Ludovic de Carcouët (CEO Digitemis) : « Tout dirigeant d’entreprise doit s’approprier les enjeux de la cybersécurité »

entreprise et cybersecurite : photo de ludovic de carcouet

Qu’elles soient médiatisées ou non, les cyberattaques n’ont jamais été aussi nombreuses ni autant dommageables pour les entreprises. Ludovic de Carcouët, CEO de Digitemis, rappelle la responsabilité qui échoit aux dirigeants d’entreprises en matière de cybersécurité. Leur rôle est primordial dans l’élaboration d’une politique cyber efficiente et dans la mise en place des bonnes pratiques au sein de leur entreprise. Encore faut-il qu’ils prennent pleinement conscience des enjeux de la cybersécurité.

Les questions posées à Ludovic de Carcouët :

1. Quels enseignements peut-on tirer ces dernières années en matière de cybersécurité pour les entreprises ?
2. Quel est l’impact des cyberattaques sur la santé économique des entreprises ?
3. À quoi peuvent s’attendre les dirigeants d’entreprises dans les prochaines années ?
4. Quelle sera l’évolution de la législation en vigueur ?
5. Quels conseils donner à un dirigeant qui sous-estime la cybersécurité de son entreprise ?

1. Quels enseignements peut-on tirer ces dernières années en matière de cybersécurité pour les entreprises ?

Ludovic de Carcouët : « Pour les entreprises, la cybersécurité était un sujet lointain qui concernait uniquement des grands comptes dans certains secteurs d’activités clés comme la défense ou la banque. Elles ne se sentaient pas concernées par la cybersécurité, considérant à tort qu’elles n’étaient pas une cible ou qu’elles n’avaient rien à protéger.

Aujourd’hui, la cybersécurité concerne toutes les entreprises sans exception. D’abord parce que les entreprises – quels que soient leurs secteurs d’activités – sont devenues des entreprises informatiques. Il existe maintenant une dépendance totale à l’informatique : les entreprises investissent de manière conséquente dans l’informatique pour gagner en productivité, pour améliorer des process ou pour acquérir des données.

Les dirigeants de ces entreprises oublient souvent le sujet de la cybersécurité, ce qui rend leurs entreprises à la fois très dépendantes et très fragiles, d’autant plus que leur exposition a grandi : il y a 20 ans, elles étaient très peu informatisées, fermées sur elles-mêmes, peu interconnectées. Aujourd’hui, les entreprises sont mouvantes – les périmètres des entreprises bougent par le biais d’acquisitions, de cessions -, interconnectées et ouvertes vers des fournisseurs, des partenaires, des clients, des réseaux, des messageries…. Il n’est plus possible de se protéger simplement en se coupant du monde. »

2. Quel est l’impact des cyberattaques sur la santé économique des entreprises ?

Ludovic de Carcouët : « Les entreprises touchées par des cyberattaques, qu’elles soient cotées en Bourse ou non, connaissent de très importantes pertes d’exploitation ou de réputation. Certaines d’entre elles perdent des dizaines de millions d’euros. Par exemple, l’impact financier des cyberattaques subies par Eurofins Scientific en juin 2019 (attaque chiffrée à 75 millions d’euros) et par Bénéteau en février 2021 (perte estimée à 45 millions d’euros) ont été énormes. Elles entraînent une perte de toutes les données, qui mettent à plat l’entreprise, et font perdre des jours entiers voire des mois de fonctionnement. »

3. À quoi peuvent s’attendre les dirigeants d’entreprises dans les prochaines années ?

Ludovic de Carcouët : « Il faut s’attendre à voir apparaître ce que je nomme des cercles de confiance et de défiance, qui sont des univers mouvants. C’est comme dans des jeux vidéo en réseaux : on se retrouve dans une équipe, avec des ennemis et des alliés. Et on ne sait pas qui est qui. Un allié peut devenir un ennemi à un moment donné. C’est pareil dans la cybersécurité : un hébergeur web avec qui l’on travaille peut être corrompu à tout moment par une cyberattaque, et par rebond infecter notre entreprise.

