’est là que sont les relais de croissance. Le numérique favorise l’implantation dans ces pays. Tous les grands groupes y sont. Les risques sont liés à l’instabilité politique et d’autres facteurs auxquels sont soumis ces pays.

Tous ces risques de toutes natures, techniques, économiques, stratégiques, politiques, tous liés à l’économie numérique. Le rôle du DSI est de mesurer, cartographier, analyser tous ces risques avec l’ensemble de ses collègues directeurs métiers. Nous devons avoir une approche globale et systématique. Nous devons avoir des plans d’action de toutes natures pour embrasser tous ces risques. C’est un plan d’action très complet, il faut avoir une vision très globale.

Trois mots clés pour réussir une stratégie numérique

« Pouvoir », c’est le premier mot. Il suppose de pouvoir disposer de moyens techniques, financiers. Pour cela, il faut une organisation, il faut des règles, il faut des procédures. Et il faut convaincre ! Des moyens financiers ne se dégagent pas comme ça, il faut convaincre les directions qu’il y a un besoin impératif de mettre des moyens face à ces menaces. Une demande qui est toujours en concurrence avec d’autres.

Second mot clé, « savoir ». Cela veut dire savoir anticiper sur les menaces, les risques qui peuvent survenir, avoir les bons outils pour détecter les signaux faibles susceptibles d’annoncer un risque. La veille, la détection au sens large, permettent d’avoir la bonne information. Lorsque l’information est détectée, elle doit être transmise rapidement à celui qui a la clé. Savoir, détecter, repérer, recueillir l’information, savoir la transmettre à la bonne personne au bon moment.

Le troisième mot-clé est « vouloir ». Il ne suffit pas de savoir, il ne suffit pas d’avoir les moyens, il faut avoir la volonté d’agir, la volonté de faire respecter les règles. A La Poste, il y a des règles, 40 directives de sécurité. Elles sont diffusées dans tout le groupe. Est-ce que l’on est sûr qu’elles sont toujours appliquées ? Non, on n’est jamais sûr que 260.000 personnes appliquent les règles ! L’enjeu est de faire en sorte que les règles mises en œuvre soient connues, comprises et appliquées.

Manager les risques…

Appréhender les risques en se projetant vers le futur, avec une anticipation réaliste, prioriser car il est impossible de tout traiter, suppose une appréciation des risques, de leurs impacts. Le management des risques, au sens large, c’est un vrai métier qui suppose une Gouvernance transverse dans l’entreprise.

Je termine par une citation de Maurice Levy, président du Groupe Publicis, que l’on avait invité pour les 40 ans du CIGREF : « Nos entreprises doivent devenir des maisons de verre, avec tout ce que cela comporte comme opportunités de collaboration et de partage mais aussi tous les risques correspondants ».

Towards a Zero Trust philosophy: a break in continuity for application security

Cigref has published a report on the work of its "Zero Trust" working group, led by Thierry Borgel, CIO of the ICADE group. Zero Trust is a development of IT security principles and a philosophy that organisations will need to adopt to strengthen the security of their...

Vers une philosophie Zero Trust : une rupture dans la continuité pour la sécurité des applications

Le Cigref publie, sous forme de rapport, les travaux de son groupe de travail sur le thème « Zero Trust », piloté par Thierry BORGEL, DSI du groupe ICADE. Le Zero Trust est une évolution des principes de sécurité IT et une philosophie que les...

Strategies for migrating IT to cloud computing: a strategic adventure for enterprise

Cigref has published a report on the work of its working group on "Cloud migration strategies", led by Jean-Christophe Lalanne, EVP IT at Air France KLM, and Stéphane Rousseau, CIO at Eiffage. The migration paths to the cloud are multiple, with many starting and...