Corporate Finance, DeFi, Blockchain, Web3 News
Corporate Finance, DeFi, Blockchain News

Accenture : les entreprises et la Cyber Sécurité

Entretien avec Stéphane Geyres, responsable de l’activité conseil et services en Cyber Sécurité d’Accenture pour la France.


Stéphane Geyres
Stéphane Geyres
Stéphane Geyres bonjour, vous êtes responsable de l’activité conseil et services en Cyber Sécurité d’Accenture pour la France. Accenture semble renforcer sa présence en cyber sécurité via cette étude récente sur ce thème, pourquoi maintenant ?

« La sécurité a toujours été essentielle aux entreprises, de même qu’elle a toujours été au cœur de nos services. Néanmoins, cette étude répond au bruit considérable que la cyber sécurité fait dans les entreprises depuis environ 3 ans, se hissant en tête des priorités de la C-suite. Le Cloud, le Big Data, l’Internet des objets (IoT), l’Internet industriel des objets (IIoT) et la transformation digitale qui s’opère actuellement sont autant de phénomènes qui imposent aux entreprises de repenser et d’améliorer profondément leur sécurité. Cette étude montre notamment qu’il existe trop souvent un défaut de perception des enjeux de sécurité. Elle dresse aussi un bilan des approches efficaces face à d’autres déjà dépassées et apporte des conseils sur la base de pratiques innovantes mises en place dans certaines entreprises pour améliorer de manière significative leur cyber sécurité. »

Les entreprises ont-elles conscience des enjeux de sécurité ?

« Oui, les entreprises ont conscience des enjeux de sécurité, mais pas toujours de la réalité, ce qui entraîne souvent la mise en place d’actions insuffisantes. La réalité, c’est à quel point les systèmes peuvent être fragiles alors qu’on les croit forteresses. D’ailleurs selon Forrester, cette année pas moins de 60% des entreprises vont découvrir une faille dans leur système de sécurité. Dans un environnement toujours plus global, mobile et collaboratif, où les attaques sont constantes et de plus en plus sophistiquées, il ne s’agit plus de colmater les brèches, mais de transformer profondément sa sécurité pour résister sur la durée. Or, seules 42% des entreprises classiques ont apporté des modifications significatives en matière de sécurité quand 68% des entreprises en pointe ont modifié leur approche ces dernières années pour lutter plus efficacement contre le phishing, les attaques persistantes et les logiciels malveillants. L’entreprise digitale doit impérativement être une entreprise sécurisée, ou elle ne sera pas. Pour cela, elle doit repenser sa sécurité. Les stratégies doivent dépasser la simple protection pour jouer de la dissuasion à la résistance. Cela pour pouvoir espérer exploiter de façon sécurisée tout le potentiel lié aux nouvelles technologies. En même temps, la sécurité doit être une sécurité utile, efficace et évolutive. Elle doit s’imposer dans l’entreprise comme une des clés de l’adaptation aux besoins business, aux évolutions du marché, aux technologies émergentes et à la société ouverte. »

Dans votre étude, vous classez les entreprises en deux catégories : les entreprises dynamiques et innovantes en matière de sécurité (Leapfrog companies) et celles plus attentistes, voire littéralement « à la traîne » (Laggard companies). Quelles sont leurs principales différences ?

« Ces deux catégories sont issues d’une recherche assez large sur le terrain, où nous avons cherché à identifier ce qui « marche ». Les résultats montrent des choix très différents entre ces deux catégories en matière de sécurité, notamment au niveau de la stratégie, de la vision technologique et de la gouvernance. »

« Contrairement aux entreprises classiques qui assimilent la sécurité comme n’étant une priorité business qu’à 45%, les entreprises en pointe sont 69% à en être convaincues. Elles sont aussi 63% à aligner leurs objectifs de sécurité sur leurs objectifs business contre seulement 40% pour les plus classiques. C’est un point crucial et déterminant relevant de la stratégie d’entreprise. Placer la sécurité à un niveau business permet d’en faire la priorité dont l’entreprise a besoin. Il est alors plus facile d’engager la C-suite, d’amener le sujet au comité de direction et de débloquer des budgets à la mesure des enjeux. Ainsi, 81% des entreprises novatrices ont un budget dédié au programme de sécurité, contre 64% pour celles plus en retrait. Elles sont aussi plus attentives aux innovations en matière de sécurité et osent de nouvelles approches en collaborant avec des unités de R&D, des universités, des start-ups … »

