SlideShare une entreprise Scribd logo
1  sur  7
Télécharger pour lire hors ligne
Entreprises et cybersécurité
à l’horizon 2020
Synthèse de l’étude
menée en 2013-2014
Le CIGREF s’est associé à Futuribles International pour mener cette étude, avec la
participation et les contributions de grandes entreprises.
Elle a été réalisée en souscription. Les résultats complets sont donc réservés aux
entreprises contributrices.
Cette synthèse présente les principales recommandations formulées au sein de
l’étude globale.
Directeurs d’étude : Cécile Wendling puis François de Jouvenel,
et Nicolas Mazzucchi
Conseiller scientifique : Olivier Kempf
© Futuribles International, Paris, janvier 2015. Tous droits réservés.
Association Futuribles International • 47 rue de Babylone • F-75007 Paris
Tél. + 33 (0)1 53 63 37 70 • Fax + 33 (0)1 42 22 65 54
E-mail mailto:mbprivey@futuribles.com• Site Internet www.futuribles.com
Le mot du Président du CIGREF
Construire une vision des enjeux stratégiques et des défis
managériaux auxquels sera confrontée l’entreprise à l’horizon 2020,
telle est l’ambition de notre dernière publication. Parmi ces 9 enjeux
et défis, la maitrise des nouveaux risques numériques est au cœur de
la transformation numérique de nos entreprises.
Investir pour préserver la sécurité et la compétitivité
S’il s’agit avant tout de tirer parti du numérique pour augmenter la compétitivité des entreprises, les
risques numériques doivent dès lors être considérés à l’aune de la stratégie. La sécurité numérique fait
partie intégrante du plan numérique de l’entreprise. Si l’on admet que la sécurité des flux est
fondamentale pour la compétitivité des entreprises, l’investissement dans la sécurité des systèmes
d’information devient alors une véritable priorité.
Redéfinir la création de valeur
La numérisation du business amène le système d’information à être directement impliqué dans la
chaîne de valeur. Avec la « servicisation » et l’ouverture des entreprises sur leur écosystème, la
fonction SI est incontournable pour assurer, non seulement la convergence et la cohérence du système
d’information, l’agilité et l’innovation mais surtout sa sécurité !
Force est de constater que les entreprises ne disposent quasiment plus de fonctions essentielles
indépendantes du système d’information : dès lors, toute faille majeure peut se transformer en une
grave crise tant pour l’image que pour la performance opérationnelle, synonyme dans les deux cas de
destruction de valeur.
Sensibiliser
En matière de sécurité, les entreprises doivent travailler à la fois sur les aspects techniques, mais
également sur la formation, la sensibilisation des dirigeants et l’information des collaborateurs sur les
risques liés au numérique et à ses usages. Le CIGREF mène de nombreuses actions en ce domaine :
- Création d’une formation (labélisée par l’ANSSI) « Sureté des usages numériques » avec l’INHESJ
- Développement d’un serious game « Keep an Eye Out »
- Information des Administrateurs de sociétés sur les risques numériques en collaboration avec l’IFA.
- Participation au groupe de travail de l’ANSSI dans le cadre du Plan 33 sur la cyber sécurité.
- Création d’un Cercle « Cyber sécurité » ouvert aux Dirigeants de nos entreprises.
Anticiper
Telle est notre dernière contribution : Entreprises et Cyber sécurité à l’horizon 2020 !
Nous avons mené cette étude prospective avec Futuribles international en y associant plusieurs
entreprises et organisations durant l’année 2014.
Notre but était d’anticiper les « futurs possibles » de nos environnements dans le but de mieux
concevoir nos stratégies de cyber sécurité. Il ressort des 6 scénarios globaux de l’étude une série
d’enjeux et de recommandations transverses liés aussi bien à l’organisation interne des entreprises
qu’à leurs relations avec les parties prenantes.
Affirmant notre rôle de « carrefour d’informations, de réflexions et d’échanges sur l’entreprise dans le
monde numérique », Le CIGREF est heureux de mettre à disposition de tous, ce document de synthèse.
Il servira de base à l’organisation d’un prochain colloque sur ce thème.
Paris, février 2015
Pascal BUFFARD
Président du CIGREF
© Futuribles International 2015 • Page 1
SYNTHÈSE DE L’ÉTUDE
Les risques cyber évoluent vite, obligeant les entreprises et les administrations publiques à
réagir sur des temps très courts. Néanmoins, une approche uniquement réactive des ques-
tions de cybersécurité est préjudiciable à la mise en œuvre de stratégies efficientes sur cette
question.
L’étude réalisée par Futuribles International a pour ambition de replacer les enjeux de
cybersécurité dans une perspective systémique et stratégique de moyen terme qui soit utile
à la mise en place de stratégies de réduction des risques à différentes échelles (États, entre-
prises, individus). Le but de cette étude est donc de proposer aux organismes qui y ont par-
ticipé une vision claire et documentée des évolutions possibles de leur environnement d’ici
2020 qui leur soit utile pour concevoir leurs stratégies de cybersécurité.
UNE PROBLÉMATIQUE STRATÉGIQUE
L’appréhension du cyberespace par les entreprises relève souvent d’une dimension tech-
nique confiée aux DSI et RSSI. La place centrale que prend le cyberespace dans la vie de
chacun comme dans le business des entreprises conduit à placer cette problématique au
cœur de la vie des entreprises, en dépassant la seule approche technique.
Plusieurs éléments semblent centraux dans cette problématique de la cybersécurité des
entreprises :
— Le rôle qui est accordé aux données dans les entreprises, qu’il s’agisse d’une question de
stockage, de protection ou de valorisation.
— La place des utilisateurs au cœur des préoccupations liées à la cybersécurité en entre-
prise : qu’il s’agisse des collaborateurs de l’entreprise, de ses clients ou de ses partenaires,
les utilisateurs jouent un rôle majeur dans l’appréhension du cyberespace et constituent le
premier maillon de la chaîne de risque comme de protection.
— Enfin, la question de la conflictualité dans le cyberespace, depuis la cyberguerre, tant
décrite mais non encore advenue, jusqu’au terrorisme, en passant par l’« hacktivisme » et
la cybercriminalité en plein développement, touche de plus en plus les entreprises.
Le croisement des problématiques technologiques, sociales, politiques et économiques
amène à envisager l’entreprise comme acteur dans un contexte étendu, en interaction avec
de nombreux autres (utilisateurs, États, mafias, hacktivistes, lanceurs d’alerte, etc.). Il est
donc nécessaire d’analyser les interactions entre ces différentes variables pour comprendre
les évolutions potentielles du cyberespace et être à même de formuler des recomman-
