La cybersécurité est actuellement l’une des préoccupations les plus pressantes des cadres dirigeants (cf. Édition suisse «24th Annual CEO Survey», PwC, 2021). Jamais encore les médias n’avaient autant parlé des cyberattaques et de leurs conséquences financières qu’en 2020, l’année de la COVID-19. Différentes raisons qui se sont intensifiées et mutuellement renforcées avec la pandémie expliquent pourquoi le sujet est aussi brûlant. Les études de PwC mettent l’accent sur l’importance accrue accordée aux cyber-risques et sur la volonté d’investir dans la cybersécurité.

Bilan

La COVID-19 a obligé les entreprises à mettre en place le télétravail, le travail à distance et de nouvelles formes de collaboration. En conséquence, ils ont dû se dépêcher de mettre à niveau et d'adapter leur environnement informatique. Dans le cadre de ce processus, de nombreuses entreprises sont souvent passées au cloud, précisément dans le cadre de la numérisation. Cela signifie des interfaces nouvelles et supplémentaires avec les plateformes, les applications et les bases de données existantes. Les nouvelles possibilités offertes invitent à collecter, agréger et traiter plus de données. Il n’est pas rare ici que des processus usuels d’assurance qualité et de contrôle soient supprimés au profit du facteur temps.

Au fil de cette exploration numérique, des points faibles et des failles de sécurité ont été crées – une opportunité bienvenue pour les cybercriminels. Ces derniers se sont d’ailleurs professionnalisés au cours des derniers mois. Au-delà des nouvelles technologies, ils exploitent de plus en plus la décentralisation actuelle du travail, les environnements inhabituels et l’inattention ou les faiblesses des collaborateurs.

Des évolutions potentiellement bénéfiques

La transformation numérique accélérée par la COVID-19 a ouvert de nouvelles opportunités aux entreprises tout en leur posant de nouveaux défis. Avec la pandémie, de nombreuses entreprises ont reconsidéré en profondeur leur façon de faire des affaires et la structure de leur clientèle. Le commerce en ligne est en plein essor, ceux qui fournissaient jusqu’à présent les détaillants et les distributeurs traditionnels vendent désormais directement aux particuliers ; les offres analogiques ont été complétées par des offres en ligne et la livraison à domicile est devenue la norme. La plupart ont adapté leur relation avec leurs clients à leurs habitudes de communication et de consommation. Les innovations se concentrent actuellement principalement sur les solutions numériques. Les domaines d'activité et les technologies nouvellement acquis resteront à long terme et fourniront de solides ventes supplémentaires. Et avec ces derniers, ce sont les thèmes de la sécurité et de la protection des données qui sont à l'ordre du jour.

Des tendances avec un impact à long terme

S’intéresser à trois évolutions modernes majeures permet d’anticiper ce qui distinguera l’ère post-COVID. Ces évolutions qui ont transformé durablement l’univers des entreprises et ainsi l’environnement en ligne vont dicter le nouveau contexte.

a) Le pouvoir des données

Une concurrence sans merci pour détenir les bonnes données et exploiter leur valeur ajoutée fait actuellement rage. Les services cloud, les modèles infrastructure/ plateforme/logiciel /fonction en tant que service ou encore l’accès à distance aux appareils ne sont que quelques exemples des marqueurs technologiques de cette tendance. Suite aux confinements et aux multiples assouplissements des restrictions liées à la COVID-19 – combinés aux nouvelles possibilités technologiques – les entreprises collectent plus de données clients que jamais. Avec le passage du B2B au B2C, elles se retrouvent confrontées à une multitude de nouveaux canaux de communication et d’appareils mobiles par lesquels les données sont échangées. Les technologies correspondantes, telles que l’analyse de données ou l’apprentissage automatique d’intelligence artificielle révèlent la valeur ajoutée de ces big data ; par exemple pour créer des publicités ou des offres personnalisées qui correspondent parfaitement au profil des clients potentiels. 

Ce pouvoir des données augmente d’une part le risque d’abus et attire d’autre part davantage les cybercriminels. Les hackers se délectent des nouvelles applications, telles que celles pour mobiles. Ce n'est pas l'application directement qui est attaquée, mais le « middleware » par l’intermédiaire duquel elles accèdent aux informations de l’entreprise. Les incidents actuels révèlent à quel point ces interfaces élaborées dans l’urgence ont été mal mises en place et simplifient la tâche des voleurs de données. Pour le prestataire, c’est une question de « fonction prévue », pour le hacker de « tout ce qu’il peut alors faire » avec. Les dispositifs ou les concepts de protection inadaptés ou les contrôles défaillants conduisent à des détournements : c’est précisément là que les cybercriminels s’engouffrent pour s’emparer de données ou profiter abusivement de services.

b) Bouleversement culturel

Les évolutions induites par la pandémie modifient la manière de concevoir les prestations proposées sur le marché et ainsi l’ensemble de la culture des entreprises. Recourir à des services en nuage, acheter des applications standard plutôt que de les programmer en interne, présenter de nouvelles plateformes pour de nouvelles prestations, tout cela implique également une refonte culturelle. Il est alors nécessaire pour l’entreprise de posséder les capacités et les compétences spécifiques correspondantes, soit en payant cher, soit en développant en interne grâce à des programmes de formation. 

