Ludovic de Carcouët (CEO Digitemis) : « Tout dirigeant d’entreprise doit s’approprier les enjeux de la cybersécurité »

entreprise et cybersecurite : photo de ludovic de carcouet

Qu’elles soient médiatisées ou non, les cyberattaques n’ont jamais été aussi nombreuses ni autant dommageables pour les entreprises. Ludovic de Carcouët, CEO de Digitemis et éditeur du logiciel de cybersécurité Make IT Safe, rappelle la responsabilité qui échoit aux dirigeants d’entreprises en matière de cybersécurité. Leur rôle est primordial dans l’élaboration d’une politique cyber efficiente et dans la mise en place des bonnes pratiques au sein de leur entreprise. Encore faut-il qu’ils prennent pleinement conscience des enjeux de la cybersécurité.

Les questions posées à Ludovic de Carcouët :

1. Quels enseignements peut-on tirer ces dernières années en matière de cybersécurité pour les entreprises ?
2. Quel est l’impact des cyberattaques sur la santé économique des entreprises ?
3. À quoi peuvent s’attendre les dirigeants d’entreprises dans les prochaines années ?
4. Quelle sera l’évolution de la législation en vigueur ?
5. Quels conseils donner à un dirigeant qui sous-estime la cybersécurité de son entreprise ?

1. Quels enseignements peut-on tirer ces dernières années en matière de cybersécurité pour les entreprises ?

Ludovic de Carcouët : « Pour les entreprises, la cybersécurité était un sujet lointain qui concernait uniquement des grands comptes dans certains secteurs d’activités clés comme la défense ou la banque. Elles ne se sentaient pas concernées par la cybersécurité, considérant à tort qu’elles n’étaient pas une cible ou qu’elles n’avaient rien à protéger.

Aujourd’hui, la cybersécurité concerne toutes les entreprises sans exception. D’abord parce que les entreprises – quels que soient leurs secteurs d’activités – sont devenues des entreprises informatiques. Il existe maintenant une dépendance totale à l’informatique : les entreprises investissent de manière conséquente dans l’informatique pour gagner en productivité, pour améliorer des process ou pour acquérir des données.

Les dirigeants de ces entreprises oublient souvent le sujet de la cybersécurité, ce qui rend leurs entreprises à la fois très dépendantes et très fragiles, d’autant plus que leur exposition a grandi : il y a 20 ans, elles étaient très peu informatisées, fermées sur elles-mêmes, peu interconnectées. Aujourd’hui, les entreprises sont mouvantes – les périmètres des entreprises bougent par le biais d’acquisitions, de cessions -, interconnectées et ouvertes vers des fournisseurs, des partenaires, des clients, des réseaux, des messageries…. Il n’est plus possible de se protéger simplement en se coupant du monde. »

2. Quel est l’impact des cyberattaques sur la santé économique des entreprises ?

Ludovic de Carcouët : « Les entreprises touchées par des cyberattaques, qu’elles soient cotées en Bourse ou non, connaissent de très importantes pertes d’exploitation ou de réputation. Certaines d’entre elles perdent des dizaines de millions d’euros. Par exemple, l’impact financier des cyberattaques subies par Eurofins Scientific en juin 2019 (attaque chiffrée à 75 millions d’euros) et par Bénéteau en février 2021 (perte estimée à 45 millions d’euros) ont été énormes. Elles entraînent une perte de toutes les données, qui mettent à plat l’entreprise, et font perdre des jours entiers voire des mois de fonctionnement. »

3. À quoi peuvent s’attendre les dirigeants d’entreprises dans les prochaines années ?

Ludovic de Carcouët : « Il faut s’attendre à voir apparaître ce que je nomme des cercles de confiance et de défiance, qui sont des univers mouvants. C’est comme dans des jeux vidéo en réseaux : on se retrouve dans une équipe, avec des ennemis et des alliés. Et on ne sait pas qui est qui. Un allié peut devenir un ennemi à un moment donné. C’est pareil dans la cybersécurité : un hébergeur web avec qui l’on travaille peut être corrompu à tout moment par une cyberattaque, et par rebond infecter notre entreprise.