dations adaptées aux situations envisagées. Ce travail devrait permettre aux entreprises
d’accroître leur compréhension de l’écosystème cyber, d’anticiper les changements à venir
et donc de gagner en marge de manœuvre. Ainsi, elles auront la capacité de devenir des
acteurs du cyberespace et d’établir une cyberstratégie globale.
UNE APPROCHE SYSTÉMIQUE ET PROSPECTIVE
Du fait de la multiplicité des éléments qui peuvent avoir des conséquences sur le cyber-
espace, aussi bien humains que techniques, organisationnels ou géopolitiques, celui-ci
paraît pouvoir évoluer dans de nombreuses directions. La démarche prospective suivie
Entreprises et cybersécurité à l’horizon 2020
Page 2 • © Futuribles International 2015
dans cette étude a permis d’identifier et d’étudier les principales variables susceptibles
d’avoir une influence cruciale pour l’avenir de la cybersécurité des entreprises, puis de
construire des scénarios d’évolution qui illustrent le champ des évolutions possibles. Ces
scénarios dressent un panorama structuré des grandes tendances et des multiples incerti-
tudes inhérentes à l’avenir du cyberespace. Ils constituent des cadres utiles à l’évaluation
des stratégies de cybersécurité et à la conception de stratégies cyber efficientes.
Vingt-deux variables ont été jugées déterminantes pour appréhender les avenirs possibles
de la cybersécurité des entreprises. Elles ont toutes donné lieu à un travail de réflexion
prospective étayé permettant de révéler leurs possibilités d’évolution.
Ces variables relèvent de trois composantes principales : « Menaces », « Vulnérabilités et
opportunités » et « Environnement extérieur ». Les composantes « Menaces » et « Environ-
nement extérieur », qui touchent aux aspects externes à l’entreprise, ont permis d’analyser
les différents déterminants sur lesquels les entreprises ont peu de marges de manœuvre,
mais auxquels elles doivent pouvoir s’adapter. La composante « Menaces » s’articule
autour des acteurs non commerciaux comme les États ou les groupes criminels, mais
comprend également les phénomènes naturels et les aléas climatiques qui peuvent boule-
verser l’appréhension du cyberespace par les entreprises. La composante « Environnement
extérieur » analyse les différentes évolutions possibles du cadre législatif ou de la techno-
logie. Elle a permis d’appréhender les évolutions globales du cyberespace qui peuvent
avoir de lourdes conséquences pour les entreprises, qu’il s’agisse d’une évolution spatiale
vers des pays pour l’instant peu connectés, de changements dans la gouvernance d’Inter-
net, ou encore de ruptures dans le marché de la sécurité informatique. La composante
« Vulnérabilités et opportunités », quant à elle, a permis de saisir les différentes probléma-
tiques directement liées à l’entreprise, dans son organisation interne comme dans ses liens
avec des fournisseurs immédiats de solutions. Sur la base d’entretiens menés au sein des
entreprises membres de l’étude, les questions de la place de l’informatique dans la struc-
ture, de l’appréhension du cyberespace et des éléments qui lui sont liés comme le stockage
des données ou le nomadisme des utilisateurs, ont été abordées selon une grande série de
paramètres pour les comprendre aussi finement que possible.
Ces différentes variables et les scénarios intermédiaires (microscénarios) construits sur cha-
cune des trois composantes mettent en avant le caractère de plus en plus stratégique du
cyberespace pour les entreprises. La volonté d’offrir un spectre large d’étude, depuis l’évo-
lution géographique d’Internet jusqu’aux solutions de gestion de l’identité numérique, si
elle rend l’analyse plus complexe, offre également un panorama global et systémique des
évolutions du cyberespace, traduit, in fine, en six scénarios d’ensemble.
LES RECOMMANDATIONS
Il ressort des six scénarios globaux de l’étude une série d’enjeux et de recommandations
transversales liés aussi bien à l’organisation interne des entreprises, qu’à leurs relations
avec les parties prenantes.
Accompagner le changement du métier de RSSI : dans la majorité de nos scénarios, le
cyberespace occupe une place de plus en plus importante dans la société et donc dans les
entreprises. Ainsi, les domaines de compétences des RSSI pourraient s’élargir. En effet, si
l’ensemble des directions ou des services de l’entreprise intègrent une dimension cyber à
leur activité, le RSSI pourrait voir s’ajouter à ses fonctions sécuritaires une dimension stra-
tégique qui engloberait la cybersécurité, mais également la cyberdéfense et la mise en
place d’une cyberstratégie économique. Le RSSI deviendrait ainsi le responsable de la stra-
Entreprises et cybersécurité à l’horizon 2020
© Futuribles International 2015 • Page 3
tégie des systèmes d’information. Les questions de protection et de valorisation des don-
nées seraient au cœur de cette cyberstratégie. Ainsi, d’un service souvent cloisonné et
parfois en marge des autres départements de l’entreprise, la SSI pourrait occuper une place
plus centrale dans la stratégie et œuvrer de concert avec les autres services de l’entreprise.
Il faut donc créer les conditions favorables à cette synergie et former les RSSI à ces compé-
tences élargies.
Garder un contrôle de la cybersécurité en interne : plusieurs des scénarios mentionnent
une perte de contrôle totale ou partielle des entreprises sur leur propre cybersécurité, soit
parce qu’elles n’ont pas les compétences pour la traiter en interne, soit parce qu’un acteur
a pris une importance croissante et a acquis le monopole sur cette activité (on pense ici à
Google par exemple). En outre dans un cadre où de nombreuses entreprises font appel à
des prestataires externes pour leur cybersécurité, il appartient d’être particulièrement vigi-
lant sur le choix de ces partenaires, d’autant plus que le marché apparaît dominé par des
acteurs non européens (américains ou israéliens notamment) dont les liens avec leur État
sont parfois marqués. Pour éviter ce genre de désagrément, les entreprises doivent multi-
plier les dispositifs leurs permettant de maîtriser la chaîne de valeur. Les entreprises
peuvent travailler en collaboration avec les pouvoirs publics pour développer des solutions
informatiques sécurisées et labellisées, mettre en place un système efficace de contrôle des
infrastructures (audit) : pour cela, la collaboration avec des intermédiaires entre entreprise
et État comme l’ANSSI est cruciale. Les offres de cybersécurité doivent être coconstruites
par les entreprises et les États, elles doivent concerner l’ensemble de la chaîne de produc-
tion afin d’inspirer de la confiance au client final.
