Et vous, quand serez-vous attaqué ?

Et vous, quand serez-vous attaqué ?

Ce mercredi 18 juin, EY Nord de France propose une table ronde sur le thème des cyber-attaques avec les témoignages des dirigeants de GB&Smith, de Netasq et d’OVH. Et vous, quand serez-vous attaqué ?

D.R.

Aux Etats-Unis, il était l’un des PDG les plus puissants du secteur de la grande distribution. Son nom : Gregg Steinhafel. Le mois dernier, celui-ci a pourtant été contraint de quitter la direction de Target, chaîne qui compte près de 2 000 magasins sur le territoire américain. Motif : avoir ignoré les nombreux avertissements émis sur la vulnérabilité d’un système de sécurité considéré, après enquête, comme “archaïque”. En effet, attaqué régulièrement depuis 2005, ce système de sécurité n’a pas résisté à la dernière attaque : en décembre 2013, des hackers pénètrent le système informatique de Target et dérobent les données personnelles et financières de plus de 110 millions de clients ! Ce qui conduit de nombreuses banques américaines à devoir remplacer les cartes de crédits de leurs clients piratés. Coût de l’opération : des centaines de millions de dollars et de vives négociations à venir avec les compagnies d’assurances peu disposées, on s’en doute, à supporter la facture finale…

Impacts réels ou supposés. Cette histoire, la première probablement d’une longue série, témoigne de l’importance de la sécurité des systèmes d’information. Et, surtout, de la responsabilité des dirigeants lorsque ceux-ci sous-estiment les impacts, réels ou supposés. Alors qu’hier le thème de la sécurité informatique semblait confiné au service informatique des entreprises, ce sujet semble de plus en plus relever de la responsabilité directe des dirigeants. Comme une façon de signifier que les informations et leur protection se situent dans l’ADN des entreprises. Un actif qu’il convient de protéger comme on protège tous les autres actifs d’une entreprise. “Quand les cyber-attaques vont-elles impacter votre entreprise ?” C’est le thème d’une table-ronde proposée par EY, ce mercredi 18 juin, à Lille. Pourquoi un titre aussi ouvertement provocateur ? “Parce que de nombreuses organisations ont appris, souvent à leurs dépens, que les cyberattaques sont moins une question de ‘si’ que de ‘quand’, expliquent les organisateurs. La diffusion d’atteintes à la sécurité des systèmes d’information des entreprises a augmenté de façon exponentielle ces dernières années, autant en raison d’une activité accrue des hackers que du fait de la pression grandissante des autorités de régulation, qui demandent que soient rendus publics ces incidents. Chaque jour, dans le sillage des innovations technologiques, de nouveaux risques toujours plus complexes émergent, augmentant de façon significative la vulnérabilité des actifs des organisations.”

Les situations qui accentuent les risques. Aujourd’hui, 35% seulement des organisations voient leurs responsables de la sécurité de l’information présenter un rapport au comité de direction tous les trimestres, 43% indiquent que les budgets alloués à la sécurité de l’information sont en hausse et 68% citent les plans de continuité d’activité et les plans de secours comme leurs deux priorités majeures. Ces quelques chiffres sont tirés de “Cyber-attaques : comment les combattre ?” Réalisée annuellement par EY, cette étude met en garde : “Si chaque entreprise peut être la cible potentielle d’une cyber-attaque, certaines situations accentuent encore davantage ce risque : changement organisationnel ou structurel majeur ; fusion ou acquisition qui impliquent de nouvelles politiques et processus à harmoniser ; entrée sur de nouveaux marchés, qui s’accompagne souvent de réglementations et d’usages différents; atteintes ponctuelles à l’image de l’entreprise, qui focalisent son attention et demandent des réponses en urgence, pouvant créer de multiples portes d’entrée pour les cybercriminels.” Et EY de proposer dix bonnes pratiques parmi lesquelles il faut retenir le soutien fort de la direction, la diversification des compétences des collaborateurs ainsi que la fiabilité des analyses et des reportings. “Des progrès significatifs restent encore à faire, surtout quand on sait que le volume de cyber-attaques encore inconnues des entreprises continue de croître de façon exponentielle, notamment avec l’émergence de nouvelles technologies de plus en plus complexes à maîtriser. Pourtant, ce sont ces mêmes technologies en cours de développement qui seront indispensables aux équipes marketing et relation client pour soutenir les ventes dans un contexte de crise. Les dirigeants doivent appréhender la sécurité de l’information comme une réelle opportunité, bénéfique pour l’entreprise comme pour le consommateur final. Ils ne doivent plus seulement avoir conscience des cyberattaques mais voir plus loin, devenir proactifs. En un mot, être visionnaires”, peut-on lire dans cette étude. Qui conclut : combattre les cyber-attaques nécessite un engagement au plus haut niveau et un dispositif complet. Sur le sujet, il sera donc intéressant d’écouter trois dirigeants d’entreprises régionales particulièrement sensibles à la gestion des risques – GB&Smith, Netasq et OVH – répondre à cette question : Et vous, quand serez-vous attaqué ?

Trois dirigeants régionaux témoignent

Lors de cette table-ronde, trois dirigeants d’entreprises régionales apporteront un éclairage particulièrement utile sur la gestion des risques :

– Sébastien GOIFFON, directeur général de GB&Smith.

– François LAVASTE, président du directoire de Netasq.

– Thibaud SAUDRAIS, responsable qualité groupe chez OVH.

Avec la participation de Pascal ANTONINI (associé EY Paris), Antoine MOITTIÉ (associé et directeur du bureau EY Nord de France) et Christian OLIVIER (associé EY Nord de France). Conférence-débat, mercredi 18 juin 2014, de 18h30 à 20h30 (accueil dès 18h15). EY Nord de France, 14, rue du vieux faubourg, 59000 Lille (à proximité de la gare Lille-Flandres). Contact : Catherine Andrzejewski (catherine.andrzejewski@fr.ey.com).

D.R.