Protéger ses actifs digitaux et gouverner ses risques cyber
La digitalisation est en marche. C’est une tendance qui s’accélère dans le monde entier et qui représente une opportunité pour les entreprises. En effet, elle influence les marchés, l’environnement, les individus et la société. Aujourd’hui, il est devenu beaucoup plus simple d’entamer des procédures administratives en ligne, de prendre rendez-vous ou encore de faciliter la gestion d’entreprise avec les progiciels de gestion intégrés. Mais la digitalisation ne s’arrête pas là. L’arrivée des NFTs (non-fungible tokens), qui sont des objets numériques comme une vidéo, une œuvre d’art, une image ou un fichier audio associés à une identité numérique et rattachés à un ou plusieurs propriétaires, a enflammé la toile. En mars dernier, l’artiste américain Beeple a vendu son œuvre numérique « Everyday : The First Five Thousand Days » 69,3 millions de dollars. Avec la numérisation, l’humanité a créé la 5ème dimension : le métavers, un monde virtuel fictif. Et cette frénésie continue lorsqu’on se penche vers l’actualité puisque NIKE vient d’acheter la marque de mode digitale RTFKT basée sur les NFT. Les investissements en actifs digitaux offrent de nouvelles perspectives de marché et deviennent très intéressants pour les entreprises.
Ainsi, la proportion et la valeur des actifs incorporels, y compris les actifs digitaux, continuent de croître fortement dans les organisations. Il devient difficile de les évaluer, d’estimer leur valeur et de les protéger.
L’existence de multiples actifs digitaux
Les cryptomonnaies ne sont pas les seuls actifs digitaux
Pour reprendre les paroles de Jamie Hopkins : “même si vous ne possédez pas de bitcoin ou une autre crypto-monnaie populaire, vous possédez probablement une monnaie digitale. Et en réalité, les monnaies digitales ne sont que la partie émergée de l’iceberg de votre trésor d’actifs digitaux.”
Alors cette déclaration ne vous éclaire sans doute pas davantage, mais ce que veut dire Jamie Hopkins, c’est que nous avons tous une carte de crédit, un compte client ou encore une carte de fidélité. Ainsi, les points de récompense offerts par un fournisseur de services ne sont pourtant pas assurés ni garantis par la fédération, mais ils ont une certaine valeur s’ils sont utilisés chez le fournisseur de services en question. Pour autant, la valeur de ces points de récompense n’est pas constante et ne peut pas être rapportée directement en francs suisses.
La valeur des actifs digitaux
Et ce n’est qu’une partie de vos actifs digitaux. Prenons désormais vos emails, réseaux sociaux, le site web de votre entreprise, vos logiciels, les applications que vous utilisez, ils ont nécessairement une valeur financière qui est déterminée par l’offre et la demande. Si vous êtes un groupe de concessionnaire automobile, votre base de données contient des contacts qualifiés d’artisans qui ont acheté ou sont intéressés par une camionnette. Ces informations pourraient intéresser un fabricant d’outillage.
Maîtriser son système de sécurité de l’information
Il est par conséquent très complexe d’estimer cette valeur et d’évaluer tous les actifs digitaux que vous ou votre entreprise possédez. Par ailleurs, la tendance du BYOD (Bring Your Own Device), le télétravail et l’utilisation d’objets connectés sont renforcés dans le contexte épidémique actuel. Il devient de plus en plus difficile pour les manager IT de maitriser son système d’information de bout en bout.
Les nouvelles technologies nous apportent de grands avantages, mais cela signifie aussi que nos données et nos applications sont désormais réparties sur de multiples sites, dont beaucoup ne font pas partie de l’infrastructure de notre organisation. Dans ce monde complexe et interconnecté régi par une dépendance numérique, aucune organisation ne peut considérer sa sécurité comme un problème isolé. Ainsi, si des processus pour les gérer ou une gouvernance ne sont pas mis en place, les failles s’élargissent et vos actifs digitaux seront exposés aux cyber attaques.
Les risques cyber menacent vos actifs digitaux
Les conséquences de la cybercriminalité
Une économie souterraine de la cybercriminalité a vu le jour, les organisations criminelles délaissant leurs activités habituelles pour se tourner vers la cybercriminalité à mesure que le rapport coût/bénéfice devient plus intéressant. La professionnalisation des sources de menaces a conduit à une sophistication accrue des outils techniques offensifs. Certains sont automatisés et déployés à grande échelle pour avoir un impact maximal, tandis que d’autres sont soigneusement adaptés à des cibles spécifiques de valeur pour échapper à la détection. En conséquence, les organisations sont plus exposées aux incidents de cybersécurité. Ceux-ci peuvent avoir des conséquences économiques considérables pour les organisations : perturbation de l’activité, pertes financières, poursuites judiciaires, frais juridiques résultant de la non-conformité, perte de données confidentielles ou personnelles, atteinte à la réputation, perte de la propriété intellectuelle, perte de confiance des clients, employés, actionnaires et partenaires.
Surveiller sa chaîne logistique cyber
Le risque cyber est donc de plus en plus élevé pour les organisations et peut aller jusqu’à mettre en péril leur survie et celle de leurs parties prenantes. En effet, ces risques ne se limitent pas à la seule organisation, mais concernent également les acteurs de la chaîne de valeur avec lesquels ils sont partagés. C’est ce que l’on appelle la “chaîne logistique cyber”. Une cyberattaque peut toucher plusieurs entreprises simultanément ou une entreprise peut servir de point d’entrée à une autre.
La mise en place d’une gouvernance mature
Les enjeux de la digitalisation
Quels que soient leur secteur d’activité, leur taille et leur situation, toutes les entreprises sont concernées et doivent reconsidérer leur modèle économique sous l’angle des nouvelles technologies. Cependant, elles ne sont pas égales face à ce changement. En effet, les opportunités et les risques cyber sont en forte corrélation avec le secteur, de la taille, les ressources financières et le savoir-faire de l’entreprise. En effet, un revendeur e-commerce n’aura pas les mêmes enjeux qu’une entreprise de construction. Pour autant, les risques cyber ne sont pas inexistant et ne doivent pas être négligés.
La cybersécurité : un sujet technique aux enjeux économiques
La cybersécurité n’était autrefois qu’un sujet “technique”. Aujourd’hui, les conseils d’administration ont de plus en plus besoin de démontrer aux investisseurs et au public que les risques cyber sont gérés, non seulement d’un point de vue technique, mais aussi d’un point de vue financier et de gouvernance. Sans compter que les membres du conseil d’administration deviennent également personnellement responsables de ces questions. En effet, l’évolution du risque cyber dans l’organisation engage désormais la responsabilité de l’exécutif quant à sa gestion et son traitement et cette responsabilité est accentuée par la réglementation. Cependant, l’implication de tous les employés et des parties prenantes ne doit pas être négligée puisqu’il s’agit du principal point d’entrée des problèmes cyber. Il devient obligatoire de pouvoir démontrer l’existence d’un processus de gouvernance mature qui prouve une durabilité des activités.
Téléchargez notre livre blanc pour en apprendre davantage sur la gouvernance des risques cyber. Nous vous expliquerons comment tirer le meilleur parti d’un système de gestion de la sécurité de l’information.