Faire de la donnée un élément central de la stratégie des entreprises : nous l’avons vu
tout au long de nos travaux, la gestion de la donnée (protection et / ou valorisation) occu-
pera une place cruciale dans les stratégies d’entreprises. Ainsi, les entreprises devront
s’intéresser aux nouveaux métiers liés à la donnée (chief data officer, data scientist, etc.),
réfléchir à l’insertion de ces nouveaux métiers dans leur organisation actuelle. Pour cela,
elles devront créer un référentiel de compétences au sein de l’entreprise qui lui permettrait
de chiffrer ses besoins actuels et à venir. La mise en place de ces nouvelles compétences
au sein de l’entreprise pourrait lui permettre d’obtenir une cartographie précise de ses don-
nées mais également des différentes manières possibles de les valoriser ; ceci allant jusqu’à
la transformation du business model de l’entreprise autour de ces dernières.
Mettre en place des plates-formes d’information et des outils d’alerte des agressions
cyber : dans le domaine du cyber, nous avons vu que les entreprises et les États travail-
laient souvent de manière isolée à la détection et à la résolution des problèmes et des
failles causées par les cyberagressions. La mise en place de plates-formes d’information
communes entre entreprises d’un même secteur, mais également entre les entreprises et
l’État, permettrait d’avoir une vision plus globale des cybercriminels, d’identifier plus facile-
ment les données sensibles (celle qui sont recherchées par les cybercriminels), d’élaborer
des systèmes de protection communs, d’améliorer la détection des agressions et de trouver
plus aisément la source de ces agressions. Ces plates-formes aideraient également l’État à
mettre en place une stratégie de cyberdéfense voire de cyberagression plus élaborée.
Développer une veille sociétale : nous avons vu dans nos scénarios que la société civile
serait probablement amenée à jouer un rôle de plus en plus important dans le cyberespace.
Les individus peuvent plus facilement comprendre et interagir avec les entreprises, mais ils
ont aussi désormais des moyens de s’opposer frontalement à ces dernières en portant
atteinte à leur image (atteintes à l’e-réputation), en mettant en place des systèmes écono-
miques alternatifs hors des canaux des entreprises (économie de l’échange et du partage,
monnaies alternatives, etc.). La nécessité pour les entreprises de mettre en place une veille
Entreprises et cybersécurité à l’horizon 2020
Page 4 • © Futuribles International 2015
sociétale au sein de leurs structures afin de déterminer les grandes tendances et de gérer au
plus près la relation avec les individus et les groupes, pourrait devenir un enjeu majeur
dans les années à venir. Ainsi, les entreprises pourraient accroître leurs services liés à la
veille, à l’intelligence économique, à la prospective. En ce sens, elles pourraient appro-
fondir cet aspect avec l’ANSSI qui a un rôle d’alerte sur ces sujets.
Renforcer la législation européenne, notamment sur le stockage et la protection des
données : l’étude a mis en avant la place centrale que devrait prendre la donnée dans les
années à venir eu égard à l’évolution du business model de certaines entreprises. Dans ce
cadre, il apparaît important d’engager des actions de lobbying au niveau européen pour
renforcer la règlementation sur ce point. En effet, la place prégnante des acteurs GAFA
dans les services aux entreprises relatifs au stockage et à la gestion des données peut en-
traîner des dérives diverses s’il n’existe pas un cadre législatif strict. De la même manière
que dans des pays comme la Russie ou la Chine, une obligation légale de stocker physi-
quement les données des entreprises européennes dans des serveurs positionnés sur le sol
européen réduirait les incertitudes liées au caractère transatlantique des principaux acteurs.
Renforcement de la R&D : la question de la dépendance technologique et de l’avance de
certains pays en ce domaine est ressortie comme l’un des éléments prégnants de cette
étude. L’avance prise par les acteurs américains — et le développement rapide des émer-
gents dont la Chine avec Huawei et ZTE — amène à considérer la dépendance technolo-
gique des entreprises européennes comme un risque. En effet, depuis l’affaire PRISM, il a
été prouvé que la coopération entre entreprises du secteur IT et État dans un but d’espion-
nage, y compris économique, était une réalité. Dans ce cadre, il apparaît nécessaire d’en-
courager le développement technologique en France et en Europe, non seulement au cœur
des entreprises mais également en favorisant la naissance d’une base industrielle et techno-
logique cyber, y compris via des clusters associant entreprises, État et centres de recherche.
Développer la culture cyber : au cours de notre étude, les utilisateurs ont été un sujet ré-
current. En effet, le déploiement de la cybersécurité en entreprise passe par le développe-
ment d’une profonde culture cyber au sein de l’entreprise mais également au sein de la
société dans son ensemble. Ainsi, la formation à la sécurité informatique devrait être inté-
grée à l’ensemble des programmes scolaires. Par ailleurs, les entreprises et les pouvoirs
publics devraient travailler de concert pour développer de nouvelles formations adaptées
aux besoins cyber des entreprises. Cette coopération pourrait prendre la forme de pôles
d’excellence, de clusters regroupant universités, centres de recherche et entreprises. Les
entreprises devraient s’impliquer activement dans la formation en intervenant plus directe-
ment (cours, séminaires, colloques, etc.) et en agissant en partenariat avec les universités
pour la définition des programmes de formation. Afin de susciter des vocations dans le
domaine du cyber, les entreprises doivent également offrir des parcours de carrière clairs et
attrayants. Au sein des entreprises, l’implication des salariés dans le domaine de la cyber-
sécurité est également cruciale, les enjeux doivent être connus de tous et l’hygiène infor-
matique doit faire partie des comportements à adopter en entreprise à tous les niveaux.
Pour cela, la formation continue aux risques cyber ainsi que l’intégration active de la SSI
dans les autres activités sont des pistes d’action que les entreprises peuvent commencer à
mettre en place.
Cette étude replace les enjeux de cybersécurité dans une perspective systémique et straté-
gique de moyen terme. Elle n’atteindra son objectif que si les entreprises et les acteurs
publics se saisissent de ces travaux pour nourrir leur propre réflexion stratégique de cyber-
sécurité en intégrant la dimension du temps long.

