Le 22e CEO Survey de PwC montre que les entreprises suisses reconnaissent l’importance du progrès technologique et de la numérisation. Dans le même temps, elles prennent aussi acte des défis majeurs liés à la protection des données. Elles sont conscientes du danger des cyber-risques, mais s’emploient encore trop peu à augmenter leur cyber-résilience.
Plus de 1350 hauts dirigeants de plus de 90 pays se sont exprimés dans notre sondage, notamment sur la numérisation et les thèmes qui s’y rattachent, comme la protection des données et la cyber-résilience. Pour 90% des dirigeants des entreprises suisses, le progrès technologique est l’un des trois principaux moteurs de leur activité économique (illustration 1). Mais il s’accompagne aussi de défis, notamment concernant la protection des données et la cybercriminalité. Les entreprises suisses se doivent de prendre des mesures fortes.
Opportunités et dangers de la numérisation
Une chose est claire pour les CEO suisses interrogés : la numérisation est extrêmement importante pour le positionnement de leur entreprise par rapport à la concurrence internationale et pour la place économique suisse. Les entreprises qui sont passées au numérique profitent par exemple de robots logiciels pour automatiser les processus répétitifs, ou optimiser un portefeuille de services et de produits par des outils intelligents d’analyse de données, ou encore pour gérer des activités de marketing par de multiples canaux de communication
Illustration 1 : classement des tendances mondiales qui ont le plus fortement modifié l’environnement des affaires ces cinq dernières années.
La transformation numérique peut par conséquent déboucher sur des avantages concurrentiels majeurs. Pour dire les choses clairement, si une entreprise veut continuer d’exister sur le marché, sa transformation numérique n’est pas facultative mais est impérative. Et cela vaut quelle que soit la taille de l’entreprise ou le secteur dans lequel elle opère.
63 % des CEO suisses interrogés se disent donc inquiets lorsqu’il s’agit de changements technologiques. Car de nombreux défis, notamment ceux relatifs à la sécurité des données, sont liés à des processus de transformation numériques. On peut citer dans ce contexte la protection contre les cyberattaques toujours plus complexes, la pénurie de spécialistes de la sécurité informatique ou l’insuffisance des budgets informatiques.
Les cyberattaques deviennent toujours plus complexes
Les CEO suisses sont conscients de l’exercice d’équilibre auquel ils doivent se livrer entre l’ouverture au numérique et la protection contre les cybermenaces. 80 % estiment être exposés à des préjudices en cas de cyberattaques (illustration 2), contre 72 % dans le monde. En comparaison internationale, les CEO suisses font donc preuve d’une prise de conscience plus élevée concernant la cybermenace.
Figure 2: Assessment of potential impairment by geopolitical cyber-activities.
Cette prise de conscience plus élevée pourrait s’expliquer par la couverture médiatique intense des attaques lancées contre des entreprises suisses. Comme dans le rapport sur la cyberattaque contre l’entreprise d’armement RUAG en 2016. A la fin, les enquêtes ont été suspendues après plus de deux ans sans avoir donné de résultats.
Le problème, c’est que les attaques menées par des groupuscules étatiques ou des individus isolés s’appuient sur un écosystème de plus en plus sophistiqué. Ainsi, dans le passé, des groupes de pirates comme « The Shadow Brokers » ont piraté des services de presse pour détourner des informations et les publier sur Internet.
Des organisations criminelles ou des pirates sont ainsi parvenus, sans grandes connaissances, à utiliser des outils sophistiqués, qui avaient été élaborés par la NSA. Les attaques contre les systèmes informatiques sont souvent menées au moyen de piratages techniques ou par de l’ingénierie sociale ou « social engineering ».
La Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) de l’administration fédérale suisse ainsi que les analyses annuelles réalisées par Swisscom ou Switch donnent un premier aperçu des dangers actuels.
Les cyberattaques représentent des risques réglementaires, financiers et économiques pour les entreprises. Etant donné la mise en réseau numérique croissante, les clients, les collaborateurs ou les fournisseurs peuvent aussi être victimes d’un vol de données. Il peut en résulter une perte de confiance et de réputation importante, autre raison qui pourrait expliquer la prise de conscience élevée des cyber-risques par les CEO suisses.
Les CEO sont conscients de ce problème. À l’échelle mondiale, ils considèrent les cyberattaques comme l’une des cinq plus grandes menaces en 2019 (illustration 3). Ainsi, les cybermenaces figurent en bonne place sur la liste des 10 dangers possibles, avant l’instabilité géopolitique, le protectionnisme ou le terrorisme.
Illustration 3 : 10 principales menaces contre la croissance 2019
Cinq étapes pour renforcer la cyber-résilience
La cyber-résilience désigne la capacité de résister aux cybermenaces par la mise en place de mesures préventives et rapides. Elle devrait donc être inscrite comme priorité majeure dans la structure d’entreprise. Or, seuls 60 % des CEO suisses estiment que leur propre entreprise est cyber-résistante. À l’échelle mondiale, ils sont 75 % à être de cet avis, pourcentage que nous estimons trop optimiste au vu de notre expérience quotidienne (illustration 4). Malgré la prise de conscience au sujet des cybermenaces, les mesures de protection et de réaction des entreprises suisses ont tendance à être insuffisants, bien souvent pour des raisons de coûts.
