Selon une étude récente du cabinet PwC, le nombre d’incidents déclarés a augmenté de 48 % à travers le monde en 2014. Après le jeu et les télécommunications, aucun secteur n’est maintenant épargné.
8h04 : Attaque informatique cette nuit à 1h32. Site web HS. Données de gestion piratées !
Une menace de plus en plus réelle
Sony, Michelin, JP Morgan Chase… depuis quelques mois les cyber-attaques se multiplient.
Pour toutes les victimes de ces cyber-attaques, les dommages sont considérables. Tout d’abord, pour les entreprises ayant un site marchand, le blocage du site entraîne immédiatement des pertes d’exploitation. Derrière le front office, la supply chain peut également être affectée et paralyser l’activité industrielle et commerciale. Outre les pertes d’exploitation, c’est l’image de marque de l’entreprise auprès de ses clients et de ses collaborateurs qui est durablement touchée.
Ces attaques peuvent bloquer le fonctionnement normal d’un site ou d’une organisation, mais aussi dérober de l’information stratégique : fichiers de clients, prix de revient ou marges, éléments confidentiels de brevets… Ces données font ensuite l’objet de chantage ou sont vendues aux concurrents. Les conséquences deviennent alors catastrophiques.
La généralisation de la fonction de Responsable de la Sécurité des Systèmes d’Information
Jusqu’à maintenant, la gestion des risques informatiques, quand elle était identifiée, était souvent confiée à un Responsable de la Sécurité des Systèmes d’Information (RSSI), abrité au sein de la DSI.
Le RSSI est chargé de définir la politique générale de sécurité des actifs numériques de l’organisation : infrastructures, données, programmes…
Il conçoit et met en œuvre les démarches d’analyses de risques ainsi que les plans de continuation et de reprise d’activité en cas de défaillance. Il forme l’ensemble des directions de l’entreprise, notamment opérationnelles, et assure une veille technologique et prospective sur l’ensemble des sujets de sécurité informatique.
Au-delà du RSSI, la montée en puissance du Responsable de la Sécurité Numérique
De plus en plus, les nouvelles technologies et notamment la mobilité changent la donne en diffusant le numérique au cœur même du business : le risque n’est plus seulement un risque informatique mais plus généralement un risque numérique diffus, consubstantiel aux opérations. Il devient un risque d’entreprise.
Face à cette évolution, les compétences nécessaires changent : il s’agit plus de capacité à comprendre et anticiper les évolutions du business, avec un minimum suffisant de connaissances techniques.
Dans les faits, le Responsable de la Sécurité Numérique travaille transversalement avec le service juridique, la conformité réglementaire, le marketing et l’ensemble des opérations digitales.
Il est de plus en plus souvent rattaché à un cadre dirigeant de l’entreprise, en dehors de l’informatique : Direction des Risques, Directions des Opérations, Direction Financière, voire Direction Générale.
Aujourd’hui, les secteurs les plus exposés sont sans surprise les services financiers, le tourisme, les loisirs, les opérateurs télécoms, mais aussi de plus en plus l’industrie… Les plus grandes entreprises de ces secteurs se sont structurées en interne (Chief Information Security Officer, Directeur de la Sécurité Numérique) et se sont rapprochées dans des groupes professionnels (CIGREF…) au sein desquels se formalisent et se partagent les bonnes pratiques. De ces entreprises pionnières, les compétences essaiment progressivement.
Eurosearch & Associés a récemment mené des missions pour recruter un tel profil. L’approche directe est en effet la meilleure méthode pour identifier ces compétences et éviter une inflation de leur rémunération.