Dans le même temps, le rapport au client évolue. Il ne s’agit plus nécessairement d’un client commercial, mais souvent d’un particulier avec des besoins émotionnels et sa propre façon de communiquer. Si le réservoir d’acheteurs potentiels s’élargit, les attentes changent aussi : les applications doivent être simples, rapides, « sexy » et conviviales. La sécurité, quant à elle, est généralement « peu sexy ». La décision d’achat moderne se prend aujourd’hui en cliquant et de moins en moins au point de vente (POS). 

c) La régulation est un frein à la transformation numérique

Les évolutions techniques, telles qu’Internet, le courrier électronique, la téléphonie mobile, les vidéoconférences ou les méthodes de paiement électroniques, ont déjà offert de nouvelles possibilités de collecte de données avant même la forte progression de la numérisation due à la COVID-19. Au cours des dernières années, les législateurs ont ainsi renforcé les dispositions relatives à la protection des données, notamment avec le règlement général sur la protection des données européen (RGPD UE) ou avec la révision de la loi suisse sur la protection des données (LPD). 

Ces prescriptions réglementaires peuvent aller à l’encontre de la rapide transformation de l’activité économique dont les méthodes et technologies numériques sont en constante évolution. En particulier avec l’utilisation des services cloud ou la location d’applications numériques (p. ex. en recourant à l’externalisation, ou au « software as a service »), les entreprises doivent veiller au respect de la législation sur la protection des données à tous les niveaux impliqués dans la création de valeur - après tout, elles sont responsables des données de leurs clients. 

Retour vers le futur

De nombreuses transformations (numériques) que la COVID-19 a provoquées vont subsister, surtout les plus prometteuses. Les entreprises ont encore du travail pour permettre le retour à la normale.

• Eu égard à l’extension du numérique, les décideurs doivent placer la protection et la sécurité de leurs données au cœur de leurs préoccupations. En tant qu’entreprise, quelles sont les données que je traite et comment les protéger tout au long de mes processus opérationnels ? Il est nécessaire de posséder une vision axée sur les données de l’interaction entre la transformation de l’activité, la sécurité et le savoir-faire dans le monde numérique. En d’autres termes, ceux qui transforment leur entreprise doivent concilier activité économique, technologies et compréhension de la protection et de la sécurité des données. Pour remplir cette mission, il peut être intéressant de faire appel ponctuellement à des experts externes.
• La pression exercée par les régulateurs pour que les données soient traitées de manière consciencieuse et conformément aux réglementations est de plus en plus forte, et ce d'autant depuis la pandémie. Les défaillances qui ont été tolérées lors du premier confinement ne sont plus acceptables aujourd’hui et sont déjà exploitées par des cybercriminels rusés. Les entreprises sont donc contraintes d’associer plus étroitement leur organisation de la sécurité à leur activité commerciale et de faire de la cybersécurité une base de gouvernance et de compliance pour la direction et les départements tels que le service juridique, les ressources humaines ou la gestion des risques. La conformité avec les différentes réglementations en lien avec la protection des données doivent également être prises en compte.
• Au vu de la complexité et de la vitesse d’évolution du sujet, il n’est pas étonnant que de nombreuses entreprises ne sachent pas exactement ce qu'elles sont autorisées à faire avec les données, ni de quelle manière. Nous recommandons ici de mettre en place des programmes bien conçus de mise à niveau des compétences afin de permettre aux collaborateurs de maîtriser les outils numériques et les questions de sécurité. Les entreprises devraient en outre repenser leur leadership et le travail en équipe. Elles pourront ainsi exploiter au maximum le potentiel de leurs outils collaboratifs et augmenter à la fois la motivation et la contribution individuelle à la sécurité des personnes concernées.
• La cybersécurité n’est ni un sujet informatique ni une fin en soi, mais un des éléments permettant aux entreprises d’aborder l’avenir avec clairvoyance. Une cyber-résilience conçue à long terme permet aux entreprises de se prémunir contre les cyberattaques. Cette résilience résulte d’un cycle de détection des menaces (identification), de mesures de protection appropriées (protection), de contrôles de surveillance (détection) ainsi que de la capacité à gérer les incidents (réaction) pour finalement en sortir renforcé (restauration). C’est précisément dans le domaine de la surveillance que le bât blesse pour les entreprises suisses. Le passage à une prestation de services et une possession des données hybrides (dans leur propre centre de données et dans le cloud) complique la surveillance, principalement la mise en corrélation. Pour réussir, les responsables doivent définir leur dispositif de sécurité en fonction des dommages propres à l’activité en ligne et impliquer aussi bien les partenaires que les fournisseurs d’accès.