« La vision technologique est le second axe qui marque la rupture entre les deux types d’organisations. Les entreprises novatrices voient dans les technologies émergentes (cloud, mobile, réseaux sociaux…) des opportunités nouvelles et des outils de pointe pour mieux sécuriser leurs réseaux et leurs données. Elles sont 62% à déléguer à des tiers la gestion de leur sécurité avec l’objectif de bénéficier des technologies et savoir-faire les plus avancés, et de s’appuyer sur des experts toujours plus rares sur le marché. Seules 47% des entreprises plus classiques osent externaliser en matière de sécurité, préférant les infrastructures internes plus anciennes.

Avant de réaliser des choix technologiques, il est important d’évaluer l’efficacité des adaptations qui amélioreront la sécurité en s’appuyant à la fois sur l’existant et sur les dernières technologies. Il s’agit de trouver le bon équilibre d’entreprise entre à la fois la rigueur, l’agilité et l’adaptabilité dont elle a besoin pour répondre à ses exigences business et ses impératifs de sécurité. »

« Enfin, la gouvernance est sans doute une autre marque distinctive importante dans la façon dont ces deux types d’entreprises gèrent leur sécurité. Si les entreprises les plus classiques ont un CISO (Chief Information Security Officer), il a davantage de responsabilités et de moyens au sein des entreprises les plus en pointe. Dans 71% des entreprises novatrices, le CISO reporte au plus près du CEO, contre 58% dans les plus classiques. Là encore, c’est un point décisif, car pour orchestrer de manière efficace la sécurité de l’entreprise, le CISO doit avoir les moyens décisionnels, les talents (internes et externes), les outils (benchmark, métriques, gestion des risques) et pouvoir discuter au plus haut niveau de l’entreprise, sans quoi il ne pourra pas coordonner les résultats opérationnels attendus. »

Selon vous, comment les entreprises peuvent-elles vraiment améliorer leur sécurité ?

« En assimilant deux idées importantes. La première est que la sécurité doit être au service du business et que pour cela, il est essentiel que leurs objectifs de sécurité soient alignés sur leurs objectifs business, pour répondre à un environnement de plus en plus mobile, collaboratif et global. La deuxième idée est que les technologies émergentes sont celles qui permettent de se libérer des infrastructures complexifiées avec le temps pour mieux protéger l’entreprise digitale contre des attaques de plus en plus sophistiquées. »

Quels conseils pourriez-vous leur donner ?

« Ne pas perdre de vue que la sécurité est une priorité business et que contrairement à ce que l’on pourrait penser, la cyber sécurité est avant tout un sujet stratégique avant d’être un sujet technologique. Il faut donc d’abord élaborer la stratégie de sécurité qui réponde aux enjeux business, avant de faire les choix technologiques adéquats. »

« Cinq étapes devraient guider leur réflexion. On constate souvent des écarts entre la perception de la C-suite et la réalité du niveau de sécurité. Il s’agit donc en premier lieu de s’assurer que la perception du risque qu’a la C-suite est bien conforme à la réalité, afin d’identifier les moyens de sécurité qui conviennent et allouer les budgets adéquats. Il est également important d’adopter une posture proactive en matière de sécurité et rester attentif aux innovations, afin d’anticiper les risques qui leur sont propres. Il s’agit aussi de s’appuyer sur les nouvelles technologies pour en tirer autant de sources de nouvelles protections. Il faudra également aligner les objectifs de sécurité sur les objectifs business. Enfin, les moyens (financiers, techniques, humains) du CISO doivent être en ligne avec son rôle de coordinateur de la stratégie de sécurité, qu’il reportera au plus près du CEO. »

« Il est temps de modifier l’approche de la sécurité et de faire des choix de gouvernance et technologiques permettant d’exploiter pleinement le potentiel du Big Data et des objets connectés. »


Stéphane Geyres, je vous remercie et vous donne rendez-vous très prochainement dans un nouveau numéro de Finyear.


Etude « The Cyber Security Leap: From Laggard to Leader » menée par Accenture en collaboration avec le Ponemon Institute LLC.
Lien vers l'étude




© Copyright Finyear. Propos recueillis par la rédaction de Finyear.


Lundi 22 Juin 2015




OFFRES D'EMPLOI


OFFRES DE STAGES


NOMINATIONS


DERNIERES ACTUALITES


POPULAIRES