Contenu connexe

Tendances

Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industriel
fEngel
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
ssuser0da89f
 

Tendances (20)

Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industriel
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 
Projets groupe cybersécurité tpa 24mai2916
Projets groupe cybersécurité tpa   24mai2916Projets groupe cybersécurité tpa   24mai2916
Projets groupe cybersécurité tpa 24mai2916
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Cybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalCybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digital
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
 
Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels?
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
 

En vedette

Microsoft%20 word%20 %20sam-leeme
Microsoft%20 word%20 %20sam-leemeMicrosoft%20 word%20 %20sam-leeme
Microsoft%20 word%20 %20sam-leeme
BERSERKER Mendez
 
Pepsi Natural Book Viewing
Pepsi Natural Book ViewingPepsi Natural Book Viewing
Pepsi Natural Book Viewing
Carl Sastram
 
Juan miguel publicacion 1234
Juan miguel publicacion 1234Juan miguel publicacion 1234
Juan miguel publicacion 1234
juanmiguel123
 
MS Organics World C3 Powerpoint
MS Organics World C3 PowerpointMS Organics World C3 Powerpoint
MS Organics World C3 Powerpoint
dekeither
 

En vedette (20)

L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
 
Rapport Auditeurs Cigref Inhesj - Sécurité des objets connectés - Décembre 2014
Rapport Auditeurs Cigref Inhesj - Sécurité des objets connectés - Décembre 2014Rapport Auditeurs Cigref Inhesj - Sécurité des objets connectés - Décembre 2014
Rapport Auditeurs Cigref Inhesj - Sécurité des objets connectés - Décembre 2014
 
Internet des objets - cahier innovation - Cigref - octobre 2014
Internet des objets - cahier innovation - Cigref - octobre 2014Internet des objets - cahier innovation - Cigref - octobre 2014
Internet des objets - cahier innovation - Cigref - octobre 2014
 
CSTB Construire et aménager durablement avec la maquette numérique
CSTB Construire et aménager durablement avec la maquette numérique CSTB Construire et aménager durablement avec la maquette numérique
CSTB Construire et aménager durablement avec la maquette numérique
 
La gouvernance au cœur de la transformation numérique - Comment COBIT 5 peut ...
La gouvernance au cœur de la transformation numérique - Comment COBIT 5 peut ...La gouvernance au cœur de la transformation numérique - Comment COBIT 5 peut ...
La gouvernance au cœur de la transformation numérique - Comment COBIT 5 peut ...
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
 
M A R T I S O A R E
M A R T I S O A R EM A R T I S O A R E
M A R T I S O A R E
 
Externalización clasificaciones deporte base 2012 Sourtech
Externalización clasificaciones deporte base 2012 SourtechExternalización clasificaciones deporte base 2012 Sourtech
Externalización clasificaciones deporte base 2012 Sourtech
 
Microsoft%20 word%20 %20sam-leeme
Microsoft%20 word%20 %20sam-leemeMicrosoft%20 word%20 %20sam-leeme
Microsoft%20 word%20 %20sam-leeme
 
Graduate programs presentation mac ewan feb 2014
Graduate programs presentation   mac ewan feb 2014Graduate programs presentation   mac ewan feb 2014
Graduate programs presentation mac ewan feb 2014
 
Pepsi Natural Book Viewing
Pepsi Natural Book ViewingPepsi Natural Book Viewing
Pepsi Natural Book Viewing
 
Presentacion Innoveex
Presentacion InnoveexPresentacion Innoveex
Presentacion Innoveex
 
Juan miguel publicacion 1234
Juan miguel publicacion 1234Juan miguel publicacion 1234
Juan miguel publicacion 1234
 
MS Organics World C3 Powerpoint
MS Organics World C3 PowerpointMS Organics World C3 Powerpoint
MS Organics World C3 Powerpoint
 
Actividad 1
Actividad 1Actividad 1
Actividad 1
 
Diari del 22 d'abril de 2015
Diari del 22 d'abril de 2015Diari del 22 d'abril de 2015
Diari del 22 d'abril de 2015
 
Mitjet Series 2015 - Thomas Sobrier
Mitjet Series 2015 - Thomas SobrierMitjet Series 2015 - Thomas Sobrier
Mitjet Series 2015 - Thomas Sobrier
 
Boletín Informativo Tierra num. 215 diciembre 2013
Boletín Informativo Tierra num. 215 diciembre 2013Boletín Informativo Tierra num. 215 diciembre 2013
Boletín Informativo Tierra num. 215 diciembre 2013
 
2013 Progress Report / 2014 Calendar - Texas Scottish Rite Hospital for Children
2013 Progress Report / 2014 Calendar - Texas Scottish Rite Hospital for Children2013 Progress Report / 2014 Calendar - Texas Scottish Rite Hospital for Children
2013 Progress Report / 2014 Calendar - Texas Scottish Rite Hospital for Children
 
Metodológica de búsqueda
Metodológica de búsqueda Metodológica de búsqueda
Metodológica de búsqueda
 

Similaire à Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles International – CIGREF

Intelligence economique et_strategique_les_systemes_d_information_au_coeur_de...
Intelligence economique et_strategique_les_systemes_d_information_au_coeur_de...Intelligence economique et_strategique_les_systemes_d_information_au_coeur_de...
Intelligence economique et_strategique_les_systemes_d_information_au_coeur_de...
Abderrahim Rafik
 
anssi-panorama_metiers_cybersecurite-2020 (1).pdf
anssi-panorama_metiers_cybersecurite-2020 (1).pdfanssi-panorama_metiers_cybersecurite-2020 (1).pdf
anssi-panorama_metiers_cybersecurite-2020 (1).pdf
lamiaaaaa
 
Modèle économique de la DSI - Elements du modèle et questions clés
Modèle économique de la DSI - Elements du modèle et questions clésModèle économique de la DSI - Elements du modèle et questions clés
Modèle économique de la DSI - Elements du modèle et questions clés
Frédéric GASNIER
 
Stratégie de l'Ecole du Management des Système d'Information, une école de GEM
Stratégie de l'Ecole du Management des Système d'Information, une école de GEMStratégie de l'Ecole du Management des Système d'Information, une école de GEM
Stratégie de l'Ecole du Management des Système d'Information, une école de GEM
Jean-François Fiorina
 

Similaire à Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles International – CIGREF (20)

Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Innovations digitales au service de la prevention dans le BTP
Innovations digitales au service de la prevention dans le BTPInnovations digitales au service de la prevention dans le BTP
Innovations digitales au service de la prevention dans le BTP
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
 
Intelligence economique et_strategique_les_systemes_d_information_au_coeur_de...
Intelligence economique et_strategique_les_systemes_d_information_au_coeur_de...Intelligence economique et_strategique_les_systemes_d_information_au_coeur_de...
Intelligence economique et_strategique_les_systemes_d_information_au_coeur_de...
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Sogeti : cybersécurité - conserver l’avantage dans la partie
Sogeti : cybersécurité - conserver l’avantage dans la partieSogeti : cybersécurité - conserver l’avantage dans la partie
Sogeti : cybersécurité - conserver l’avantage dans la partie
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201web
 
Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceMenaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en france
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériques
 
anssi-panorama_metiers_cybersecurite-2020 (1).pdf
anssi-panorama_metiers_cybersecurite-2020 (1).pdfanssi-panorama_metiers_cybersecurite-2020 (1).pdf
anssi-panorama_metiers_cybersecurite-2020 (1).pdf
 
Les 4 principaux défis technologiques que devront relever les entreprises en ...
Les 4 principaux défis technologiques que devront relever les entreprises en ...Les 4 principaux défis technologiques que devront relever les entreprises en ...
Les 4 principaux défis technologiques que devront relever les entreprises en ...
 