Illustration 4 : estimation de la cyber-résilience
Pour maîtriser les cyberincidents, les entreprises requièrent une capacité de détection rapide, des processus et des plans de réaction qui garantissent un comportement structuré et efficace en cas de problème. Pour exécuter des actions prédéfinies de manière efficace et ciblée, même sous la pression, les rôles et les compétences doivent être clairement définis et entrainés régulièrement.
Conformément à la Norme minimale pour les TIC de l’Office fédéral pour l’approvisionnement économique du pays (OFAE) et selon le National Institute of Standards and Technology (NIST), la cyber-résilience est divisée en cinq phases qui se déroulent de manière cyclique:
- Identifier (Identify): la base de la cyber-résilience réside dans un cadre de référence stratégique, qui comprend l’inventaire des bases de données, des systèmes et des appareils, ainsi que l’évaluation de leur caractère critique. Une gouvernance claire définit les responsabilités, tandis que la gestion des risques comprend les étapes de processus détaillées permettant d’identifier, d’évaluer et de limiter les cyber-risques.
- Protéger (Protect): cette phase sert à mettre en place et à tester des solutions permettant d’éviter les cybermenaces. Exemples: une gestion des accès basée sur les rôles, avec une administration rigoureuse des autorisations; des solutions de sécurité avec des fonctions de rétablissement; ou des formations de sensibilisation des collaborateurs. La place la plus importante est attribuée à la protection des données sensibles.
- Détecter (Detect): la surveillance active des informations liées à la sécurité et un système d’alarme pour les cybermenaces garantissent une détection rapide des anomalies et des incidents. Il faut pour cela non seulement des outils techniques mais aussi des collaborateurs ayant des compétences spécialisées, ainsi que des processus définis.
- Réagir (Respond): en cas d’incident de sécurité, l’entreprise doit réagir rapidement et de manière ciblée pour éviter les pertes de données et, partant, des dommages financiers et des atteintes à la réputation. Cette phase comprend par exemple l’isolation des réseaux concernés et des utilisateurs, la suppression des erreurs, la distribution de correctifs (« patchs ») pour les micrologiciels, le système d’exploitation, les applications, les pilotes et le matériel, ainsi que la communication de crise correspondante. Pour limiter les dommages, cette phase doit également définir clairement les responsables et les étapes des processus.
- Rétablir (Remediate): les systèmes et les données qui ont été perturbés par une attaque doivent être rapidement rétablis. Une stratégie de rétablissement est donc indispensable pour réduire l’incidence d’une attaque sur l’activité quotidienne. Cette stratégie définit par exemple l’utilisation d’outils permettant de vérifier le rétablissement, le processus de collecte de preuves ou la vérification de l’intégrité de la sauvegarde.
La cyber-résilience est un processus cyclique. L’attaque est analysée en rétrospective et les conclusions obtenues sont intégrées à l’actualisation du cadre de référence stratégique pour la cyber-résilience.
Illustration 5 : cycle de la cyber-résilience
Augmenter votre cyber-résilience avec PwC
Bien que les cybermenaces soient bien réelles, la cyber-résilience est encore trop peu intégrée dans la stratégie et les structures des entreprises. Comme il est difficile pour l’entreprise de déterminer ce qui coûterait le plus cher entre un investissement dans la cybersécurité et l’ampleur et les conséquences d’une attaque, les mesures de protection nécessaires ne sont souvent pas prises.
Nous observons la tendance à délocaliser les infrastructures destinées à la sécurité informatique et à contracter de plus en plus d’assurances contre les cyber-risques. Mais attention, cette externalisation ne transfère pas la responsabilité, laquelle continue d’incomber à l’entreprise. C’est pourquoi les entreprises doivent prendre des mesures adaptées et nouer des partenariats pour se conformer aux exigences réglementaires relatives à la cybersécurité et à la protection des données. En vertu des lois suisse et européenne relatives à la protection des données, les données personnelles notamment requièrent une protection appropriée. Les données d’affaires et les secrets d’affaires quant à elles peuvent être protégées par une approche basée sur les risques.
Les entreprises doivent donc améliorer leur capacité de résistance face aux cyberattaques. Afin d’augmenter leurs maturités, elles peuvent commencer par analyser systématiquement leurs propres capacités, identifier les données clés de l’entreprise qui doivent être protégées et la nature de cette protection. L’OFAE propose pour cela une checklist.
Pour vous aider, PwC a élaboré un questionnaire d’autoévaluation que vous trouverez sous: www.pwc.ch/care. Ce questionnaire en ligne vous permettra d’évaluer votre exposition aux cyber-risques et la maturité de vos contrôles de sécurité. Nous avons basé nos contrôles sur la Norme minimale pour les TIC publiée par l’OFAE. Les faiblesses mises en évidence pourront servir de base de décision pour améliorer votre cyber-résilience.