C’est l’un des aspects les plus compliqués à gérer pour une entreprise : elle maîtrise certains paramètres mais elle dépend de plus en plus de partenaires, de fournisseurs et de sous-traitants. Sa problématique est d’obtenir des garanties vis-à-vis de ses dépendances, à la fois dans le choix des partenaires/sous-traitants, dans les contrats et dans le suivi au fil du temps. »

4. Quelle sera l’évolution de la législation en vigueur ?

Ludovic de Carcouët : « Il y a déjà eu une évolution forte en mai 2018 avec la mise en application du RGPD en Europe. D’autres pays nous emboîtent le pas : les États-Unis, le Canada, la Chine mais ce sont encore des balbutiements. D’ailleurs, l’une des difficultés pour une entreprise internationale est d’être conforme aux législations des différents pays où elle est implantée.

L’objectif d’une entreprise n’est pas simplement de se mettre en conformité avec le RGPD à un instant T. La difficulté est de maintenir cette conformité dans le temps, en accord avec les évolutions quotidiennes de l’entreprise : arrivée de nouveaux collaborateurs, installation de nouvelles applications, sélection de nouveaux fournisseurs… Les dirigeants espéraient être conformes à un instant T et le rester, mais cela ne se passe pas ainsi. La conformité RGPD dans une entreprise s’accompagne de coûts récurrents. Elle doit être maintenue à travers une veille régulière, une vigilance permanente et surtout l’intégration des bonnes pratiques dans les contrats, dans les relations avec les fournisseurs, dans l’ensemble des projets d’entreprise et auprès de l’ensemble des collaborateurs. La clé réside ici. La vigilance est de tous les instants dans l’entreprise, elle doit impliquer tout le monde. Malheureusement, force est de constater que ces bonnes pratiques ne sont pas toutes assimilées. »

5. Quels conseils donner à un dirigeant qui sous-estime la cybersécurité de son entreprise ?

Ludovic de Carcouët : « Un dirigeant d’entreprise a tendance à penser que la cybersécurité est un sujet trop compliqué pour lui, qu’il est incapable de le comprendre. Et il a tendance à laisser ce sujet technique entre les mains des techniciens. Or, la cybersécurité n’est plus un sujet qu’il peut déléguer à la DSI ou à un SSI. C’est un sujet sur lequel il lui faut des éléments de certitude car les risques économiques sont trop importants pour son entreprise. Il doit se convaincre qu’il faut vivre avec la cybersécurité, un peu comme avec les risques d’incendie par exemple : il est nécessaire de réaliser des tests de pénétration régulièrement, de mettre en place un processus d’amélioration continue et ne pas se dire que l’écosystème est sécurisé une bonne fois pour toutes…

Un dirigeant d’entreprise doit s’approprier les enjeux de la cybersécurité. On peut parler de Responsabilité Cyber des Entreprises (RCE) : un dirigeant doit être conscient de la responsabilité de son entreprise vis-à-vis de ses collaborateurs, des différents services, de ses fournisseurs, de ses clients. Il a un rôle sociétal à jouer et doit posséder une stratégie cyber afin d’embarquer toutes les parties prenantes. »

Je partage

Derniers articles

miniature article interet legitime europe

La notion d’intérêt légitime au cœur d’un débat européen

En 2020, l’Autorité de Protection néerlandaise a sanctionné une société de diffusion de matchs de football pour violation des règles de protection des données personnelles. Cette décision a provoqué un débat européen autour de la notion d’intérêt légitime. Alice Picard, notre juriste consultante Protection des Données, revient dans le détail sur les ressorts de ce débat.

Lire l'article
edito digitemis par ludovic de carcouet avril 2022

L’édito de Digitemis, par Ludovic de Carcouët (juin 2022)

Cyber humanum est : l’édito de Ludovic de Carcouët, CEO de Digitemis (juin 2022). L’édition 2022 du Forum International de la Cybersécurité (FIC) qui s’est déroulée à Lille la semaine dernière a montré que le facteur humain demeure le socle d’une politique cyber efficace et ambitieuse. L’humain reste le meilleur garant de la solidité et de la continuité d’un écosystème grâce à son savoir-faire, à sa réflexion, à ses compétences, à sa capacité d‘innovation et de réponse aux problématiques technologiques qui se posent. Il est le plus à même de réguler son rapport à la machine et de doser son usage.

Lire l'article