Pascal Buffard - Extrait Livre Blanc 80 #PortraitDeStartuper - La réussite du...
Pascal Buffard - Extrait Livre Blanc 80 #PortraitDeStartuper - La réussite du...Pascal Buffard - Extrait Livre Blanc 80 #PortraitDeStartuper - La réussite du...
Pascal Buffard - Extrait Livre Blanc 80 #PortraitDeStartuper - La réussite du...
 
Robert half cybersécurité - protéger votre avenir
Robert half   cybersécurité - protéger votre avenirRobert half   cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenir
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
 
Modèle économique de la DSI - Elements du modèle et questions clés
Modèle économique de la DSI - Elements du modèle et questions clésModèle économique de la DSI - Elements du modèle et questions clés
Modèle économique de la DSI - Elements du modèle et questions clés
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdf
 
ACPR enquête sur la sécurité des systèmes informatiques des assureurs
ACPR enquête sur la sécurité des systèmes informatiques des assureursACPR enquête sur la sécurité des systèmes informatiques des assureurs
ACPR enquête sur la sécurité des systèmes informatiques des assureurs
 
Stratégie de l'EMSI (Ecole du numérique de Grenoble Ecole de Management)
Stratégie de l'EMSI (Ecole du numérique de Grenoble Ecole de Management)Stratégie de l'EMSI (Ecole du numérique de Grenoble Ecole de Management)
Stratégie de l'EMSI (Ecole du numérique de Grenoble Ecole de Management)
 
Stratégie de l'Ecole du Management des Système d'Information, une école de GEM
Stratégie de l'Ecole du Management des Système d'Information, une école de GEMStratégie de l'Ecole du Management des Système d'Information, une école de GEM
Stratégie de l'Ecole du Management des Système d'Information, une école de GEM
 
Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013
 

Plus de polenumerique33

Plus de polenumerique33 (20)

Guide pratique de sensibilisation au RGPD pour les TPE&PME
Guide pratique de sensibilisation au RGPD pour les TPE&PMEGuide pratique de sensibilisation au RGPD pour les TPE&PME
Guide pratique de sensibilisation au RGPD pour les TPE&PME
 
Les influenceurs, acteurs de l'e-réputation des entreprises -3
Les influenceurs, acteurs de l'e-réputation des entreprises -3Les influenceurs, acteurs de l'e-réputation des entreprises -3
Les influenceurs, acteurs de l'e-réputation des entreprises -3
 
Les influenceurs, acteurs de l'e-réputation des entreprises -2
Les influenceurs, acteurs de l'e-réputation des entreprises -2Les influenceurs, acteurs de l'e-réputation des entreprises -2
Les influenceurs, acteurs de l'e-réputation des entreprises -2
 
Les influenceurs, acteurs de l'e-réputation des entreprises -1
Les influenceurs, acteurs de l'e-réputation des entreprises -1Les influenceurs, acteurs de l'e-réputation des entreprises -1
Les influenceurs, acteurs de l'e-réputation des entreprises -1
 
E-réputation et gestion des avis clients
E-réputation et gestion des avis clientsE-réputation et gestion des avis clients
E-réputation et gestion des avis clients
 
Linked In et Twitter, duo gagnant de la communication B2B
Linked In et Twitter, duo gagnant de la communication B2BLinked In et Twitter, duo gagnant de la communication B2B
Linked In et Twitter, duo gagnant de la communication B2B
 
Cci France enquete nationale economie circulaire dec 2017
Cci France enquete nationale economie circulaire dec 2017Cci France enquete nationale economie circulaire dec 2017
Cci France enquete nationale economie circulaire dec 2017
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
ADEME TPE PME gagnantes sur tous les coûts - codes naf + critères éligibilité
ADEME TPE PME gagnantes sur tous les coûts - codes naf + critères éligibilitéADEME TPE PME gagnantes sur tous les coûts - codes naf + critères éligibilité
ADEME TPE PME gagnantes sur tous les coûts - codes naf + critères éligibilité
 
ADEME - TPE PME GAGNANTES SUR TOUS LES COUTS
ADEME - TPE PME GAGNANTES SUR TOUS LES COUTSADEME - TPE PME GAGNANTES SUR TOUS LES COUTS
ADEME - TPE PME GAGNANTES SUR TOUS LES COUTS
 
Mon commerce Numérique
Mon commerce NumériqueMon commerce Numérique
Mon commerce Numérique
 
Linkedin, Twitter : le duo gagnant de votre visibilité BtoB
Linkedin, Twitter : le duo gagnant de votre visibilité BtoBLinkedin, Twitter : le duo gagnant de votre visibilité BtoB
Linkedin, Twitter : le duo gagnant de votre visibilité BtoB
 
Programme Compétitivité énergétique Région Nouvelle Aquitaine - Club Industri...
Programme Compétitivité énergétique Région Nouvelle Aquitaine - Club Industri...Programme Compétitivité énergétique Région Nouvelle Aquitaine - Club Industri...
Programme Compétitivité énergétique Région Nouvelle Aquitaine - Club Industri...
 
Draaf NA soutiens à la filière Industrie Agro-Alimentaire - Club Industrie Pe...
Draaf NA soutiens à la filière Industrie Agro-Alimentaire - Club Industrie Pe...Draaf NA soutiens à la filière Industrie Agro-Alimentaire - Club Industrie Pe...
Draaf NA soutiens à la filière Industrie Agro-Alimentaire - Club Industrie Pe...
 
ADEME - Performance Énergétique et Hydrique - Club Industrie 23 11 2017 - CCI...
ADEME - Performance Énergétique et Hydrique - Club Industrie 23 11 2017 - CCI...ADEME - Performance Énergétique et Hydrique - Club Industrie 23 11 2017 - CCI...
ADEME - Performance Énergétique et Hydrique - Club Industrie 23 11 2017 - CCI...
 
Cci Aquitaine Programme d'actions 2018-2020 transition énergétique et écologi...
Cci Aquitaine Programme d'actions 2018-2020 transition énergétique et écologi...Cci Aquitaine Programme d'actions 2018-2020 transition énergétique et écologi...
Cci Aquitaine Programme d'actions 2018-2020 transition énergétique et écologi...
 