C’est l’un des aspects les plus compliqués à gérer pour une entreprise : elle maîtrise certains paramètres mais elle dépend de plus en plus de partenaires, de fournisseurs et de sous-traitants. Sa problématique est d’obtenir des garanties vis-à-vis de ses dépendances, à la fois dans le choix des partenaires/sous-traitants, dans les contrats et dans le suivi au fil du temps. »

4. Quelle sera l’évolution de la législation en vigueur ?

Ludovic de Carcouët : « Il y a déjà eu une évolution forte en mai 2018 avec la mise en application du RGPD en Europe. D’autres pays nous emboîtent le pas : les États-Unis, le Canada, la Chine mais ce sont encore des balbutiements. D’ailleurs, l’une des difficultés pour une entreprise internationale est d’être conforme aux législations des différents pays où elle est implantée.

L’objectif d’une entreprise n’est pas simplement de se mettre en conformité avec le RGPD à un instant T. La difficulté est de maintenir cette conformité dans le temps, en accord avec les évolutions quotidiennes de l’entreprise : arrivée de nouveaux collaborateurs, installation de nouvelles applications, sélection de nouveaux fournisseurs… Les dirigeants espéraient être conformes à un instant T et le rester, mais cela ne se passe pas ainsi. La conformité RGPD dans une entreprise s’accompagne de coûts récurrents. Elle doit être maintenue à travers une veille régulière, une vigilance permanente et surtout l’intégration des bonnes pratiques dans les contrats, dans les relations avec les fournisseurs, dans l’ensemble des projets d’entreprise et auprès de l’ensemble des collaborateurs. La clé réside ici. La vigilance est de tous les instants dans l’entreprise, elle doit impliquer tout le monde. Malheureusement, force est de constater que ces bonnes pratiques ne sont pas toutes assimilées. »

5. Quels conseils donner à un dirigeant qui sous-estime la cybersécurité de son entreprise ?

Ludovic de Carcouët : « Un dirigeant d’entreprise a tendance à penser que la cybersécurité est un sujet trop compliqué pour lui, qu’il est incapable de le comprendre. Et il a tendance à laisser ce sujet technique entre les mains des techniciens. Or, la cybersécurité n’est plus un sujet qu’il peut déléguer à la DSI ou à un SSI. C’est un sujet sur lequel il lui faut des éléments de certitude car les risques économiques sont trop importants pour son entreprise. Il doit se convaincre qu’il faut vivre avec la cybersécurité, un peu comme avec les risques d’incendie par exemple : il est nécessaire de réaliser des tests de pénétration régulièrement, de mettre en place un processus d’amélioration continue et ne pas se dire que l’écosystème est sécurisé une bonne fois pour toutes…

Un dirigeant d’entreprise doit s’approprier les enjeux de la cybersécurité. On peut parler de Responsabilité Cyber des Entreprises (RCE) : un dirigeant doit être conscient de la responsabilité de son entreprise vis-à-vis de ses collaborateurs, des différents services, de ses fournisseurs, de ses clients. Il a un rôle sociétal à jouer et doit posséder une stratégie cyber afin d’embarquer toutes les parties prenantes. »

Je partage

Derniers articles

miniature accord etats unis europe

Accord entre l’Union européenne et les États-Unis sur le transfert de données : jamais deux sans trois ?

Début octobre 2022, les États-Unis ont ouvert la voie à un nouvel accord renforçant la protection et le transfert des données personnelles avec l’Europe. Notre experte Marie Pontrucher fait un point complet sur les relations entre les États-Unis et l’Union européenne concernant le marché de la donnée.

Lire l'article
edito digitemis par ludovic de carcouet avril 2022

L’édito de Digitemis, par Ludovic de Carcouët (octobre 2022)

Digitemis prospère, Make IT Safe s’émancipe. Voilà le constat dressé dans son édito d’octobre 2022 par Ludovic de Carcouët, fondateur de Digitemis et CEO de Make IT Safe. Pour ces deux entités, l’avenir s’annonce enthousiasmant : une croissance importante, de nombreux recrutements, des nouveaux locaux et une grande ambition. Le temps est venu pour Make IT Safe de prendre son envol et pour Digitemis d’écrire son histoire.

Lire l'article