La cybersécurité et le net

Il ressort des six scénarios globaux de l’étude une série d’enjeux et de recommandations transversales liés aussi bien à l’organisation interne des entreprises, qu’à leurs relations avec les parties prenantes.  Accompagner le changement du métier de RSSI : dans la majorité de nos scénarios, le cyberespace occupe une place de plus en plus importante dans la société et donc dans les entreprises. Ainsi, les domaines de compétences des RSSI pourraient s’élargir. En effet, si l’ensemble des directions ou des services de l’entreprise intègrent une dimension cyber à leur activité, le RSSI pourrait voir s’ajouter à ses fonctions sécuritaires une dimension stratégique qui engloberait la cybersécurité, mais également la cyberdéfense et la mise en place d’une cyberstratégie économique. Le RSSI deviendrait ainsi le responsable de la stratégie des systèmes d’information. Les questions de protection et de valorisation des données seraient au cœur de cette cyberstratégie. Ainsi, d’un service souvent cloisonné et parfois en marge des autres départements de l’entreprise, la SSI pourrait occuper une place plus centrale dans la stratégie et œuvrer de concert avec les autres services de l’entreprise. Il faut donc créer les conditions favorables à cette synergie et former les RSSI à ces compé- tences élargies.  Garder un contrôle de la cybersécurité en interne : plusieurs des scénarios mentionnent une perte de contrôle totale ou partielle des entreprises sur leur propre cybersécurité, soit parce qu’elles n’ont pas les compétences pour la traiter en interne, soit parce qu’un acteur a pris une importance croissante et a acquis le monopole sur cette activité (on pense ici à Google par exemple). En outre dans un cadre où de nombreuses entreprises font appel à des prestataires externes pour leur cybersécurité, il appartient d’être particulièrement vigilant sur le choix de ces partenaires, d’autant plus que le marché apparaît dominé par des acteurs non européens (américains ou israéliens notamment) dont les liens avec leur État sont parfois marqués. Pour éviter ce genre de désagrément, les entreprises doivent multiplier les dispositifs leurs permettant de maîtriser la chaîne de valeur. Les entreprises peuvent travailler en collaboration avec les pouvoirs publics pour développer des solutions informatiques sécurisées et labellisées, mettre en place un système efficace de contrôle des infrastructures (audit) : pour cela, la collaboration avec des intermédiaires entre entreprise et État comme l’ANSSI est cruciale. Les offres de cybersécurité doivent être coconstruites par les entreprises et les États, elles doivent concerner l’ensemble de la chaîne de production afin d’inspirer de la confiance au client final.  Faire de la donnée un élément central de la stratégie des entreprises : nous l’avons vu tout au long de nos travaux, la gestion de la donnée (protection et / ou valorisation) occupera une place cruciale dans les stratégies d’entreprises. Ainsi, les entreprises devront s’intéresser aux nouveaux métiers liés à la donnée (chief data officer, data scientist, etc.), réfléchir à l’insertion de ces nouveaux métiers dans leur organisation actuelle. Pour cela, elles devront créer un référentiel de compétences au sein de l’entreprise qui lui permettrait de chiffrer ses besoins actuels et à venir. La mise en place de ces nouvelles compétences au sein de l’entreprise pourrait lui permettre d’obtenir une cartographie précise de ses données mais également des différentes manières possibles de les valoriser ; ceci allant jusqu’à la transformation du business model de l’entreprise autour de ces dernières.  Mettre en place des plates-formes d’information et des outils d’alerte des agressions cyber : dans le domaine du cyber, nous avons vu que les entreprises et les États travaillaient souvent de manière isolée à la détection et à la résolution des problèmes et des failles causées par les cyberagressions. La mise en place de plates-formes d’information communes entre entreprises d’un même secteur, mais également entre les entreprises et l’État, permettrait d’avoir une vision plus globale des cybercriminels, d’identifier plus facilement les données sensibles (celle qui sont recherchées par les cybercriminels), d’élaborer des systèmes de protection communs, d’améliorer la détection des agressions et de trouver plus aisément la source de ces agressions. Ces plates-formes aideraient également l’État à mettre en place une stratégie de cyberdéfense voire de cyberagression plus élaborée.  Pour plus d'informations, allez sur le site de l'agence de création de site internet à Lyon et trouvez toutes les informations.