Linkedin, Twitter : le duo gagnant de votre visibilité BtoB
Linkedin, Twitter : le duo gagnant de votre visibilité BtoB Linkedin, Twitter : le duo gagnant de votre visibilité BtoB
Linkedin, Twitter : le duo gagnant de votre visibilité BtoB
 
Aquassay - Club Industrie Performance Energetique et Hydrique - 23 11 2017
Aquassay - Club Industrie Performance Energetique et Hydrique - 23 11 2017Aquassay - Club Industrie Performance Energetique et Hydrique - 23 11 2017
Aquassay - Club Industrie Performance Energetique et Hydrique - 23 11 2017
 
Lycée Horticole Farzanis de Tonneins - projet SOLAH - Club Industrie "Perform...
Lycée Horticole Farzanis de Tonneins - projet SOLAH - Club Industrie "Perform...Lycée Horticole Farzanis de Tonneins - projet SOLAH - Club Industrie "Perform...
Lycée Horticole Farzanis de Tonneins - projet SOLAH - Club Industrie "Perform...
 
Worldcast systems - Club Industrie "Performance Énergétique et Hydrique" - 23...
Worldcast systems - Club Industrie "Performance Énergétique et Hydrique" - 23...Worldcast systems - Club Industrie "Performance Énergétique et Hydrique" - 23...
Worldcast systems - Club Industrie "Performance Énergétique et Hydrique" - 23...
 

Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles International – CIGREF

  • 2. Synthèse de l’étude menée en 2013-2014 Le CIGREF s’est associé à Futuribles International pour mener cette étude, avec la participation et les contributions de grandes entreprises. Elle a été réalisée en souscription. Les résultats complets sont donc réservés aux entreprises contributrices. Cette synthèse présente les principales recommandations formulées au sein de l’étude globale. Directeurs d’étude : Cécile Wendling puis François de Jouvenel, et Nicolas Mazzucchi Conseiller scientifique : Olivier Kempf © Futuribles International, Paris, janvier 2015. Tous droits réservés. Association Futuribles International • 47 rue de Babylone • F-75007 Paris Tél. + 33 (0)1 53 63 37 70 • Fax + 33 (0)1 42 22 65 54 E-mail mailto:mbprivey@futuribles.com• Site Internet www.futuribles.com
  • 3. Le mot du Président du CIGREF Construire une vision des enjeux stratégiques et des défis managériaux auxquels sera confrontée l’entreprise à l’horizon 2020, telle est l’ambition de notre dernière publication. Parmi ces 9 enjeux et défis, la maitrise des nouveaux risques numériques est au cœur de la transformation numérique de nos entreprises. Investir pour préserver la sécurité et la compétitivité S’il s’agit avant tout de tirer parti du numérique pour augmenter la compétitivité des entreprises, les risques numériques doivent dès lors être considérés à l’aune de la stratégie. La sécurité numérique fait partie intégrante du plan numérique de l’entreprise. Si l’on admet que la sécurité des flux est fondamentale pour la compétitivité des entreprises, l’investissement dans la sécurité des systèmes d’information devient alors une véritable priorité. Redéfinir la création de valeur La numérisation du business amène le système d’information à être directement impliqué dans la chaîne de valeur. Avec la « servicisation » et l’ouverture des entreprises sur leur écosystème, la fonction SI est incontournable pour assurer, non seulement la convergence et la cohérence du système d’information, l’agilité et l’innovation mais surtout sa sécurité ! Force est de constater que les entreprises ne disposent quasiment plus de fonctions essentielles indépendantes du système d’information : dès lors, toute faille majeure peut se transformer en une grave crise tant pour l’image que pour la performance opérationnelle, synonyme dans les deux cas de destruction de valeur. Sensibiliser En matière de sécurité, les entreprises doivent travailler à la fois sur les aspects techniques, mais également sur la formation, la sensibilisation des dirigeants et l’information des collaborateurs sur les risques liés au numérique et à ses usages. Le CIGREF mène de nombreuses actions en ce domaine : - Création d’une formation (labélisée par l’ANSSI) « Sureté des usages numériques » avec l’INHESJ - Développement d’un serious game « Keep an Eye Out » - Information des Administrateurs de sociétés sur les risques numériques en collaboration avec l’IFA. - Participation au groupe de travail de l’ANSSI dans le cadre du Plan 33 sur la cyber sécurité. - Création d’un Cercle « Cyber sécurité » ouvert aux Dirigeants de nos entreprises. Anticiper Telle est notre dernière contribution : Entreprises et Cyber sécurité à l’horizon 2020 ! Nous avons mené cette étude prospective avec Futuribles international en y associant plusieurs entreprises et organisations durant l’année 2014. Notre but était d’anticiper les « futurs possibles » de nos environnements dans le but de mieux concevoir nos stratégies de cyber sécurité. Il ressort des 6 scénarios globaux de l’étude une série d’enjeux et de recommandations transverses liés aussi bien à l’organisation interne des entreprises qu’à leurs relations avec les parties prenantes. Affirmant notre rôle de « carrefour d’informations, de réflexions et d’échanges sur l’entreprise dans le monde numérique », Le CIGREF est heureux de mettre à disposition de tous, ce document de synthèse. Il servira de base à l’organisation d’un prochain colloque sur ce thème. Paris, février 2015 Pascal BUFFARD Président du CIGREF
  • 4. © Futuribles International 2015 • Page 1 SYNTHÈSE DE L’ÉTUDE Les risques cyber évoluent vite, obligeant les entreprises et les administrations publiques à réagir sur des temps très courts. Néanmoins, une approche uniquement réactive des ques- tions de cybersécurité est préjudiciable à la mise en œuvre de stratégies efficientes sur cette question. L’étude réalisée par Futuribles International a pour ambition de replacer les enjeux de cybersécurité dans une perspective systémique et stratégique de moyen terme qui soit utile à la mise en place de stratégies de réduction des risques à différentes échelles (États, entre- prises, individus). Le but de cette étude est donc de proposer aux organismes qui y ont par- ticipé une vision claire et documentée des évolutions possibles de leur environnement d’ici 2020 qui leur soit utile pour concevoir leurs stratégies de cybersécurité. UNE PROBLÉMATIQUE STRATÉGIQUE L’appréhension du cyberespace par les entreprises relève souvent d’une dimension tech- nique confiée aux DSI et RSSI. La place centrale que prend le cyberespace dans la vie de chacun comme dans le business des entreprises conduit à placer cette problématique au cœur de la vie des entreprises, en dépassant la seule approche technique. Plusieurs éléments semblent centraux dans cette problématique de la cybersécurité des entreprises : — Le rôle qui est accordé aux données dans les entreprises, qu’il s’agisse d’une question de stockage, de protection ou de valorisation. — La place des utilisateurs au cœur des préoccupations liées à la cybersécurité en entre- prise : qu’il s’agisse des collaborateurs de l’entreprise, de ses clients ou de ses partenaires, les utilisateurs jouent un rôle majeur dans l’appréhension du cyberespace et constituent le premier maillon de la chaîne de risque comme de protection. — Enfin, la question de la conflictualité dans le cyberespace, depuis la cyberguerre, tant décrite mais non encore advenue, jusqu’au terrorisme, en passant par l’« hacktivisme » et la cybercriminalité en plein développement, touche de plus en plus les entreprises. Le croisement des problématiques technologiques, sociales, politiques et économiques amène à envisager l’entreprise comme acteur dans un contexte étendu, en interaction avec de nombreux autres (utilisateurs, États, mafias, hacktivistes, lanceurs d’alerte, etc.). Il est donc nécessaire d’analyser les interactions entre ces différentes variables pour comprendre les évolutions potentielles du cyberespace et être à même de formuler des recomman- dations adaptées aux situations envisagées. Ce travail devrait permettre aux entreprises d’accroître leur compréhension de l’écosystème cyber, d’anticiper les changements à venir et donc de gagner en marge de manœuvre. Ainsi, elles auront la capacité de devenir des acteurs du cyberespace et d’établir une cyberstratégie globale. UNE APPROCHE SYSTÉMIQUE ET PROSPECTIVE Du fait de la multiplicité des éléments qui peuvent avoir des conséquences sur le cyber- espace, aussi bien humains que techniques, organisationnels ou géopolitiques, celui-ci paraît pouvoir évoluer dans de nombreuses directions. La démarche prospective suivie
  • 5. Entreprises et cybersécurité à l’horizon 2020 Page 2 • © Futuribles International 2015 dans cette étude a permis d’identifier et d’étudier les principales variables susceptibles d’avoir une influence cruciale pour l’avenir de la cybersécurité des entreprises, puis de construire des scénarios d’évolution qui illustrent le champ des évolutions possibles. Ces scénarios dressent un panorama structuré des grandes tendances et des multiples incerti- tudes inhérentes à l’avenir du cyberespace. Ils constituent des cadres utiles à l’évaluation des stratégies de cybersécurité et à la conception de stratégies cyber efficientes. Vingt-deux variables ont été jugées déterminantes pour appréhender les avenirs possibles de la cybersécurité des entreprises. Elles ont toutes donné lieu à un travail de réflexion prospective étayé permettant de révéler leurs possibilités d’évolution. Ces variables relèvent de trois composantes principales : « Menaces », « Vulnérabilités et opportunités » et « Environnement extérieur ». Les composantes « Menaces » et « Environ- nement extérieur », qui touchent aux aspects externes à l’entreprise, ont permis d’analyser les différents déterminants sur lesquels les entreprises ont peu de marges de manœuvre, mais auxquels elles doivent pouvoir s’adapter. La composante « Menaces » s’articule autour des acteurs non commerciaux comme les États ou les groupes criminels, mais comprend également les phénomènes naturels et les aléas climatiques qui peuvent boule- verser l’appréhension du cyberespace par les entreprises. La composante « Environnement extérieur » analyse les différentes évolutions possibles du cadre législatif ou de la techno- logie. Elle a permis d’appréhender les évolutions globales du cyberespace qui peuvent avoir de lourdes conséquences pour les entreprises, qu’il s’agisse d’une évolution spatiale vers des pays pour l’instant peu connectés, de changements dans la gouvernance d’Inter- net, ou encore de ruptures dans le marché de la sécurité informatique. La composante « Vulnérabilités et opportunités », quant à elle, a permis de saisir les différentes probléma- tiques directement liées à l’entreprise, dans son organisation interne comme dans ses liens avec des fournisseurs immédiats de solutions. Sur la base d’entretiens menés au sein des entreprises membres de l’étude, les questions de la place de l’informatique dans la struc- ture, de l’appréhension du cyberespace et des éléments qui lui sont liés comme le stockage des données ou le nomadisme des utilisateurs, ont été abordées selon une grande série de paramètres pour les comprendre aussi finement que possible. Ces différentes variables et les scénarios intermédiaires (microscénarios) construits sur cha- cune des trois composantes mettent en avant le caractère de plus en plus stratégique du cyberespace pour les entreprises. La volonté d’offrir un spectre large d’étude, depuis l’évo- lution géographique d’Internet jusqu’aux solutions de gestion de l’identité numérique, si elle rend l’analyse plus complexe, offre également un panorama global et systémique des évolutions du cyberespace, traduit, in fine, en six scénarios d’ensemble. LES RECOMMANDATIONS Il ressort des six scénarios globaux de l’étude une série d’enjeux et de recommandations transversales liés aussi bien à l’organisation interne des entreprises, qu’à leurs relations avec les parties prenantes. Accompagner le changement du métier de RSSI : dans la majorité de nos scénarios, le cyberespace occupe une place de plus en plus importante dans la société et donc dans les entreprises. Ainsi, les domaines de compétences des RSSI pourraient s’élargir. En effet, si l’ensemble des directions ou des services de l’entreprise intègrent une dimension cyber à leur activité, le RSSI pourrait voir s’ajouter à ses fonctions sécuritaires une dimension stra- tégique qui engloberait la cybersécurité, mais également la cyberdéfense et la mise en place d’une cyberstratégie économique. Le RSSI deviendrait ainsi le responsable de la stra-
  • 6. Entreprises et cybersécurité à l’horizon 2020 © Futuribles International 2015 • Page 3 tégie des systèmes d’information. Les questions de protection et de valorisation des don- nées seraient au cœur de cette cyberstratégie. Ainsi, d’un service souvent cloisonné et parfois en marge des autres départements de l’entreprise, la SSI pourrait occuper une place plus centrale dans la stratégie et œuvrer de concert avec les autres services de l’entreprise. Il faut donc créer les conditions favorables à cette synergie et former les RSSI à ces compé- tences élargies. Garder un contrôle de la cybersécurité en interne : plusieurs des scénarios mentionnent une perte de contrôle totale ou partielle des entreprises sur leur propre cybersécurité, soit parce qu’elles n’ont pas les compétences pour la traiter en interne, soit parce qu’un acteur a pris une importance croissante et a acquis le monopole sur cette activité (on pense ici à Google par exemple). En outre dans un cadre où de nombreuses entreprises font appel à des prestataires externes pour leur cybersécurité, il appartient d’être particulièrement vigi- lant sur le choix de ces partenaires, d’autant plus que le marché apparaît dominé par des acteurs non européens (américains ou israéliens notamment) dont les liens avec leur État sont parfois marqués. Pour éviter ce genre de désagrément, les entreprises doivent multi- plier les dispositifs leurs permettant de maîtriser la chaîne de valeur. Les entreprises peuvent travailler en collaboration avec les pouvoirs publics pour développer des solutions informatiques sécurisées et labellisées, mettre en place un système efficace de contrôle des infrastructures (audit) : pour cela, la collaboration avec des intermédiaires entre entreprise et État comme l’ANSSI est cruciale. Les offres de cybersécurité doivent être coconstruites par les entreprises et les États, elles doivent concerner l’ensemble de la chaîne de produc- tion afin d’inspirer de la confiance au client final. Faire de la donnée un élément central de la stratégie des entreprises : nous l’avons vu tout au long de nos travaux, la gestion de la donnée (protection et / ou valorisation) occu- pera une place cruciale dans les stratégies d’entreprises. Ainsi, les entreprises devront s’intéresser aux nouveaux métiers liés à la donnée (chief data officer, data scientist, etc.), réfléchir à l’insertion de ces nouveaux métiers dans leur organisation actuelle. Pour cela, elles devront créer un référentiel de compétences au sein de l’entreprise qui lui permettrait de chiffrer ses besoins actuels et à venir. La mise en place de ces nouvelles compétences au sein de l’entreprise pourrait lui permettre d’obtenir une cartographie précise de ses don- nées mais également des différentes manières possibles de les valoriser ; ceci allant jusqu’à la transformation du business model de l’entreprise autour de ces dernières. Mettre en place des plates-formes d’information et des outils d’alerte des agressions cyber : dans le domaine du cyber, nous avons vu que les entreprises et les États travail- laient souvent de manière isolée à la détection et à la résolution des problèmes et des failles causées par les cyberagressions. La mise en place de plates-formes d’information communes entre entreprises d’un même secteur, mais également entre les entreprises et l’État, permettrait d’avoir une vision plus globale des cybercriminels, d’identifier plus facile- ment les données sensibles (celle qui sont recherchées par les cybercriminels), d’élaborer des systèmes de protection communs, d’améliorer la détection des agressions et de trouver plus aisément la source de ces agressions. Ces plates-formes aideraient également l’État à mettre en place une stratégie de cyberdéfense voire de cyberagression plus élaborée. Développer une veille sociétale : nous avons vu dans nos scénarios que la société civile serait probablement amenée à jouer un rôle de plus en plus important dans le cyberespace. Les individus peuvent plus facilement comprendre et interagir avec les entreprises, mais ils ont aussi désormais des moyens de s’opposer frontalement à ces dernières en portant atteinte à leur image (atteintes à l’e-réputation), en mettant en place des systèmes écono- miques alternatifs hors des canaux des entreprises (économie de l’échange et du partage, monnaies alternatives, etc.). La nécessité pour les entreprises de mettre en place une veille
  • 7. Entreprises et cybersécurité à l’horizon 2020 Page 4 • © Futuribles International 2015 sociétale au sein de leurs structures afin de déterminer les grandes tendances et de gérer au plus près la relation avec les individus et les groupes, pourrait devenir un enjeu majeur dans les années à venir. Ainsi, les entreprises pourraient accroître leurs services liés à la veille, à l’intelligence économique, à la prospective. En ce sens, elles pourraient appro- fondir cet aspect avec l’ANSSI qui a un rôle d’alerte sur ces sujets. Renforcer la législation européenne, notamment sur le stockage et la protection des données : l’étude a mis en avant la place centrale que devrait prendre la donnée dans les années à venir eu égard à l’évolution du business model de certaines entreprises. Dans ce cadre, il apparaît important d’engager des actions de lobbying au niveau européen pour renforcer la règlementation sur ce point. En effet, la place prégnante des acteurs GAFA dans les services aux entreprises relatifs au stockage et à la gestion des données peut en- traîner des dérives diverses s’il n’existe pas un cadre législatif strict. De la même manière que dans des pays comme la Russie ou la Chine, une obligation légale de stocker physi- quement les données des entreprises européennes dans des serveurs positionnés sur le sol européen réduirait les incertitudes liées au caractère transatlantique des principaux acteurs. Renforcement de la R&D : la question de la dépendance technologique et de l’avance de certains pays en ce domaine est ressortie comme l’un des éléments prégnants de cette étude. L’avance prise par les acteurs américains — et le développement rapide des émer- gents dont la Chine avec Huawei et ZTE — amène à considérer la dépendance technolo- gique des entreprises européennes comme un risque. En effet, depuis l’affaire PRISM, il a été prouvé que la coopération entre entreprises du secteur IT et État dans un but d’espion- nage, y compris économique, était une réalité. Dans ce cadre, il apparaît nécessaire d’en- courager le développement technologique en France et en Europe, non seulement au cœur des entreprises mais également en favorisant la naissance d’une base industrielle et techno- logique cyber, y compris via des clusters associant entreprises, État et centres de recherche. Développer la culture cyber : au cours de notre étude, les utilisateurs ont été un sujet ré- current. En effet, le déploiement de la cybersécurité en entreprise passe par le développe- ment d’une profonde culture cyber au sein de l’entreprise mais également au sein de la société dans son ensemble. Ainsi, la formation à la sécurité informatique devrait être inté- grée à l’ensemble des programmes scolaires. Par ailleurs, les entreprises et les pouvoirs publics devraient travailler de concert pour développer de nouvelles formations adaptées aux besoins cyber des entreprises. Cette coopération pourrait prendre la forme de pôles d’excellence, de clusters regroupant universités, centres de recherche et entreprises. Les entreprises devraient s’impliquer activement dans la formation en intervenant plus directe- ment (cours, séminaires, colloques, etc.) et en agissant en partenariat avec les universités pour la définition des programmes de formation. Afin de susciter des vocations dans le domaine du cyber, les entreprises doivent également offrir des parcours de carrière clairs et attrayants. Au sein des entreprises, l’implication des salariés dans le domaine de la cyber- sécurité est également cruciale, les enjeux doivent être connus de tous et l’hygiène infor- matique doit faire partie des comportements à adopter en entreprise à tous les niveaux. Pour cela, la formation continue aux risques cyber ainsi que l’intégration active de la SSI dans les autres activités sont des pistes d’action que les entreprises peuvent commencer à mettre en place. Cette étude replace les enjeux de cybersécurité dans une perspective systémique et straté- gique de moyen terme. Elle n’atteindra son objectif que si les entreprises et les acteurs publics se saisissent de ces travaux pour nourrir leur propre réflexion stratégique de cyber- sécurité en intégrant la dimension du temps long.